Lizamoon infiziert 1,5 Millionen Websites

Ein SQL-Injection-Angriff namens Lizamoon hat bisher über eine halbe Million Domains und 1,5 Millionen URLs infiziert. Die Angriffe hatten vergangene Woche begonnen und zunächst 50.000 Domains infiziert, indem sie ein JavaScript auf verwundbaren Seiten aktivierten. Eine kompromittierte Site verweist Anwender auf Schadseiten weiter.

Die erste aufgetauchte Domain war lizamoon.com – sie gab der neuen Epidemie den Namen. Sie hat tausende Opfer infiziert, ist aber mittlerweile offline. Die Infektion erfolgt inzwischen jedoch über andere Sites.

Websense weist in einem Blogbeitrag darauf hin, dass die Opfer über eine angebliche Antivirenlösung infiziert werden, die in Wahrheit bösartig ist. Ihr Name lautet Windows Stability Center. Die Schaddatei wird bisher von weniger als einem Viertel aller Antivirenlösungen erkannt.

Das Script, das Websites infiziert, um Anwneder zu diesem Download zu bewegen, wird nur einmal pro IP-Adresse ausgeführt. Zu denersten Opfern gehörten iTunes-Nutzer, da ein RSS-Feed kompromittierte URLs enthielt. Apple-Anwender waren allerdings sicher, da iTunes für Mac die Ausführung verhindert.

Dem Sicherheitsforscher Dancho Danchev zufolge, der auch für ZDNet.com bloggt, sind die Schadcode-Seiten alle einer einzigen IP-Adresse zuzuordnen. Alle wurden über falsche Google-Mail-Konten registriert.

Zwei Tage vor Lizamoon hatten zwei Hacker bei einem auf gut Glück ausgeführten SQL-Injection-Angriff auf Sun.com und MySQL.com Nutzernamen und Mailadressen aus internen Datenbanken entwendet.