Mehrere seriöse Webseiten wie der britische „Register“ haben am Wochenende unabsichtlich eine Variante des MyDoom-Wurms verbreitet. Der Wurm MyDoom.AI alias Bofra wurde über Ad-Server in die Seiten eingeschleust. User von Windows XP Service Pack 1, die diese Seiten mit dem Internet Explorer ansurften, wurden mit dem Wurmschädling automatisch infiziert. Das Schadprogramm nutzt die so genannte iFrame-Lücke. Sie ist seit Anfang November dieses Jahres bekannt, ohne dass sich bisher Microsoft genötigt sah, einen entsprechenden Patch zu veröffentlichen. Einen solchen Patch gibt es offenbar mittlerweile von einem Drittanbieter. Experten warnen allerdings grundsätzlich vor solchen fremd gestrickten Sicherheitsflicken.
Das Risiko ist zu hoch
Fremdgestrickte Flicken oder Warten auf die Patches aus dem Hause Microsoft? Diese Frage stellen sich immer mehr Anwender, die oftmals vergeblich auf rasche, offizielle Sicherheitsflicken aus dem Hause Microsoft warten. Firmen oder Privatleute, die hier eine Marktlücke entdeckt haben, bieten selbst programmierte Patches an - nicht selten kostenpflichtig. Experten warnen vor solchen Sicherheitsflicken der Marke Eigenbau, die oftmals aus dubiosen Quellen stammen. Sie würden mehr schaden als nutzen, meint beispielsweise Sicherheitsexperte John Pescatore von der US-Internetbeobachtungsfirma Gartner. Keine Fremdfirma könne die Funktionsfähigkeit ihres Patches tatsächlich bis in jedes Detail hinein und unter den verschiedensten Soft- und Hardwarekonfigurationen testen, um beispielsweise Kompatibilitätsprobleme zu minimieren. Es sei deshalb immer riskant, beim Flicken des Internet Explorers auf Nicht-Microsoft-Produkte zurückzugreifen.
Hacker können Schadprogramme einschleusen
Hinzu kommt, dass der User in der Regel nicht erkennen kann, was genau er sich herunterlädt und zum Schließen einer Sicherheitslücke installiert. In der Vergangenheit habe es immer wieder Hacker gegeben, die mit Hilfe solcher angeblicher Sicherheitsflicken Trojaner und andere Schadprogramme in den PC des ahnungslosen Anwenders geschleust hätten, begründet Marcus Sachs vom US-Internet Storm Center seine Warnung vor fremd gestrickten Patches: Wer einen fremd gestrickten Patch benutze, liefere sich und sein System möglicherweise direkt einem möglichen Angreifer aus.
Ad-Server gehackt und mit Trojaner infiziert
Aktuell wurde das Problem der fremd gestrickten Patches auch im Zusammenhang mit den kürzlich aufgetauchten Schadprogrammen, die über die Werbeanzeigen seriöser Webseiten verbreitet wurden und eine ungepatchte Sicherheitslücke im Internet Explorer nutzten. Nach bisherigem Erkenntnisstand wurden Server des Ad-Server-Betreibers Falk eSolution von Unbekannten gehackt. Direkt betroffen waren Webseiten in England, den Niederlanden und in Schweden. Diese Seiten bezogen ihre Werbeanzeigen von den infizierten Servern der Falk AG. Surfer, die diese Seiten besuchten, luden zusammen mit den Werbeanzeigen unwissentlich Skript- und HTML-Code herunter, der das so genannte iFrame-Loch im Internet Explorer nutzte, um selbstständig den MyDoom-Wurm Version AI alias Bofra nachzuladen und im System des Users zu installieren.
Tausende Surfer vermutlich betroffen
Wie viele User sich durch den Besuch der betroffenen Webseiten mit diesem Wurmprogramm infizierten, ist derzeit nicht bekannt und lässt sich vermutlich auch nicht exakt ermitteln. Die Falk AG schätzt, dass nur knapp zwei Prozent aller ausgelieferten Anzeigen manipuliert gewesen seien. Da diese Anzeigen aber an Webseiten mit hohen Zugriffszahlen ausgeliefert wurden, dürfte die Zahl der infizierten Systeme in die Tausende gehen.
Zurück zur News-Übersicht