Lenovos Webseite für Trainings rund um Service und Support (Lenovo Service and Support Training) versucht Besucher mit dem Trojaner Hackload.AD zu infizieren. Lenovo ist zwar seit dem gestrigen Montag informiert, tut sich aber offenbar schwer, das Problem zu lösen oder gar Anwender offiziell zu warnen. Immerhin ist die Seite in Googles Safe-Browsing-API mittlerweile als gefährlich vermerkt, sodass Browser wie Firefox und Chrome den Aufruf der Seite blockieren können. Die Virenscanner von ESET, Kaspersky und Avast erkennen Berichten zufolge den Angriffsversuch und wehren in ab.
Ersten Analysen zufolge wird der Trojaner von einem externen Server nachgeladen, was ein Link zu einem JavaScript in der Lenovo-Seite erledigt. Unklar ist derzeit allerdings, ob der zu einem Marketing-Unternehmen führende Link nachträglich von Kriminellen eingebaut wurde, um den Schadcode nachzuladen. Möglich ist auch, dass der Link bereits enthalten war und der Nachlade-Code nun über einen gehackten Ad-Server den Weg auf Lenovos Seiten findet.
Der Trojaner-Nachlade-Code ist mehrstufig und versucht die eigentlichen Herkunftsort des Schädings zu verschleiern. Das Skript auf der Lenovo-Seite lädt zunächst ein JavaScript von avidmarketing.ie nach, das wiederum ein Skript von chemphilic.com nachlädt, welches seinerseits weiteren Code von der Site dbal.co.uk holt. Bereits im Juni verteilte die Download-Seite für Treiber von Lenovo Schädlinge. (dab)
Quelle: Heise.de