Ein JS/iFrame.BO.1 Virus beschädigt Content Management Systeme / WordPress

Veröffentlicht in: Blog, am: 15 Juli 2012 | 2 Comments |

Vor einigen Tagen ist ein neuer Internet Virus bekannt geworden – JS/iFrame.BO.1, der nun auch unter anderen Namen bekannt ist: „Trojan-Downloader.JS.Agent.gsv“, „Trojan.JS.Iframe.BPN“, „Trojan.JS.Iframe.BPN“ und „Trojan Blacole.GJ“. WordPress Projekte betroffen.

Computervirus

Computervirus

 

Virus Wirkungsweise

Der Virus infiziert unter Anderem JavaScript Dateien, indem ein verschlüsselter Code am Ende der jeweiligen .js-Datei angehängt wird. Die Antivirus Software „Avira“ kennt den Virus seit dem 10 Juli 2012 – ziemlich operativ, muss man sagen.

Bei den ersten kontaminierten Dateien, die wir bei einigen Testprojekten feststellen konnten, war das letzte Änderungsdatum der 8 Juli 2012. Am 12 Juli 2012 waren laut Avira bereits 644 Objekte mit dem Virus infiziert.

Bei einigen Projekten, die mit WordPress betrieben werden, schaffte es der Virus, die .js-Dateien von den aktiven WordPress Themes zu infizieren.

Laut Avira hat der Virus keine eigene Verbreitungsroutine und ist in JavaScript geschrieben. So weit so gut, wesentlich wichtiger ist es natürlich zu verstehen durch welche Lücke der Virus in das System gelangt.

Ist Parallels Plesk schuld?

In der WordPress Szene sprach man über eine kritische Sicherheitslücke bei dem beliebten Site-Verwaltungswerkzeug Plesk.
Plesk ist somit in den letzten Monaten zum zweiten Mal negativ aufgefallen – Anfang März 2012 ließ Strato viele Virtual Server von heute auf morgen sperren, weil bei Plesk eine Sicherheitslücke gefunden und aktiv ausgenutzt wurde.

0-Day-Exploit für Plesk

Vor drei Tagen, zeitlich sehr passend zu der Theorie mit Plesk, kam eine entsprechende Nachricht – ein 0-Day-Exploit für Plesk soll im Umlauf sein. Davon sind leider alle Plesk-Versionen, einschließlich Plesk 10.4.4 betroffen. Plesk selbst will dies nicht bestätigen, bringt aber eine entsprechende Erklärung, die sich ziemlich schwach anhört.

Eine Lösung für das Virus Problem

Parallels empfiehlt jedenfalls ein Upgrade auf die neueste Version, Parallels Plesk Panel 11. Ein Plesk Upgrade ist aber nicht gerade die schönste und einfachste Sache, weil es dabei immer wieder zu Problemen kommt. Es bleibt aber wohl nichts anderes übrig.

Davor müssen natürlich die Dateien, besonders die JavaScript Dateien, überprüft und der schädliche Code entfernt werden.

Wenn die Seite betroffen wurde und Google das bereits erkannt hat, so dass keine Besucher auf Ihre Seite kommen und folgende, unschöne Nachricht in Googles SERPs erscheint: „diese Seite kann ihren Computer beschädigen“, wenn Firefox Ihre Seite „als attackierend gemeldete Webseite“ bezeichnet, lesen Sie in unserem nächsten Artikel was Sie dagegen tun können.

Über den Autor:
Foto von Vitaliy Malykin Vitaliy Malykin CEO von Design4u Köln Tel.: +49 2219753416 E-Mail: webmaster@design4u.org Websites: ,
Vitaliy Malykin (Dipl.-Kfm.) ist seit 2005 in den Bereichen Webentwicklung, Online Marketing, SEO, SEM und SMO unterwegs. Zu seinen Fähigkeiten und Kenntnissen zählen u. a. Suchmaschinenoptimierung, Webentwicklung, Webdesign, WordPress Development, Storytelling, Erstellung und Optimierung von Longreads und conversionsbasierter Landing Pages, Growth Hacking, aber auch Kommunikation, Führung von remote Entwickler Teams, Unternehmensführung, Beratung und Business Development. Malykin realisierte diverse IT-Projekte, plante, implementierte und setzte SEO Strategien und Maßnahmen für mehrere bekannte Unternehmen in Deutschland, Europa, Russland und der Welt um.
Gute Beiträge sind es wert geteilt zu werden!

Hinterlasse als Erster einen Kommentar

Name*
Email*

Kommentar