Mehr als 100.000 Webseiten wurden in den letzten Tagen mit Schadcode infiziert. Darunter Online-Zeitschriften, Webseiten von Polizeistellen, aber auch Seiten anderer großer Organisationen wie TomTom oder das Wall Street Journal.
Ermöglicht wurde der Hack der Seiten durch SQL Injection, also durch eingabe von SQL Befehlen in oft ungeschützten Eingabefeldern von Suchfunktionen oder Formularen.
Ausgenutzt wurde laut Malware-Experte David Dede, eine Sicherheitslücke in der Banner-Ad Software der Microsofts IIS-Server-Plattform.
Die gehackten Seiten enthielten dann einen unsichtbaren Link auf die Malware-Domain Robint.us und infizierte Besucher dadurch unbemerkt mit dem Trojaner Mal/behav.290.
Robint.us wurde mittlerweile deaktiviert, sie war auf eine Adresse in China registriert. Die SQL Injection Angriffe kamen über die IP 121.14.154.69, welche ebenfalls China zugeordnet wird.
Quelle, The Register