PDA

View Full Version : Neues von der Viren-Szene



Voodoo
31.08.2005, 11:15
Vor wenigen Tagen wurde der Programmierer des Virus «Zotob» verhaftet. Einem Sicherheitsexperten sagte er, weshalb er den Wurm in Umlauf brachte.

Ein 18-Jähriger Marokkaner hat vermutlich den Computer-Virus «Zotob» programmiert. Wenige Tage nach dessen Festnahme veröffentlichte die «Washington Post» nun eine Chat-Unterhaltung zwischen ihm und einem Sicherheitsexperten von der University of Pennsylvania in Philadelphia, David Taylor.

In dem Chat brüstete sich der Marokkaner unter dem Pseudonym «DiablO» bereits Anfang Juni, mit dem Programmieren des Wurms «Zotob» Geld zu verdienen. Demnach ging es aber nicht darum, Kreditkartendaten zu stehlen, wie ursprünglich befürchtet.

Vielmehr machte es «Zotob» laut «DiablO» möglich, auf dem befallenen Rechner Werbung einzublenden – und so Geld zu verdienen. Es sei egal, so schrieb der Marokkaner, ob die Nutzer den Virus wieder deinstallieren würden. Die durch den Wurm installierte Toolbar habe die Werbung auch noch danach eingeblendet. «Es war sehr einfach», schrieb er. «Der Wurm wurde nur verbreitet, um Geld zu verdienen.»


Quellcode im Internet

Nach bisherigen Erkenntnissen verkaufte der in Russland geborene Marokkaner die Würmer an einen 21 Jahre alten Türken. Dieser wurde inzwischen ebenfalls verhaftet.

Laut dem Sicherheitsunternehmen F-Secure waren die beiden außer für Zotob auch für diverse Mytob-Varianten seit Februar dieses Jahres verantwortlich. Der Quellcode soll zudem im Internet verfügbar sein – inzwischen sind eine Reihe ähnlicher Würmer aufgetaucht, die offenbar die gleiche Schwachstelle in Windows-2000-Netzwerken ausnutzen.

Voodoo
07.09.2005, 09:40
Der Entwickler des Computerwurms «Sasser» muss offenbar keine Geldforderungen geschädigter Unternehmen befürchten. Auf Anfrage sagte eine Sprecherin des Landgerichts Verden in Niedersachsen, es lägen noch keine Schadenersatzklagen vor.

Der 19-Jährige war Anfang Juli zu einem Jahr und neun Monaten Jugendstrafe auf Bewährung verurteilt worden. Experten gehen davon aus, dass sein Wurm im Internet einen Schaden von mehreren Millionen Euro angerichtet hat.

Geschädigte haben noch bis Ende 2007 Zeit, ihre Ansprüche zivilrechtlich geltend zu machen. Erst dann sind etwaige Ansprüche verjährt.

Zu den Hauptbetroffenen gehörte der Software-Konzern Microsoft. Er hatte zur Ergreifung des Wurmentwicklers 250.000 US-Dollar ausgelobt und nach eigenen Angaben auch ausgezahlt.

«Sasser» hatte im Mai 2004 weltweit tausende Computer lahm gelegt. Die Staatsanwaltschaft hatte beklagt, dass die konkrete Schadenshöhe nicht zu ermitteln war, «weil Betroffene die Mitarbeit verweigert haben».

Voodoo
11.11.2005, 09:56
Erster Trojaner nutzt Sony BMGs Kopierschutz aus


Die AntiViren-Spezialisten der britischen Firma Sophos haben mitgeteilt, dass der erste Virus aufgetaucht sei, der sich die Eigenschaften der Kopierschutz-Software der Firma First 4 Internet zu Nutze macht, die auf CDs der Plattenfirmen Sony BMG und Universal zum Einsatz kommt.

Der Trojaner mit dem Namen "Stinx-E" wurde kürzlich an hundertausende britische E-Mail-Adressen verschickt, so Sophos. Wenn der Empfänger auf die angehängte Datei klickt, wird Schad-Software installiert, die die auf dem Rechner installierte Firewall ausser Gefecht setzt und so Kriminellen Zugang zu dem betroffenen System verschafft.

Die Schad-Software versteckt sich mit Hilfe des Kopierschutzes, der ebenfalls nicht sichtbar ist - das allerdings nur, wenn sich zuvor das Kopierschutzprogramm nach dem Einlegen einer Musik-CD ungefragt installiert hat. Sophos bezeichnete das Erscheinen des Virus als höchst unglücklichen Umstand für Sony BMG, deren Presse im Augenblick ohnehin wegen des rabiaten Kopierschutzes nicht sonderlich gut ist.

