PRAG, Tschechien, 10. August 2011 – Die Seite der Firma Super Glue (supergluecorp.com), dem Hersteller des weltbekannten Klebstoffs, wurde mit Malware infiziert. Nach fünf Tagen, scheint diese Infektion immer noch wie Kleber zu haften.


Bei der Infektion handelte es sich um einen einen Trojaner, der über JavaScript die Besucher auf eine Reihe von infizierten Webseiten weiterleitet bis hin zum finalen Ziel in Russland, welches wahrscheinlich eine Variante eines Fake Antivirus verbreitet.

Klicke auf die Grafik für eine größere Ansicht 

Name:	alert-vir.jpg 
Hits:	263 
Größe:	77,0 KB 
ID:	642


Die Malware wurde zuerst durch das CommunityIQ Sensorensystem an das AVAST Virenlabor übermittelt. Nachdem der erste Bericht darüber am 5. August, um 20:53 Uhr CET eintraf, wurde die Infektion vom Labor bestätigt und die Seite für die avast! Benutzer als schädlich markiert.


“Das Script generiert eine URL (hXXp://cameoprincess.com/index.php?go=lastnews&rf=) und mit Hilfe dieser ein Scriptschnipsel, welches im Wesentlichen den Code hinter dieser Adresse aktiviert” erklärt Alena Varkockova, Virenlabor Analystin. Die ‘cameoprincess’ Seite enthält einen JavaScript Code, der die Besucher auf ‘hXXp://papucky.eu/ext/’ weiterleitet, welche wiederum auf ‘hXXp://adeportes.es/images/info/js/js.php’ und dann auf ‘hXXp://labource.ru/iframe.php?id=0xxnnc3e8793z0nevu1f4o36ncdvg34’ weiterleitet.

Klicke auf die Grafik für eine größere Ansicht 

Name:	code.jpg 
Hits:	301 
Größe:	23,1 KB 
ID:	643


“Die letzte Adresse enthält dann den eigentlichen Schadcode - der im Moment abgeschaltet ist. Mit dieser Kombination von Weiterleitungen ist es statistisch gesehen sehr schwierig, den eigentlichen Schadcode zu entdecken" fügt sie hinzu. "Ein wahrscheinlicher Kandidat ist eine Art von Fake Antivirus."


Während eingebettete JavaScript Downloader oder Weiterleitungsverfahren weit verbreitet sind, ist es der AVF Trojaner auf der Super Glue Seite nicht. "Er ist nicht in den TOP 50 der Malware Ränge, aber wir erhielten heute bereits über 500 Berichte über Webseiten, die damit infiziert waren" sagt Varkockova.


AVAST Software hat die Firma Super Glue per Mail und Telefon über diese Malware in Kenntnis gesetzt. Sie haben dann den Trojaner später an diesem Tag entfernt und sich bei AVAST bedankt.