Sicherheits-Spezialist Websense hat einen neuen Trojaner im Web identifiziert: vom Benutzer unbemerkt verschlüsselt der eingeschleuste Code Dateien auf lokalen Laufwerken - anschliessend wird der Benutzer zum Kauf eines Tools aufgefordert, mit dem er seine eigenen Dateien wieder entschlüsseln kann. Ausgangspunkt ist der Besuch einer bösartigen Website, die eine Schwachstelle des Microsoft Internet Explorer ausnutzt. Dabei können Applikationen ohne eine Anforderung des Benutzers ausgeführt werden. Im vorliegenden Fall benutzt die bösartige Website das Windows Help Subsystem, um einen Trojaner herunter zu laden und auszuführen. Dieser stellt über HTTP eine Verbindung zu einer anderen bösartigen Website her, die wiederum eine Applikation startet, die automatisch Dateien auf der lokalen Festplatte des Benutzers oder auf anderen gemappten Laufwerken verschlüsselt. Anschließend erhält der Benutzer eine System-Nachricht, die ihn auffordert ein bestimmtes Tool zu kaufen, mit dem er seine eigenen Dateien wieder entschlüsseln kann. Websense konnte diese besonders dreiste Attacke im Rahmen der regelmässigen Beobachtung von sicherheitsrelevanten Websites identifizieren.

Website