Erst heute hatte Sony BMG angekündigt, dass der Kopierschutz im nächsten Jahr auch grossflächig in Deutschland Einzug halten soll. Bei einigen Plattenfirmen, die zum Sony-Konzern gehören, kommt er jedoch bereits zum Einsatz - so zum Beispiel bei Columbia Records.

Voodoo
27.12.2005, 09:25
Manipulierte Bittorrent-Software wird auf Zombie-Rechnern installiert


In einem Botnet, das mehr als 10.000 PCs umfasst, werden seit einigen Wochen modifizierte Bittorrent-Clients installiert. Dies berichtet Face Time Communications ein auf Sicherheit bei Instant Messengern spezialisiertes Unternehmen. Es wird vermutet, dass eine Tätergruppe aus dem Nahe Osten das Botnet kontrolliert.

Auf den fremdgesteuerten Rechnern ("Zombies") ist ein Rootkit ("lockx.exe") installiert, das über einen AIM-Wurm verbreitet wurde ( wir berichteten ). Auf den über einen IRC-Server (Internet Relay Chat) kontrollierten PCs wurde bereits Ende November eine Version der P2P-Software Bittorrent installiert. Darüber werden unter anderen Raubkopien von Filmen verteilt.

Die Programm-Code der modifizierten Bittorrent-Software unterscheidet sich nach Angaben von Face Time eindeutig von anderen, legitimen Versionen, enthält jedoch wahrscheinlich selbst keinen schädlichen Code. Mutmaßlich wurden die Änderungen vorgenommen, um Sicherheitsmaßnahmen zu umgehen.

Die P2P-Software könnte auch dazu genutzt werden, größere Datenmengen aller Art, darunter auch Adware, Spyware und Raubkopien zu verbreiten. Die Gruppe, die das Botnet kontrolliert, betreibt auch Web-Server mit Torrents. Die fremdgesteuerten Bittorrent-Teilnehmer sind im Netz nicht von anderen unterscheidbar.

Die Rootkit-basierte Software wird über Instant Messenger, namentlich AIM, verbreitet, Die gesendeten Nachrichten enthalten Bestandteile wie "evilday.us/pic????.com" (? = Zahl) oder "how do I look[IP-Adresse]/~q8army/pic0023.com". Der enthaltene Link führt zu einem von vielen Web-Servern, von wo dann Malware herunter geladen und installiert wird.

Da auch diverse andere Schädlinge auf ähnliche Weise verbreitet werden, auch in anderen IM-Netzen, sollten Sie Links in Mitteilungen nicht einfach anklicken. Sie gehen ein nicht zu unterschätzendes Risiko ein, sich Malware auf den Rechner zu laden.

Voodoo
23.01.2006, 17:14
20 Jahre Computer-Viren


Nicht gerade ein Grund zum Feiern ist der zwanzigste Geburtstag des Virus "Brain.A", des ältesten bekannten Virus für IBM-kompatible PCs. Er wurde im Januar 1986 entdeckt und gilt als Urvater der PC-Viren.

Vorläufer auf anderen Computersystemen gehen noch weiter zurück. So kreierte John Walker, der spätere Gründer der CAD-Firma Autodesk, bereits in den 1970er Jahren ein Programm, das sich selbsttätig von Computer zu Computer verbreiten konnte, also den wohl ersten Wurm. Das Programm "PERVADE" verteilte ein Spiel namens "ANIMAL", richtete jedoch keinen Schaden an.

Der erste bekannte Virus für Desktop Computer war "Elk Cloner" für den Apple II, der Disketten infizierte und bei jedem fünften Aufruf ein Gedicht anzeigte. Er wurde bereits 1982 von Richard Skrenta geschrieben.

Vier Jahre später schrieben drei Brüder aus Pakistan den ersten x86-Virus, Brain.A . Dieser richtete keinen Schaden an sondern machte Werbung für die pakistanische Computer-Firma " Brain Computer Services ", heute ein Konzern mit mehreren Geschäftsfeldern.

Brain.A war im Grunde auch zugleich der erste Schädling, der so etwas wie Rootkit-Techniken verwendete. Er infizierte den Boot-Sektor und hängte sich in den BIOS-Interrupt INT 13 ein. Wenn ein Programm den Boot-Sektor auslesen wollte, zeigte er diesem den originalen Boot-Sektor. Viren, die sich solcher Tarntechniken bedienten, wurden damals als "Stealth-Viren" (Tarnkappenviren) bezeichnet.

Ein erkennbarer Effekt des Brain-Virus war die Änderung der Datenträgerbezeichnung (Volume Label) in "(c) Brain". Dieser Virus und seine Varianten gelten heute als ausgerottet. Es werden jedoch auch heute noch Viren im klassischen Sinne programmiert, die Dateien infizieren - zum Beispiel W32/Stanit .

