Automatisierte Massen-Infektionen

Trojaner ASProx baut Botnetz für SQL-Injection- und Spam-Attacken auf

28.06.2010 | Redakteur: Stephan Augsten

Der ASProx-Trojaner hat per Spam ein Botnetz aufgebaut und geht nun zu SQL-Attacken aus ASP-Webseiten über.
Der ASProx-Trojaner hat per Spam ein Botnetz aufgebaut und geht nun zu SQL-Attacken aus ASP-Webseiten über.

Eine neue Version des ASProx-Trojaners, der bereits 2008 für automatisierte SQL-Injektionen verwendet wurde, hat über 10.000 Webseiten infiziert. Einem Bericht der M86 Security Labs zufolge wird der Trojaner per E-Mail versendet und hat seinerseits ein Spam-Botnetz aufgebaut. Nun kommt er wieder seiner eigentlichen Aufgabe nach.

Anfang Juni hatte das Cutwail-Botnetz alias Pushdo damit begonnen, den ASProx-Trojaner per E-Mail-Spam zu verbreiten. Fortan baute der Schadcode ein eigenes Botnetz auf, das wiederum zum Malware-Versand genutzt wurde.

Gelingt es dem ASProx-Trojaner einen PC zu infizieren, dann erhält er von seinen Command-and-Control-Servern einige Spam-Musterschreiben und die E-Mail-Adressen möglicher Opfer. Offenbar hat sich ASProx auf diesem Wege mittlerweile so weit verbreitet, dass er neben seinen Spam-Aktivitäten nun auch das tun darf, wofür er ursprünglich einmal konzipiert wurde.

Der Security-Hersteller M86 bringt den Schadcode mit einer groß angelegten SQL-Injection-Attacke in Verbindung. Um dieser Aufgabe nachzugehen, lädt ASProx auch SQL-Injection-Befehle und eine Liste der anzugreifenden Webseiten herunter. Außerdem kann der Trojaner eine Google-Suche initiieren, um weitere potenzielle Ziele ausfindig zu machen.

Von der Masseninfektion sind ausnahmslos Internet-Auftritte betroffen, die auf ASP basieren und auf IIS-Servern gehostet werden. Mittlerweile habe ASProx über 10.000 Webseiten kompromittiert, berichten die M86 Security Labs.

Der Name ASProx ist übrigens eine Kombination aus ASP und Proxy – und genau da liegt die eigentliche Stärke des Trojaners. Er leitet die Besucher infizierter Webseiten auf bösartige URLs um, über die dann weiterer Schadcode verteilt wird. Weitere Informationen zur aktuellen SQL Mass Injection durch den ASProx-Trojaner im Blog der M86 Security Labs.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2045749 / Malware)