Webauftritt des Hamburger Abendblatts infiziert [2. Update]

Die Webseiten des Hamburger Abendblatts versuchen derzeit Besucher mit Schadsoftware zu infizieren. Nach einem Leserhinweis analysierte heise Security die Seite und entdeckte ein Script-Tag, das JavaScript-Code von dem Web-Server www.ffshrie.com nachlud.

Dieser Code schrieb dann ein iframe-Tag in die geöffnete Abendblatt-Seite, das wiederum eine HTML-Seite mit verschleiertem HTML-Code nachlud. Dieser verbirgt dann mit weiteren Verschleierungstechniken nur noch notdürftig, dass er mindestens eine ältere Sicherheitslücke des Internet Explorer auszunutzen versucht. Die Betreiber der Seiten wurden bereits informiert und arbeiten an der Beseitigung des Problems. Beim Schreiben der Meldung waren die Seiten allerdings noch online und infektiös.

Update:
Weitere Analysen mit einem verwundbaren Testsystem zeigten, dass der eingeschleuste Exploit die Datei MF1110.exe in C:\Windows\System32 installierte und als Autostart in der Registry verankerte. Einige Virenscanner melden diese Datei bereits als Rootkit beziehungsweise Passwort-Stealer. Unterdessen ist um 17:44 die Seite und der Exploit noch immer aktiv.

2. Update:
Der bösartige Code wurde offenbar am Montag Abend entfernt. (ju)