© Websense

LizaMoon
04/02/2011

Websites mit Betrüger-Software verseucht

Mehr als eine Million Websites sind mit einem eingeschmuggelten Code infiziert, der Nutzer auf eine betrügerische Seite umleitet, die dazu auffordert, eine Viren-Schutzssoftware zu kaufen. Diese „Mass-Injection“-Attacke ist laut Experten die größte, die es je gegeben hat.

LizaMoon wird die Attacke genannt. Die Sicherheitsfirma Websense hat sie Anfang der Woche als erste entdeckt und berichtet, dass die Attacke Code auf Websites einschleust, die Microsoft SQL Server 2003 und 2005 verwenden. Dabei kommt eine SQL-Injection zum Einsatz, so die Experten. Wie genau die Infektion der Websites abläuft, ist allerdings noch nicht geklärt.

Wie die Attacke funktioniert
Wenn Nutzer eine befallene Website besuchen, werden sie auf die betrügerische Seite umgeleitet. Die Nutzer kriegen dies allerdings mit. Wenn sie das Fenster dann in Folge im Browser schließen, passiert ihnen nichts, erklärt Patrik Runald, ein Senior-Manager von Websense.

Wenn Nutzer allerdings auf das Fenster draufklicken, kommen sie auf eine Website, die ihnen eine Warnung von einem sogenannten „Windows Stability Center“ anzeigt, das sich als Microsoft-Produkt ausgibt. Es gäbe ein Problem mit dem Computer, heißt es dabei, dass sich mit einer Software, für die man zahlen müsse, lösen lasse.

Professionelle Webbetrüger
Der Schadcode sei bisher vor allem auf kleineren Websites eingeschleust worden, so Runald. Populäre Unternehmens- und Regierungswebsites sind bisher nicht befallen. Laut Websense wurde dieser Code von erfahrenen Webbetrügern entwickelt, um Geld zu verdienen. Es sei derzeit allerdings noch nicht klar, ob die Website auch Schadcode auf den PCs installiere, wenn die vermeintliche Sicherheitssoftware gekauft werde.

Die Website des „Windows Stability Centers“ sei gut gemacht, aber die betrügerische Absicht sei klar ersichtlich. Microsoft habe zudem kein Produkt namens „Windows Stability Center“. Das Unternehmen nahm zu der Attacke bisher keine Stellung.

LizaMoon bleibt länger
Um diese Attacke in den Griff zu kriegen, würde es einige Zeit dauern, so der Websense-Spezialist. Zuerst müsse man die Software identifizieren, und die betroffenen Website-Betreiber müssen Software-Updates installieren. „Attacken wie diese haben die Angewohnheit, sich für eine sehr lange Zeit zu halten. LizaMoon wird vermutlich nicht über die Nacht verschwinden“, meint Runald.