Über 1800 Webseiten, die anfällig für SQL-Injection-Angriffe sind, hat ein seit mindestens Mai agierendes Botnetz entdeckt. Durch Installation eines Add-Ons für Firefox wird man zum Mitglied in dem Botnetz. Der Schadcode testet nach der Infektion verdeckt besuchte Webseiten und meldet Schwachstellen an die Drahtzieher des von seinen Betreibern "Advanced Power" genannten Botnetzes.

Um Befehle direkt an die Datenbank der Webseite zu senden und so wichtige Daten auszulesen, welche die Ganoven verkaufen oder für weitere Angriffe nutzen können, nutzen SQL-Injection-Angriffe Lücken in Web-Applikationen.

Außerdem enthält der von dem Add-On installierte Schadcode ein Modul, das auf den infizierten Computern Passwörter und persönliche Daten stehlen kann. Diese Komponente wurde untersuchungen des Sicherheitsexperten Brian Krebs zu Folge aber bisher nicht aktiviert. Mehr als 12.500 PCs sollen Weltweit mit der Malware infiziert sein. Das Firefox Add-On gibt vor, einen "Microsoft .NET Framework Assistant" installieren zu wollen – allerdings reiht sich der Rechner des Opfers nur in das Botnetz ein und es wird in Wirklichkeit der Schadcode installiert.

Mittlerweile hat Mozilla das schädliche Add-On aus seinem Add-ons-Manager entfernt.

(jk, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE