WordPress: Trojaner-Gefahr durch Plugins

27. April 2017, von Redakteur

data-1590455_1920Trojaner Sathurbot hat es auf WordPress-Seiten abgesehen

Zurzeit wütet Sathurbot durch das WWW. Das Versprechen von kostenlosen Filmen und gratis Software ist verlockend. Und genau diese „Schwäche“ von Internetnutzern macht sich der Trojaner Sathurbot zu Eigen um sich weiter zu verbreiten und Schäden anzurichten.

Das Ziel von Sathurbot

Das primäre Ziel sind Webseiten, welche dem Content Management System WordPress zugrunde legen. Andere Seiten werden bisher nicht angegriffen.

Die Maleware bedient sich mehr als 5.000 grundlegenden generischen Wörtern um Anmeldeinformationen für WordPress-Webseiten herauszufinden. Dafür arbeiten verschiedene Bot im Sathurbot-Botnet. Jeder dieser Bots probiert auf der gleichen Webseite einen Anmeldeversuch aus. Anschließend gehen sie zur nächsten Internetpräsenz über. Die Beschränkung auf einen Login-Versuch garantiert, dass ein Bot nicht anhand seiner IP-Adresse erwischt werden kann und für weitere bzw. zukünftige Unternehmungen ausgebootet wird.

Der Infektionsweg

Jeder Trojaner benötigt ein „Fortbewegungsmittel“ um sich in den verschiedenen PCs einnisten zu können. Sathurbot benutzt verschiedene File-Sharing-Seiten. Auf diese Webseiten werden potentielle Opfer mit dem Angebot von kostenloser Software und Filmen gelockt. Nutzer müssen für dieses angebliche kostenfreie Angebot Torrents herunterladen. In Diesen Torrent-Dateien sitzt der Trojaner und wartet auf seine Gelegenheit.

Just in dem Augenblick wo ein Nutzer diese Datei ausführt, ist für den Trojaner der Weg frei den PC zu infizieren. Kaum, dass er den Rechner übernommen hat stellt er eine Verbindung um C&C-Server (Command and Control-Server) her, damit der Computer augenblicklich mit der Integration von Botnet beginnt.

Schutz vor Sathurbot

PC, die von Sathurbot gekapert wurden, können durchaus zurückerobert werden. Mit Hilfe eines Drittanbieter-Dateimanager kann die entsprechende Datei .DLL ausfindig gemacht werden. Im Anschluss muss die Datei mit dem Taskmanager explorer.exe und/oder rundll32.exe terminiert und gelöscht werden. Nachdem die Datei entfernt wurde, ist ein Neustart den PCs notwendig.

Nutzer können einem Befall durch Sathurbot auch vorbeugen, indem keine Dateien ausgeführt werden, deren Herkunft und Ursprung nicht hundertprozentig bekannt sind. Des Weiteren sollte man generell auf den Bezug von Daten von File-Sharing-Webseiten verzichten.

 Firewall bietet Schutz

Es werden immer wieder Viren und Trojaner auftauchen. Eine Firewall kann einen gewissen Schutz bieten, aber auch ein umsichtiges Verhalten im Internet.