Simgbox-Befall

Zusammenfassung: Ich habe mich heute abend mit virenverseuchten Websites beschäftigt. Eigentlich nur für Nerds interessant. Und auch für die nur am Rande.

Beim Surfen hat heute mein Virenscanner bei einem Javascript einer an und für sich seriösen Website gebellt. Hält man den Virenscanner an der kurzen Leine, so lädt das Script einen grauen Layer über die gesamte Webseite und versucht den User zum Download eines Flash-Players zu überzeugen.

Was weiter passieren würde, habe ich dann nicht ausprobiert... Stattdessen habe ich versucht herauszufinden, welches böse Vieh dahinter steckt. Bis jetzt weiss ich folgendes: Auf zahlreichen Rechnern im Internet existiert seit dem 24. oder 25.12.2013 ein Verzeichnis simgbox, das folgende vier Dateien enthält:

• a.html
• checker.php
• hint.css
• wheel-throb.gif

Google findet derzeit ca. 110 solcher Verzeichnisse im WWW und weist bei gewissen - aber nicht bei allen - darauf hin, dass diese den Computer schädigen können:

Mit meiner Vermutung, dass da was Böses dahinter steckt, scheine ich somit nicht ganz daneben zu liegen…

Erstaunlicherweise finde ich aber bisher keine entsprechende Berichte bei Security-Websites o.ä., was einerseits daran liegen dürfte, dass auch IT-Security-Menschen Weihnachtsferien machen, 110 betroffene Website extrem wenig sind und ich auch nicht up-to-date bezüglich CERT bin…

Bin mal gespannt, ob ich über die Sache noch was lesen werde. Die offene Frage ist nun, ob und wie ich dem Betreiber der von mir besuchten Website mitteile, dass seine Website vermutlich versucht ist. Denn wie man hier nachlesen kann, erscheint das böse Vieh nicht immer, hat also irgendwelche Mechanismen, um sich vor der Enttarnung zu schützen.

---

---

Zum Kommentieren ist eine Registration notwendig.

Kategorien: IsaBlog, IsaAnnoyance