Hunderttausende Webserver infiziert

Das Sans Internet Storm Center (ISC) hat bereits Anfang Dezember vor einem neuen SQL-Injection-Angriff gewarnt, von dem Windows-Server mit IIS, MS-SQL-Datenbank und Adobe Coldfusion betroffen sind. Zwischenzeitlich sollen etwa eine Million Systeme über die sogenannte „Lilupophilupop.com“-SQL-Injection mit Schadcode infiziert worden sein. „Lilupophilupop“ nutzt Sicherheitslücken der Webseiten bei der Validierung der übergebenen Parameter aus. Ein Bericht vom 31. Dezember zeigt, wie schnell sich der Schädling europaweit verbreitet. Allein in Deutschland sind demnach fast 50.000 Webservern angegriffen worden.

Der Schädling legt es darauf an, Besuchern gezielt Scareware unterzujubeln. Dabei handelt es sich um eine Software, die Nutzer so verunsichern soll, dass sie durch eine Reaktion erst einen echten Angriff zulassen. Beispielsweise täuscht Scareware vor ein Antivirenprogramm zu sein und gibt Meldungen aus, dass der PC mit gefährlichen Viren infiziert sei. Gegen Bezahlung ließe sich der Computer von den real nicht vorhandenen Viren bereinigen. Erst wenn das Opfer bezahlt hat, verschwinden die Warnhinweise normalerweise. Allerdings ist die angebotene Abwehrmaßnahme meist ein Trojaner, das dann den tatsächlichen Angriff aufführt.

Wer prüfen will, ob der eigene Server betroffen ist, kann dazu nur über Google nach dem String "

lässt sich beispielsweise die Website meinedomain.de durchsuchen. Auch in den Log-Files kann der Schädling nachgewiesen werden.