Asus.com verteilt Schadsoftware [2. Update]
Besucher der Website Asus.com bekommen derzeit unter Umständen Schadsoftware untergeschoben. Erste Hinweise erreichten heise Security im Verlaufe des gestrigen Abends. Das in eine Datei namens Tradue.com nachgeladene Programm erkennen die meisten aktuellen Virenscanner als PWS-Trojaner, der in erster Linie dem Passwortklau dient. Wer in den vergangenen Tagen die Website des Hardwareherstellers besucht hat, sollte seinen Rechner mit einem aktualisierten Antivirusprogramm auf Trojanerbefall überprüfen.
Im Quellcode der Webseite befindet sich ein unsichtbares IFRAME-Objekt, das auf JavaScript-Code vom Server http://www.ipqwe.com verweist, der offenbar nicht zu Asus gehört. Der dort hinterlegte Schadcode nutzt eine Schwachstelle im ActiveX-Control RDS.Dataspace (MS06-014), die Microsoft am April-Patchday 2006 vor einem Jahr behoben hat, um den eigentlichen Trojaner nachzuladen und zu starten. Von dieser Schwachstelle sind nur Nutzer eines ungepatchten Internet Explorers betroffen.
Der Vorfall ist kein Einzelfall. Asus wurde in der Vergangenheit bereits mehrfach Opfer von derartigen Angriffen gegen seine Webserver. Ein Leserhinweis, der Schadcode versuche die erst vor wenigen Tagen gefixte ANI-Schwachstelle auszunutzen, konnte sich bislang nicht bestätigen. Trotzdem sollten IE-Benutzer vor dem Besuch der Asus-Website alle Windows-Updates einspielen, ihre AV-Software aktualisieren und sicherheitshalber vorübergehend ActiveX deaktivieren.
Update
Eine weitergehende Analyse des Schadcodes hat ergeben, dass er auf IE-Browsern wie vermutet auch die ANI-Lücke ausnutzt. Allerdings ist die vom Server http://www.yyc8.com nachgeladene Datei bm3.exe, die vermutlich ebenfalls einen Trojaner enthielt, inzwischen nicht mehr abrufbar. Der ANI-Exploit verläuft demnach zurzeit ins Leere.
2. Update
Inzwischen ist der Server, dessen HTML-Seiten auf den Schadcode verwiesen, stillgelegt. Offenbar waren nicht alle Server, auf die Asus die Auslieferung der Website verteilt, von dem Problem betroffen. Vergleicht man den aktuellen Vorfall mit dem Strickmuster des Vorfalls vom vergangenen Dezember, ergeben sich wesentliche Übereinstimmungen: Sowohl in überwiegenden Teilen der verwendete VBScript-Code als auch die beteiligten Domains ipqwe.com, ok8vs.com und yyc8.com, die auf demselben chinesischen Server liegen, sind identisch.
