Een kwetsbaarheid in Internet Information Servers geeft e-criminelen de mogelijkheid SQL-codes te injecteren waarmee legitieme websites gemanipuleerd kunnen worden. Daardoor kunnen bezoekers afgeleid worden naar kwaadaardige sites waar malware op computers geïnstalleerd wordt. Volgens berekeningen van Panda Security zijn momenteel al 280.000 webpagina’s geïnfecteerd. De aanval kan eenvoudig opgespoord worden, aangezien een zeer specifieke code wordt ingevoerd in de broncode van de aangetaste pagina’s. In België zijn er een tweehonderdtal besmette sites, in Nederland een honderdtal. Mechelen, 24 april 2008
Het veiligheidsprobleem geeft hackers de mogelijkheid een SQL-code te injecteren in pagina’s die gehosted worden op webservers. De code leidt bezoekers van de geïnfecteerde pagina naar een kwaadaardige pagina. Vervolgens worden de bezoekende systemen gecontroleerd op kwetsbaarheden via dewelke allerlei soorten malware gedownloaded kunnen worden.
Indien deze string in google.be of google.nl wordt ingegeven, krijg je in idee van de aard en hoeveelheid van de sites die met deze string besmet kunnen zijn.
Vervelend is dat de meeste besmette webpagina’s geen uiterlijke, verdachte symptomen vertonen.
Hoe achterhalen of webpagina’s geïnfecteerd zijn Panda Security raadt alle webbeheerders van pagina’s die gehosted worden op een Internet Information Server aan om hun pagina’s te controleren. Dit kan eenvoudig door te zoeken naar een specifieke string in de broncode van de webpagina. De string is:
< script src=http://nihaorr1.com/1.js >Iindien webmasters deze string detecteren, kunnen ze die best verwijderen en de beheerder van hun server hosting waarschuwen.
Gebruikers die op verdachte sites zijn geweest, kunnen hun pc steeds online controleren via
http://www.infectedornot.com.
Meer informatie over deze bedreiging:
http://www.pandalabs.comVoor meer informatie:
Tom Vanagt
tom.vanagt@be.pandasecurity.comTel. +32 15 45 12 94