Mitternachtshacking

Eine Studie des Antivirensoftware-Herstellers Avast hat ergeben, dass die meisten Webseiten die versuchen, Benutzer mit Schadprogrammen zu infizieren ganz normale Webseiten und keine obskuren Adult- oder Hacker-Seiten sind. Angeblich kommen 99% der Angriffe von eigentlich legitimen aber infizierten Webseiten:

“HTML files from sub-domain blackberry.vodafone.co.uk still contain malicious code at the time of writing but point to a site containing the attack payload site that has been pulled offline.”

Ich kann mir das gut vorstellen. Immerhin gibt es in vielen Unternehmen URL-Filter die bestimmte Seiten generell blockieren. Dazu gehören eben viele Adult- und Hacker-Seiten. Die Zielgruppe wäre deshalb recht gering wenn sich die Angreifer nur auf solche Seiten stürzen würden. Viel lukrativer sind doch infizierte Werbeserver wie erst vor einigen Monaten wieder bei Holtzbrinck passiert. Damit erwischt man auf einen Schlag tausende nichtsahnender Anwender und hat (weil u.a. genug Firmen noch den Internet Explorer 6 einsetzen) auch eine gute Ergebnisquote.

Sehr spannend: Avast schlägt prompt Alarm, wenn man sich meinen letzten Beitrag (den mit dem Javascript-Schadcode) im Feed ankuckt:

Die Malware-Erkennung ist im übrigen korrekt, das ist das Javascript-Programm, das ich im letzten Beitrag beschrieben habe.  Dumm nur, daß ich das Programm lediglich im Text stehen habe, nicht in <script>-Tags. Es sollte daher auch nicht ausgeführt werden. Das Problem für einen Virenscanner ist allerdings, daß diese Unescape-Sequenz nicht nur in HTML-Dateien sondern in CSS-Files versteckt wird. Im Gegensatz dazu ist die Bytefolge sehr charakteristisch.

Ich denke daher, Avast hat lediglich ein Patternmatching auf die Unescape-Sequenz implementiert und schlägt daher immer Alarm wenn diese Folge auftaucht, egal ob ausführbares Skript oder nicht. Mein Antivir schlägt beim Zugriff auf infizierte Webseiten auch Alarm, nicht jedoch beim RSS-Feed.

(Danke Nikola, für die Zusendung des Screenshots)