Trojaner „BlacoleRef.D“

Kürzlich ist mir bei einem System eines Kunden die Datei „google_verify.php“ aufgefallen, nach dem herunterladen auf meinen Rechner, meldete mir das Virusprogramm den Trojaner „Exploit:JS/BlacoleRef.D“. Achten Sie daher in Ihrem System auf diese Datei.

Einbindung
Die Datei wird auf einen Webserver zu den normal ausgeführten PHP Dateien geschrieben und durch eine Zeile in der .htaccess an php-Dateien angefügt:

1
2
3
4
5
6
7

<IfModule mod_php5.c>
php_value auto_append_file "google_verify.php"
</IfModule>
 
<IfModule mod_php4.c>
php_value auto_append_file "google_verify.php"
</IfModule>

Inhalt
Der Inhalt ist ein verwirrender JavaScript-Code.

Symptome
Zur Erkennung gibt es leider keine, außer die Anzeige durch ein Virusprogramm oder das Betrachten von Links innerhalb aktiver IFrames.

Funktion
Das Script integriert einen IFrame mit Verweis auf einen bösartigen Host, dieser Host kann vom Angreifer verändert werden. Das enthaltene Script nutzt mehrere bekannte Schwachstellen von Browsern aus, um Schaden anzurichten.