MÜNCHEN (COMPUTERWOCHE) - Infizierte Anzeigenbanner auf diversen europäischen Web-Seiten haben dazu geführt, dass Anwender sich ohne ihr Wissen den Wurm "Bofra" auf ihren Rechner geholt haben. Dabei handelt es sich um eine Variante von "MyDoom", die es Unbefugten ermöglicht, auf den infizierten PC zuzugreifen und zudem versucht, sich per E-mail weiterzuversenden.
Betroffen davon war unter anderem die englische Site The Register". Ursache hierfür war ein Problem in den Systemen des Dienstleisters Falk eSolutions, von dessen Servern aus die Internet-Anzeigen dynamisch auf die Web-Seiten der Kunden aufgespielt werden. Nach Angaben von Falk war es einer "nicht autorisierten Person" gelungen, eine Schwachstelle in den Load-Balancing-Systemen des Unternehmens auzunutzen. Der Angreifer schaffte es, diese so zu manipulieren, dass ein Teil der eingehenden Anfragen nicht auf die Anzeigen-Server gelangte, sondern auf die URL "search.comedycentral.com" umgelenkt wurde. Von dort sei dann der bösartige Code gekommen, der versucht habe, auf den Zielmaschinen eine Schwachstelle innerhalb des Internet Explorer auszunutzen. Diese betrifft die Art und Weise, wie der Browser mit so genannten IFrames umgeht.
Für diese Sicherheitslücke liegt noch kein Patch vor, nur Windows-XP-Systeme mit installiertem Service Pack 2 sind davor geschützt. Das System-Administration-, Networking-and-Security- (SANS-)Institute registrierte etliche Meldungen von Nutzern, die sich den Wurm eingefangen hatten. Die Experten berichten, dass auch Web-Sites in Holland und Schweden betroffen waren. Laut Falk beschränkte sich das Problem jedoch auf Kunden des Angebots "Adsolution Global". Der Dienstleister hat eigenen Angaben zufolge den verwundbaren Lastverteiler identifiziert und entfernt. In einer Stellungnahme sagte Falk, der Vorfall werde als "krimineller Angriff" gewertet und Anzeige erstattet.
Bis ein Patch vorliegt, der das IFrame-Problem löst, empfehlen Experten des Sicherheitsunternehmens LURHQ, entweder den Internet Explorer nicht einzusetzen oder aber in den Einstellungen das Active Scripting innerhalb der Internet Zone des Browsers zu deaktivieren. (ave)