Wordpress Projekte durch den neuen JS/iFrame.BO.1 Virus und Parallels Plesk Sicherheitslücke bedroht

Veröffentlicht in: Blog, am: 15 Juli 2012 | 2 Comments |

Vor einigen Tagen ist ein neuer Internet bekannt geworden – JS/iFrame.BO.1, der nun auch unter anderen Namen bekannt ist: „Trojan-Downloader.JS.Agent.gsv“, „Trojan.JS.Iframe.BPN“, „Trojan.JS.Iframe.BPN“ und „Trojan Blacole.GJ“. WordPress Projekte betroffen.

Computervirus

Computervirus

 

Virus Wirkungsweise

Der Virus infiziert unter Anderem JavaScript Dateien, indem ein verschlüsselter Code am Ende der jeweiligen .js-Datei angehängt wird. Die Antivirus Software „Avira“ kennt den Virus seit dem 10 Juli 2012 – ziemlich operativ, muss man sagen.

Bei den ersten kontaminierten Dateien, die wir bei einigen Testprojekten feststellen konnten, war das letzte Änderungsdatum der 8 Juli 2012. Am 12 Juli 2012 waren laut Avira bereits 644 Objekte mit dem Virus infiziert.

Bei einigen Projekten, die mit WordPress betrieben werden, schaffte es der Virus, die .js-Dateien von den aktiven WordPress Themes zu infizieren.

Laut Avira hat der Virus keine eigene Verbreitungsroutine und ist in JavaScript geschrieben. So weit so gut, wesentlich wichtiger ist es natürlich zu verstehen durch welche Lücke der Virus in das System gelangt.

Ist schuld?

In der WordPress Szene sprach man über eine kritische Sicherheitslücke bei dem beliebten Site-Verwaltungswerkzeug Plesk.
Plesk ist somit in den letzten Monaten zum zweiten Mal negativ aufgefallen – Anfang März 2012 ließ Strato viele Virtual Server von heute auf morgen sperren, weil bei Plesk eine Sicherheitslücke gefunden und aktiv ausgenutzt wurde.

0-Day-Exploit für Plesk

Vor drei Tagen, zeitlich sehr passend zu der Theorie mit Plesk, kam eine entsprechende Nachricht – ein 0-Day-Exploit für Plesk soll im Umlauf sein. Davon sind leider alle Plesk-Versionen, einschließlich Plesk 10.4.4 betroffen. Plesk selbst will dies nicht bestätigen, bringt aber eine entsprechende Erklärung, die sich ziemlich schwach anhört.

Eine Lösung für das Virus Problem

Parallels empfiehlt jedenfalls ein Upgrade auf die neueste Version, Parallels Plesk Panel 11. Ein Plesk Upgrade ist aber nicht gerade die schönste und einfachste Sache, weil es dabei immer wieder zu Problemen kommt. Es bleibt aber wohl nichts anderes übrig.

Davor müssen natürlich die Dateien, besonders die JavaScript Dateien, überprüft und der schädliche Code entfernt werden.

Wenn die Seite betroffen wurde und Google das bereits erkannt hat, so dass keine Besucher auf Ihre Seite kommen und folgende, unschöne Nachricht in Googles SERPs erscheint: „“, wenn Firefox Ihre Seite „“ bezeichnet, lesen Sie in unserem nächsten Artikel was Sie dagegen tun können.

Gute Beiträge sind es wert geteilt zu werden!

Hinterlasse als Erster einen Kommentar

Name*
Email*

Kommentar