Thema: Schadcode beim Lenovo-Treiber-Download

[SiLæncer]

Das Treiber-Download-Portal des Hardware-Herstellers Lenovo hat vorübergehend Schadcode verteilt. Mehrere Virenscanner meldeten einen Java-basierten Trojaner-Downloader beziehungsweise -Dropper. Noch immer befindet sich der von den Angreifern hinterlegte IFrame mit Verweis auf den Server volgo-marun.cn auf mehreren Seiten des Servers download.lenovo.com.

Derzeit verlaufen die Verweise auf den chinesischen Server allerdings ins Leere, sodass keine akute Gefahr besteht. Auch die Browser Firefox und Chrome warnen ihre Anwender inzwischen vor Zugriffen auf den Server. Da Lenovo aber anscheinend noch nicht reagiert hat, steht die Sicherheitslücke möglicherweise noch offen, sodass die Angreifer unter Umständen jederzeit aktualisierte IFrame-Links in den Download-Seiten hinterlegen könnten.

Der verwendete Dropper ist bereits mindestens seit Ende Mai bekannt. Welchen Schadcode er letztlich nachgeladen hat, ist unklar. Im Lenovo-Forum tauchten erste Hinweise auf die IFrames am vergangenen Samstagmittag auf. Wer in den vergangenen Tagen das Lenovo-Download-Portal besucht hat, sollte seinen Rechner mit aktualisierten Virensignaturen auf Einbruchsspuren untersuchen.

Quelle : www.heise.de

[SiLæncer]

Es gibt nun konkrete Hinweise, dass es sich bei dem Dropper um das Phoenix-Kit und bei dem nachgeladenen Schädling um den Bredolab-Trojaner handelte. Mittlerweile wurde auch das IFrame aus den Lenovo-Seiten entfernt.

Quelle : www.heise.de

[SiLæncer]

Lenovos Webseite für Trainings rund um Service und Support (www.lenovoservicetraining.com) versucht Besucher mit dem Trojaner Hackload.AD zu infizieren. Lenovo ist zwar seit dem gestrigen Montag informiert, tut sich aber offenbar schwer, das Problem zu lösen oder gar Anwender offiziell zu warnen. Immerhin ist die Seite in Googles Safe-Browsing-API mittlerweile als gefährlich vermerkt, sodass Browser wie Firefox und Chrome den Aufruf der Seite blockieren können. Die Virenscanner von ESET, Kaspersky und Avast erkennen Berichten zufolge den Angriffsversuch und wehren in ab.

Ersten Analysen zufolge wird der Trojaner von einem externen Server nachgeladen, was ein Link zu einem JavaScript in der Lenovo-Seite erledigt. Unklar ist derzeit allerdings, ob der zu einem Marketing-Unternehmen führende Link nachträglich von Kriminellen eingebaut wurde, um den Schadcode nachzuladen. Möglich ist auch, dass der Link bereits enthalten war und der Nachlade-Code nun über einen gehackten Ad-Server den Weg auf Lenovos Seiten findet.

Der Trojaner-Nachlade-Code ist mehrstufig und versucht die eigentlichen Herkunftsort des Schädings zu verschleiern. Das Skript auf der Lenovo-Seite lädt zunächst ein JavaScript von avidmarketing.ie nach, das wiederum ein Skript von chemphilic.com nachlädt, welches seinerseits weiteren Code von der Site dbal.co.uk holt. Bereits im Juni verteilte die Download-Seite für Treiber von Lenovo Schädlinge.

Quelle : www.heise.de