Blogger aufgepasst: Massenangriff auf WordPress
Hallbergmoos (PresseBox) – Trend Micro warnt Blogger, die das beliebte Werkzeug WordPress nutzen, vor einem Massenangriff auf ihre Webtagebücher. Dabei wird eine WordPress-Einstellung, welche die Adresse des jeweiligen Blogs enthält, geändert. Alle, die den infizierten Blog lesen möchten, werden dadurch auf eine bösartige Webseite umgeleitet, die Schadcode – so genannte Skripte – enthält, der das Herunterladen eines Trojaners (TROJ_BUZUS.ZYX) auf die Rechner der Anwender auslöst.
Der Trojaner wiederum setzt eine Infektionskette in Gang, durch die verschiedenste Schadsoftware auf die Systeme der Anwender gelangt. Dazu zählt unter anderem eine gefälschte Antivirenlösung (TROJ_FAKEAV.ZZY). Der Trojaner gehört zur Schadcodefamilie BUZUS, die bislang nur über Instant-Messaging-Programme verbreitet wurde. Zwar sind noch nicht alle Einzelheiten des Massenangriffs bekannt, es scheint jedoch, dass insbesondere diejenigen WordPress-Blogs betroffen sind, die auf Network Solutions gehostet werden.
Trend Micro schützt
Anwender von Trend Micro-Lösungen sind vor der beschriebenen Attacke geschützt. Denn die im Trend Micros Smart Protection Network verwendeten Reputationsdienste für E-Mails, Dateien und Webadressen erweisen sich als wirkungsvoller Schutzschild, um die beschriebene Umleitung auf die bösartige Webseite der Cyberkriminellen und das Herunterladen und Ausführen der Schadsoftware zu verhindern.
Diejenigen WordPress-Anwender, die keine Trend Micro-Software im Einsatz haben und fürchten, ihr Rechner könnte infiziert sein, können mit dem kostenlosen Trend Micro-Werkzeug HouseCall nach der Schadsoftware suchen und sie beseitigen.
ralf.endres am 14. April 2010 (21:25)1
In vielen Fällen sollte es ausreichen die Datei wp-config.php auf CHMOD 644 bzw 640 (je nach Server) zu setzen. Das verhindert das Script Kiddies die Zugangsdaten zur Datenbank auslesen können.
plerzelwupp am 15. April 2010 (09:05)2
OK, die Kettenreaktion durch den umgeleiteten Blog kann ich nachvollziehen. Das ist das Symptom. Aber wie kommt denn die Umleitung auf den Blog – die “Ursache“? Ich pflichte da Ralf bei – das dürfte zunächst mal ausreichen.
Btw – das Kapern von Rechnern anhand gefälschter Antivirensoftware ist mir auch schon untergekommen – auf Rechner von Bekannten, denen ich helfen wollte. Ganz schön hartnäckig. Man sollte schon wissen, welches Antivirenprogramm auf dem Rechner installiert ist und nur diesen Meldungen Glauben schenken.
Markus Arlt am 15. April 2010 (09:43)3
Ich kann zur Ursache momentan leider auch nicht mehr sagen. Es sieht danach aus das sich jemand Zugriff zu den Servern von Network Solution verschafft hat und es über diesen Weg eingeschleust hat. Da bringt dann auch aller Schutz der wp-config.php nichts. Es könnte sich auch um einen 0day-Exploit handeln. Momentan wird viel spekuliert.