Malware Details

Website Injections

 

Häufig sind es große, obskur wirkende JavaScript-Blöcke, die in kompromittierte Webseiten eingefügt werden: Dahinter steckt die Absicht, den Schadcode vor Virenscannern zu verstecken. Je nachdem, wie der Angreifer vorgeht, sollte es für einen Webmaster jedoch nicht allzu schwer sein, solchen verdächtig wirkenden Code zu entdecken.

Beispiel 1: Skript wird über einen Iframe geladen

Einige dieser Injektionen geben sich gar nicht erst besondere Mühe, nicht weiter aufzufallen. Beispielsweise ist Troj/Iframe ein Skript, das sich in der letzten Zeit sehr stark verbreitet hat. In den HTML-Kommentaren gibt es sich als „Wordpress Counter“ aus, jedoch befindet sich zwischen den Kommentaren eine Anweisung, einen 1x1 Pixel großen Iframe zu erstellen, der eine Datei namens fuckmymind.php von einer us.to-Domain lädt: Sowohl der Dateiname als auch die Domain machen schnell klar, dass hier etwas nicht mit rechten Dingen zugeht.

Beispiel 2: Schadcode wird in einer externen Datei versteckt

Andere Manipulationen von Webseiten sind dagegen besser getarnt: So handelt es sich bei Troj/JSRedir-DY um ein weiteres verbreitetes Schadskript. Hier lädt die Seite eine JavaScript-Datei mit dem harmlos klingenden Namen css.js, die ebenfalls auf dem kompromittierten Server abgelegt wird. In diesem befinden sich zunächst ganz normale JavaScript-Bibliotheken, die es erschweren sollen, den schädlichen Code zu entdecken — dieser folgt nämlich erst am Ende der Datei. Da der Angreifer in diesem Fall eine neue Datei auf den Server schleusen muss, ist es für einen Admin jedoch relativ einfach, derartige Injektionen aufzudecken: Beispielsweise können Sie ein Skript anlegen, das regelmäßig nach verdächtigen Änderungen von Verzeichnisinhalten sucht.

Diese zwei Beispiele sollen zeigen, wie unterschiedlich der Schadcode aussehen kann, der in Webseiten injiziert wird. Dies ist jedoch nicht nur vom persönlichen Geschmack des Angreifers abhängig: Je nachdem, ob er beispielsweise mit einem PHP-Hack oder einer SQL-Injektion vorgeht, hat er bei der Kompromittierung der Webseite einen unterschiedlich großen Spielraum.