Drive-by-Redirects

Eine weitere Technik, Viren zu verbreiten, haben Mitarbeiter von Eset beschrieben: Der neue Virenbaukasten Nuclear Pack 2.0 erzeugt einen Driveby-Redirect.

Dabei wird auf einer gehackten Seite ein kleiner Javascript-Schnipsel versteckt. Erst wenn dieses Skript eine Mausbewegung auf der Seite erkennt, lädt es ein Iframe herunter. Dadurch sollen Sicherheitsmaßnahmen ausgehebelt werden, die automatisch nach verdächtigen Links suchen. Das Iframe lädt nun seinerseits weiteren Code von einem Server herunter.

Nuclear Pack 2.0 versucht dann mit einem manipulierten Java-Applet, den PC des Anwenders zu infizieren. Die dabei ausgenutzte Lücke wurde 2012 entdeckt und betrifft die Java-Versionen bis 7 Update 2, 6 Update 30 und bis 5 Update 33. Wenn der Angriff gelingt, dann wird eine Variante des Trojaners Carberp auf den PC heruntergeladen und installiert.

Ist dieser Trick dagegen nicht erfolgreich, versucht es Nuclear Pack mit einer verseuchten PDF-Datei. Die Lücke im Adobe Reader führt dazu, dass der PDF-Reader abstürzt. Gleichzeitig wird dabei eine EXE-Datei unter „C:\“ erstellt. Diese Datei lädt dann den eigentlichen Schädling herunter.

So schützen Sie sich: Die Erweiterung Noscript verhindert, dass Skripts von anderen Seiten ausgeführt werden, und stoppt so Drive-by-Redirects. Prüfen Sie außerdem, ob Sie wirklich die neueste Java-Version installiert haben. Welche Version Sie haben, erfahren Sie unter „Start, Systemsteuerung, Programm deinstallieren“.