Hacker weichen auf JavaScript aus

Schon über 10.000 Seiten mit JS/Wonka infiziert

21.10.2005 15:25 | von silicon.de


Auch Hacker sind Mode-Trends unterworfen. Derzeit ist es bösartiger Code auf Basis von JavaSript, der sich über das Internet verbreitet. Websense, ein Unternehmen für IT-Sicherheit, warnt jetzt vor einer Routine mit dem Namen 'JS/Wonka', die derzeit im Netz ihr Unwesen treibt.

Über 10.000 Seiten seien in den letzten Monaten mit dem Code infiziert worden. Alle diese Seiten verwenden mehr oder weniger exakt den gleichen Code, so ein Mitarbeiter des Sicherheitsunternehmens. Was den Experten aber nachdenklich stimmt, ist die Tatsache, dass es sich dabei um sehr unterschiedliche Seiten handelt.

Diese Routinen seien laut Websense darauf aus, Buchstaben umzuwandeln und den Unicode-Wert zu verändern. Diese Funktion ist schon mit geringen Kenntnissen in JavaScript umzusetzen. Auch ist das betreffende Programm nicht besonders umfangreich. Meist bedient sich das Schadprogramm dabei eines iFrames, der mit dem Wert 'Null' gesetzt wird. Dadurch ist er für das bloße Augen nicht mehr zu erkennen.

Im Internet Explorer klaffen derzeit noch einige iFrame-Lecks, und die machen sich die Hacker jetzt zu Nutze. Die Mehrzahl der befallenen Seiten verbreiten Malware oder Spyware, um anschließend die PCs der Opfer auszuspionieren. Andere Seiten versuchen den Nutzer auf Seiten zu locken, auf denen Dinge wie Viagra und andere Produkte, die ansonsten per Spam-Mails beworben werden, feil geboten werden.

Neben dem Internet Explorer ist jedoch auch der Firefox nicht für jeden JavaScript-Angriff gerüstet. Derzeit finden sich noch drei Viertel der mit JS/Wonka infizierten Seiten in den USA. Offenbar wurde das betreffende Toolset noch nicht im großen Stil exportiert. Websense bietet zusätzliche Informationen über Wonka.