Grote krantensites verspreiden malware
Gepubliceerd: Woensdag 9 juni 2010
Auteur: Loek Essers
Verschillende grote krantensites, maar ook andere veelbezochte websites, verspreiden malware. Meer dan een miljoen pagina's zijn geïnfecteerd.
Dit blijkt uit meldingen van antivirusproducent Sophos. Zo is onder meer de website van the Wall Street Journal en die van de Jerusalem Post gëinfecteerd. Eerst dacht de antivirusbestrijder dat de hackers advertentiesystemen gebruikten om hun malware via cross site scripting (css) te verspreiden. Na onderzoek bleek dat er wel degelijk ingebroken werd bij elk van de sites zelf.
Script haalt .exe binnen
De malware bestaat uit een script dat verwijst naar een bepaalde url. Via dat internetadres wordt geprobeerd een uitvoerbaar bestand (.exe) op Windows-pc's te laden. Die malware krijgt van Sophos de naam Mal/Behav-290.
Het programma installeert zichzelf, maakt verbinding met het internet en communiceert via een http-verbinding automatisch met een remote server. Sucuri.net merkt op dat de script-injectie zich alleen voordoet bij sites die draaien op de webserversoftware IIS (Internet Information Server) van Microsoft en gebruik maken van Microsofts raamwerk voor webapplicaties ASP.NET.
Slechte beveiliging
Sophos denkt niet dat de aanval is ingegeven door de recente gebeurtenissen in het Midden-Oosten. Even leek het daarop omdat de Jerusalem Post een van de eerste besmette sites was.
Onderzoeker Paul Baccas denkt dat er opportunisten achter zitten. "Uit ervaring weet ik dat het merendeel van dergelijke hacks plaatsvindt via een 'scattergun'-aanpak." Daarbij wordt er zo breed en divers mogelijk aangevallen. "De Jerusalem Post heeft simpelweg pech, en een slechte websitebeveiliging, waardoor de site is geïnfecteerd."