Voodoo
25.01.2006, 09:52
Trojaner bedrohen Mobiltelefone


Gleich drei "Trojanische Pferde" könnten Schaden an Mobiltelefonen anrichten, warnen Anti-Virus-Hersteller.

Der schädigende Code verbreitet sich via Bluetooth oder MMS (Multimeda Message), es greift Handys mit Symbian-Betriebssystem an. Bisher sind allerdings noch keien Mobiltelefone davon betroffen, wie unsere Schwesterpublikation Computerpartner berichtet.

Das "Bootton.E" genannte Trojanische Pferd ist das gefährlichste der Troika. Es ist von F-Secure und Symantec entdeckt worden. Botton E. führt einen Neustart des Mobiltelefons durch und hinterlässt dabei fehlerhafte Systemkomponenten, die das Gerät unbrauchbar machen.

Ein "Pbstealer.D" genannter Trojaner sendet die gespeicherten Adressen, Kalendereinträge und die komplette Aufgabenliste des verseuchten Smartphones an jeden User in Bluetooth-Reichweite (je nach Gerät bis zu 100 Meter, üblicherweise bis 10 Meter). Das dritte Trojanische Pfertd, Sendtool.A, sendet Schadprogramme wie Pbstealer an andere Mobilgeräte.

Sowohl Symantec als auch F-Secure geben zu, dass diese Trojaner sich kaum verbreiten können: "Dazu sind sie zu unflexibel", sagt Ollie Whitehause, Virologe bei Symantec. Im Gegensatz zu Computerwürmern können sich die oben erwähnten Trojaner nicht ohne Wissen und aktive Mitarbeit der betroffenen Anwender verbreiten.

Noch sind also keine Mobiltelefone von den Trojanern befallen worden, aber bestimmte Personen arbeiten bereit daran. Dies glaubt Anton Von Trover, Marketing Manager bei F-Secure.

Deswegen benötigen Mobiltelefone noch keine spezifische Antiviren-Software, meint David Wood, Forschungsleiter bei Symbian Ltd. Ebenso wenig besteht die Notwendigkeit für eine "Handy-Firewall". Dennoch: Mit der sich abzeichnenden steigenden Gefahr auch für mobile Plattformen sollten sich Unternehmen allerdings darauf vorbereiten, warnt Rob Bamforth, Analyst bei Quocirca Ltd.

Der Marktforscher empfiehlt Systemadministratoren, eine unternehmensweite Richtlinie für die Nutzung der mobilen Infrastruktur festzulegen. Zwar müsste diese heute noch keine Antivirus-Software enthalten, aber man sollte sich dieser Gefahr stets bewusst sein.

Voodoo
01.03.2006, 22:56
Neuer Virus bedroht alle Handys mit Java-Funktionen


Die Sicherheitsspezialisten der russischen Firma Kaspersky warnen vor einem neuen Virus für Handys, der nicht nur Smartphones, sondern alle Telefone mit Java-Funktionen befallen kann. Die Schad-Software gibt sich als "RedBrowser" aus nd verspricht kostenlosen WAP-Zugriff über einen SMS-Dienst.

Tatsächlich werden Daten an einen Premium-SMS-Dienst gesendet, der rund fünf US-Dollar pro Nachricht kostet. Kaspersky ist der Meinung, dass RedBrowser ein weiteres Beispiel dafür ist, dass die Autoren von Schad-Software ihren Horizont über Computer und Smartphones hinaus erweitern und immer neue Angriffsziele in Betracht ziehen.

Die von RedBrowser ausgehende Gefahr wird als eher gering eingeschätzt, da ein Handy-Besitzer die Software zunächst über eine Bluetooth- oder WAP-Verbindung herunterladen muss. Seitens der Experten wird empfohlen, dass Eigner von Mobiltelefonen mit Java-Funktionen (J2ME) wie üblich keine unbekannten Programme herunterladen und ausführen sollten.

Bisher existiert nur eine Variante der neuen Malware. Diese versucht die Kunden einiger russischer Mobilfunkbetreiber zu infizieren. Das Programm lässt sich problemlos mit den Bordmitteln eines befallenen Java-Handys entfernen.

Voodoo
04.05.2006, 16:23
Trojaner klaut Passwörter von World of Warcraft


Der Hersteller von Antivirus-Software MicroWorld warnt vor einem neuen Schädling, der gezielt das beliebte Online-Rollenspiel World of WarCraft angreift. Das Programm soll Passwörter ausspionieren, mit deren Hilfe die Angreifer virtuelle Gegenstände aus dem Spiel offenbar in echtes Geld verwandeln wollen.

