Der russische Server, von dem aus seit dem 24. Juni ein Trojanisches Pferd verbreitet wurde, ist mittlerweile abgeschaltet worden. Doch die Gefahrenquelle ist damit nicht beseitigt. Sie befindet sich im Internet Explorer selbst. Microsoft hat zwar schnell gehandelt und seinen Kunden detaillierte Informationen zur Verfügung gestellt. Die Sicherheitslücke im Internet Explorer wurde aber nicht geschlossen. Der dringend nötige Patch steht immer noch aus.
Trojaner-Server offline
„Alarmstufe Rot“, hieß es in den vergangenen Tagen, nachdem bekannt geworden war, dass Hackerangriffe auf zahlreiche Webserver stattfanden, die mit Microsofts Internet Information Server 5 betrieben werden. Dabei wurden die betroffenen Webserver so manipuliert, dass sie an jede abgerufene Webseite ein spezielles JavaScript anhängten. Nutzer des Internet Explorers – ebenfalls aus dem Hause Microsoft – konnten anschließend akute Probleme bekommen. Wer in den Sicherheitseinstellungen seines Browsers ActiveScripting aktiviert hatte und die manipulierten Webseiten ansurfte, startete automatisch das angehängte JavaScript. Das sorgte anschließend dafür, dass ein gefährliches Schadprogramm von einem Server heruntergeladen wurde, von dem mittlerweile feststeht, dass er in Russland steht.
Peinlich, peinlich
Peinlich für die Systemadministratoren der betroffenen Webserver ist, dass Microsoft für die fragliche Sicherheitslücke im ISS5 seit April 2004 einen passenden Patch anbietet, der aber offenbar nicht installiert worden war. Peinlich für Microsoft ist, dass die gefährliche Sicherheitslücke im Internet Explorer, durch die es möglich wird, Schadprogramme ohne Wissen des Nutzers auf seinem System zu installieren und auszuführen, noch immer nicht geschlossen wurde. Die Verantwortlichen im Redmonder Softwarekonzern halten sich bedeckt. Sie haben noch nicht einmal angekündigt, ob und wann mit diesem wichtigen Sicherheitsflicken zu rechnen ist. Auf der speziell eingerichteten Microsoft-Webseite heißt es zu diesem Thema lediglich, dass die fragliche Sicherheitslücke durch den Service Pack 2 für Windows XP geschlossen werde. Dieser Service Pack befindet sich jedoch noch im Beta-Test und ist nicht für den Einsatz auf regulären Windows-XP-Systemen gedacht. Wann der Service Pack 2 offiziell freigegeben wird, steht noch nicht fest.
Angriff kam aus Russland
Dass der Angriff – wie bereits vermutet – von russischen Hackern ausging, scheint mittlerweile sicher zu sein. Er sollte vermutlich dazu dienen, massenhaft Spam über die gekaperten und ferngesteuerten PCs zu verbreiten. Auch ist derzeit nicht auszuschließen, dass die infizierten PCs ausgespäht und persönliche Nutzerdaten an die Urheber der Aktion übermittelt werden sollten. Bei Sicherheitsfragen lassen sich die meisten Firmen nur ungern in die Karten schauen. Wie viele ISS5-Server insgesamt von der Attacke betroffen waren, ist deshalb kaum verlässlich zu ermitteln.
Microsoft rät zur Selbsthilfe
Microsoft weist darauf hin, dass jeder Nutzer des Internet Explorers selbst überprüfen könne, ob sein System möglicherweise infiziert wurde. Der größte Softwarekonzern der Welt rät hier zur Selbsthilfe. User sollten ihre Systeme nach den beiden Dateien kk32.dll und surf.dat durchsuchen. Diese Dateien werden vom russischen Schadprogramm installiert. Werkzeuge zur Beseitigung des Schadprogramms kann man bei den gängigen Antivirenfirmen kostenlos beziehen.
Zurück zur News-Übersicht