Die Infizierung ist hier genau beschrieben: Infizierte Shopsysteme enthalten entweder einen eingebetteten iframe mit URL auf willysy.com oder direkt am TITLE-Tag eine Script -Einbettung mit URL von exero.eu (Abbildung von blog.armorize.com):
Bei erfolgreicher Infektion verbreiten die Seiten die Malware (‚update.exe‘) eines russischen Servers, wie dieses Video von Armorize.com zeigt:
Bei nicht erfolgreicher Infektion per Script-Einbettung taucht dessen Code im Title der Shops auf (Abbildung von blog.armorize.com, dort sind noch weitere Beispiele zu sehen).
Aktuell findet Google 90.000 Seiten auf DE-Domains, die den iframe enthalten und 622, die den Script-Link enthalten! Wie ein befallener Shop gesäubert werden kann, ist leider nicht befriedigend beschrieben. Der Tipp in den Kommentaren, den Eintrag im STORE_NAME Schlüssel der Konfigurationstabelle zu korrigieren, scheint nicht bei allen befallenen Systemen zu helfen.
Herzlich aus Hürth
Nicola Straub