2007
Mpack der neue Weg der Malware
Mpack ist das jüngste solcher Tools zur Verbreitung von Malware über das Internet. Nach Auskunft von Symantec ist Mpack (auch Web Attacker II genannt) eine Sammlung von PHP-Software-Komponenten, die auf einem PHP-Server mit einer Datenbank im Hintergrund laufen sollen. Nach Angaben von Verisign-Idefense gibt es mindestens eine Person, die sich “$ash”, der wahrscheinlich von Russland aus operierend, nennt, die Mpack online für etwa 500 bis 1000 Dollar verkauft. In einem aktuellen Posting versuchte $ash einen “Loader” für 300 Dollar zu verkaufen und das komplette Set mit optionalen Exploit-Modulen für 1000 Dollar. Aber selbst mit dem Mpack-Tool sind nur 40 bis 50 Prozent der Attacken erfolgreich, wie $ash selber in seinem Posting anmerkt.
Was Mpack-Attacken so hinterhältig macht, ist die Tatsache, dass man nicht weiß, an welcher Stelle der Angriff ansetzt. Statt den Anwender per Social Engineering zum Besuch einer bösartigen Website zu verleiten, kompromittiert Mpack legitime Websites mithilfe eines automatischen Tools.
So kann ein Hacker eine Codezeile in einer normalen Webseite hinzufügen. Jeder Besucher, wird automatisch den Code über einen Iframe laden. Die Verwendung von Iframes ist schon seid längeren in der Schusslinie der Hacker.
En Demo Video zeigt Mpack in Aktion
[youtube TpFxbsPFgjs Mpack Live]
Was kann man dagegen unternehmen
Wichtig ist immer das OS sollte vollständig gepatcht ist. Firefox enthält standardmäßig automatische Jede verwendete Software, sollte regelmäßig auf Sicherheitsupdates überprüft werden.Eine aktive Verteidigung ist mit dem kostenlose Tool Linkscanner von Exploit Prevention Labs möglich. Die aktuellen Versionen funktionieren gleichermaßen mit Firefox und dem Internet Explorer. Das Gute an Linkscanner ist die Tatsache, dass das Tool den bösartigen Iframe schon beim Laden blockiert, so dass man auch auf infizierte Seiten zugreifen kann, ohne sich anzustecken.
