Virenschutz: Vorsicht bei Zwischenmeldung „Please wait page ist loading“

Das Virenschutz-Expertenteam Bitdefender hat gefährliche Internetseiten entdeckt, auf denen sich der bekannte ZBot-Trojaner versteckt.
Werden Web-Nutzer auf eine Seite weitergeleitet, die die harmlos erscheinende Meldung „Please wait page is loading“ enthält, sollten sie Vorsicht walten lassen, denn dahinter kann ein raffiniertes JavaScript stecken, das den Benutzer so lange auf  –  mit Trojanern und Exploits verseuchte – Seiten weiterleitet, bis er abschließend zu einer mit ZBot infizierten HTML-Seite gelangt.

Der auch als ZeusBot bezeichnete ZBot-Trojaner ist kein Unbekannter. Der Schädling verbreitet sich überwiegend über Spam-Mails und bösartige Webseiten. Sobald ZBot einen Rechner befallen hat, spioniert er Onlinebanking-Daten, Systeminformationen und andere private Daten aus. Aktuelle ZBot-Varianten können zudem den Verlauf besuchter Webseiten sowie online eingegebene Daten ausspähen.

Derzeit versteckt sich der digitale Unhold auch hinter JavaScript-Weiterleitungen, wie Bitdefender entdeckte. Nach einer Meldung „Please wait page is loading“ wird eine zweite JavaScript-Datei aufgerufen, hinter der sich nach Bitdefender-Angaben die Malware Trojan.JS.Redirector.YF verbirgt. Diese wird unter der Bezeichnung „js.js“ automatisch in einem Ordner mit zufällig generiertem Namen gespeichert.

Die bösartige JS-Datei wurde bereits auf eine Vielzahl von Servern gepflanzt, die eigentlich saubere Webseiten hosten – wahrscheinlich als Folge eines FTP-Zugangsdaten-Diebstahls. Dieses Skript hat den alleinigen Zweck, den Benutzer auf eine Exploit-Seite zu schleusen, quasi als letzte Station dieser „Umleitungsreise“.

Hinter dieser zweiten HTML-Seite verbirgt sich ein Java-Applet (Exploit.Java.CVE-2010-0840.P), das nun dazu verwendet wird, eine ZBot-Variante namens Trojan.Zbot.HTQ herunterzuladen und zu installieren.

Für User, deren Rechner mit dem ZBot-Trojaner infiziert ist, stellt Bitdefender unter www.malwarecity.com ein Removal-Tool zur Verfügung.

Quelle: Bitdefender



Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google Foto

Du kommentierst mit Deinem Google-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s