Versteckte Iframes

Bei Cyber-Kriminellen sind Iframes besonders beliebt. Die HTML-Elemente dienen dazu, andere Inhalte in eine Seite hineinzuladen. Dem Besucher einer Webseite fällt das in aller Regel gar nicht auf.

Zunächst müssen die Kriminellen das Iframe auf dem fremden Server einschleusen. Das geht mit präparierten Bannern oder durch das Ausnutzen von Sicherheitslücken in der Serversoftware. Auf veralteten Systemen lassen sich beispielsweise Datenbankbefehle einschleusen.

Ein Iframe ist eigentlich recht simpel aufgebaut:

Dieser Code-Schnipsel lädt die Datei „index.php“ vom Server http://exploitserver.com. Die drei auf null gesetzten Parameter width, height und frameborder sorgen dafür, dass das Iframe 0 Pixel groß ist und so unsichtbar bleibt.

Die Datei „index.php“ kann nun beliebigen Code enthalten, der beim Besuch der eigentlich harmlosen Webseite ausgeführt wird. Beim Angriff auf die Seite der Sparkasse Anfang dieses Jahres wurde auf der Seite ein Iframe versteckt, das mit dem Virenbaukasten Red Kit erstellt worden war.

Das Iframe leitet auf einen Programmteil von Red Kit weiter, der prüftwelche Plug-ins im Browser installiert sind und in welcher Version. Findet Red Kit eine veraltete Version von Java oder dem Adobe Reader, dann versucht es, eine manipulierte Java- oder PDF-Datei im Browser zu laden und so den PC zu infizieren.

Wenn der Angriff gelingt, landet anschließend eine kleine Datei auf dem PC. Diese Datei lädt dann den eigentlichen Schädling herunter, meist einen Trojaner.

So schützen Sie sich: Adblock Plus verhindert, dass Iframes über Banner verteilt werden. Den kompletten Schutz vor den per Iframe geladenen Skripts erhalten Sie aber erst, wenn Sie zusätzlich Noscript installieren.