News 14.07.2004, 13:45 Uhr

Russischer Trojaner: noch nicht alle Webserver gesäubert (Update)

Laut einer Sicherheitsfirma verteilen noch immer mehr als 100 Webserver das bösartige «Download.Ject»-Skript, das versucht einen Trojaner aus dem Internet herunterzuladen.
Ende Juni machte ein neuer Schädling namens "Download.Ject" (auch als JS.Scob.Trojan bekannt) von sich Reden [1]. Er infizierte Webserver, die mit einer ungepatchten Version der Windows-Software IIS 5.0 (Internet Information Services) liefen. Danach lud das schädliche "Download.Ject"-Skript [2] heimlich einen weiteren Trojaner [3] von einem russischen Server auf PCs, welche die betroffenen Webseiten besuchten.
Trotz des grossen Presseechos und den Warnungen der Sicherheitsfirmen scheinen noch nicht alle Administratoren ihre Maschinen auf "Download.Ject" geprüft zu haben. Wie die Sicherheitsfirma Websense [4] bei einem Routine-Scan feststellte, wird es noch immer über mindestens 114 Homepages verteilt. Die meisten dieser Seiten verwenden seltsamerweise die neue IIS-Version 6. Diese sollte vor "Download.Ject" sicher sein. Websense nimmt aber nicht an, dass eine Lücke in IIS 6 vorhanden ist, sondern die Administratoren ihre Maschinen erst nach der Infizierung von der 5er Version auf IIS 6 aktualisiert haben.
Welche Webseiten betroffen sind, will Websense nicht bekannt geben. Es sei aber keine der 500 populärsten Homepages darunter. Die Sicherheitsfirma kontaktiert zurzeit die Administratoren der verseuchten Webserver. Anwendern kann "Download.Ject" nicht mehr gefährlich werden. Der russische Server, auf dem sich der Trojaner befand, ist nicht mehr online. Ausserdem hat Microsoft kürzlich einen Patch veröffentlicht, der zumindest vor "Download.Ject" schützt [5].



Kommentare
Es sind keine Kommentare vorhanden.