pcwelt.de verteilte Schadsoftware

Wer am letzten Samstag pcwelt.de mit Google Chrome oder Firefox besuchte, erhielt eine Warnmeldung und konnte die Site nicht aufrufen. Beide Browser nutzen Google Safe Browsing, das vor Websites mit gefährlichen Inhalten warnt. Google hatte bei der Überprüfung von pcwelt.de Inhalte von Domains gefunden, die Malware verbreiten.

Den Angreifern ist es offenbar gelungen, in die Webseiten ein Javascript einzuschleusen. Beim Aufruf der Webseiten generierte es einen iFrame, der Inhalte fremder Server anzeigt. Über diese eingebetteten Seiten versuchten die Angreifer, mithilfe des Exploit Kits RedKit Sicherheitslücken auf dem PC zu finden und eine Variante des Zbot-Trojaners einzuschleusen. Anfällig dafür sind aber nur Rechner, deren Software sich nicht auf dem aktuellen Stand befindet. Virenscanner schützen vor dem variantenreichen Trojaner nur ungenügend. Bei einer Prüfung über Virustotal können bis jetzt nur 10 von 46 Virenscannern die Bedrohung erkennen.

Mitarbeiter von pcwelt.de vermuten, dass der eigentliche Hacker-Angriff bereits am Freitag, dem 25. Januar 2013, möglicherweise auch früher stattgefunden hat. Zwar ist die ursächliche Sicherheitslücke noch nicht gefunden, doch der Schadcode, der auch die Benutzerkontensteuerung von Windows aushebelt, wird nicht mehr über die Website verbreitet.

Windows-Nutzer, die in der vergangenen Woche auf pcwelt.de zugegriffen haben, sollten aber den PC gründlicher auf Schadsoftware prüfen als sonst. Dafür eignet sich ein Virenscanner, der in einem unabhängigen Betriebssystem startet. Geeignet sind beispielsweise die Kaspersky Rescue Disk 10 oder die Dr.Web LiveCD.