2min

Eind vorige maand berichtten we al over een nieuwe vorm van malware die het gemunt heeft op de webshopsoftware osCommerce. Webshops die gebruik maken van deze software en deze sinds november 2010 niet meer hebben geüpdatet zijn hier gevoelig voor. Eind vorige maand ging het nog om 100.000 besmette pagina’s, inmiddels staat de teller op 6,3 miljoen.

Volgens het Amerikaanse beveiligingsbedrijf Armoriza verspreidt de malware zich razendsnel over nieuwe webshops en zijn steeds meer webwinkels de dupe. De malware heeft inmiddels de naam willysy gekregen en maakt misbruik van drie kwetsbaarheden in osCommerce die in november 2010 al zijn gepatched. Toch zijn er ontzettend veel webshops die nog een verouderde versie gebruiken.

De malware voegt via deze kwetsbaarheden een iframe toe aan de broncode van de webshop. Hierdoor kan kwaadaardige Javascript code worden ingeladen, welke het weer heeft gemunt op de bezoekers van de webwinkels. De malware richt zich daarbij op Adobe Reader, Java, Windows Helpcentrum en Internet Explorer. Ook voor al deze applicaties zijn inmiddels patches verschenen om de malware tegen te gaan, maar ook hier lopen veel gebruikers achter met hun updates.

Iedereen die gebruik maakt van osCommerce moet ervoor zorgen dat deze software minimaal wordt geüpdatet naar versie 2.3, al is het verstandigste om te updaten naar versie 2.3.1 of 3.0.1. Vooral de MKB’ers lijken het slachtoffer te worden van deze malware. Zij kiezen vaak voor osCommerce omdat dit gratis is, waarbij de shop vaak één keer wordt opgezet waarnaar er geen onderhoud meer plaats vindt aan de software.

Ook komt het vaak voor dat er bepaalde design elementen of aanpassingen in de code worden gedaan, die verloren gaan als men de software gaat bijwerken naar een nieuwe versie of niet goed meer functioneren. Hierdoor kiezen veel webwinkels ervoor om dan maar niet te updaten. Nu wordt elke osCommerce-webshop gedwongen om te updaten.

Volgens cijfers van osCommerce zelf draaien er momenteel bijna 250.000 webshops op hun platform. Waar het beveiligingsbedrijf Armorize er eind vorige maand nog vanuit ging dat bijna de helft van de webshops is besmet met deze malware, komt het daar nu op terug. Het is namelijk niet zo dat complete webshops worden besmet maar dat de malware zich richt op pagina’s die worden besmet. In totaal zouden er nu 6,3 miljoen pagina’s zijn besmet met malware.