MicroWorld hat das trojanische Pferd "Trojan-PSW.Win32.WOW.x" genannt, eine neue Variante des Programms soll sich derzeit schnell verbreiten. Das geschehe über nicht genauer benannte Filesharing-Netze, aber auch über Webseiten. Laut den Virenforschern existieren bereits mehrere "dubiose" Spiele-Webseiten, die mit manipulierten Popup-Anzeigen über eine Sicherheitslücke im Internet Explorer den Code des Trojaners einschleusen.

Das Programm soll dann mehrere Antivirenpakete und auch Firewalls deaktivieren, bevor es das Passwort von World of Warcraft an seine Erzeuger schickt. Das macht den Rechner auch anfällig für andere Schädlinge. Zudem sollen die "umstrittenen Rootkit-Komponenten mancher Musik-CDs" von dem Trojaner auch verwendet werden, so MicroWorld. Gemeint sind damit wohl die von Sony vertriebenen CDs mit dem DRM-System XCP.

MicroWorlds CEO Govind Rammurthy sieht hinter dem neuen Trojaner klar die Absicht, Gegenstände aus WoW verkaufen zu wollen: "Die neuen Varianten von Win32.WOW zeigen klar, dass die Autoren von Schadsoftware alles angreifen, das verwundbar ist und wo es um Geld geht. Dabei ist vielleicht weniger zu verdienen als bei einem Trojaner, der Bankzugangsdaten oder Kreditkartennummern stiehlt. Cyber-Kriminellen macht das aber nichts aus, solange das Ziel leicht angreifbar ist und in hoher Zahl existiert."

vamp
31.08.2006, 07:56
Ein neuer Computer-Virus, der sich derzeit in Umlauf befindet, soll angeblich Windows zerstören können. Wie das Sicherheitsunternehmen F-Secure mitteilt, kann "Haxdoor.Kl" im PC solche Schäden anrichten, dass das Betriebssystem nach seiner Infizierung nicht mal mehr in der Lage sei zu booten . Eine Reparatur des Systems sei danach so gut wie unmöglich.

"Haxdoor" kommt offenbar aus Schweden, wird nach Angaben der Sicherheitsexperten via E-Mail verbreitet und steckt dabei als ausführende Datei in einem Zip-Archiv im Anhang der pam. Beim Öffnen des schadhaften Programms werden manipulierte System- und Log-Dateien in Unterverzeichnisse von Windows und von dort aus in den Arbeitsspeicher kopiert, die daraufhin jeden weiteren PC-Start unterbinden. Zuvor setzen sie die Sicherheitsprozesse außer Kraft, damit PC und Windows gleichermaßen die Infektion weder verhindern noch beheben können.

Die mit "Haxdoor" verseuchten Dateianhänge heißen "rechnung.zip" und "rechnung.exe" - beziehungsweise "rakningen.zip" und "rankningen.exe", die schwedische Übersetzung davon. Im Betreff der E-Mail sowie im Mailtext wird mehr nicht verraten; der Anwender soll nach dem Willen der Betrüger den Anhang öffnen, um scheinbar mehr zu erfahren. Dann ist es jedoch schon zu spät und der PC ist infiziert. Die Experten raten daher dringend, der Neugier nicht zu erliegen und E-Mails mit unbekannter Herkunft ungeöffnet zu löschen.


Quelle: de.news.yahoo.com (http://de.news.yahoo.com/30082006/359/neuer-virus-haxdoor-windows-zerstoeren-0.html)

lord_schuldig
31.08.2006, 12:15
also Windows nicht mehr zum booten zu bekommen is ja auch nicht schwer :/
löscht man einfach sone bestimmte Datei im system32 Ordner läuft Windows auch nicht mehr hoch xD

vamp
31.08.2006, 12:36
wieso system32 ordner?? das gehte auch im Hauptverzeichnis ganz einfach ;)

lord_schuldig
31.08.2006, 12:40
ja halt irgentwas löschen :D

Young-Steff
31.08.2006, 21:08
bei format c: auch ^^

lord_schuldig
31.08.2006, 23:43
pf^^ das is was anderes :D
außerdem is Windows bei mir nicht auf c :D

BlackFog
01.09.2006, 13:23
Aber wir sind uns ja einig: das ist keine Glanzleistung! http://www.webwork-community.net/images/smilies/auslach.gif

BlackFog

lord_schuldig
01.09.2006, 19:14
allerdings :D

vamp
11.09.2006, 20:43
Neue Variante des Mail Wurms Warezov


Die neue Variante des Wurms preist sich selbst als angebliches Sicherheitsupdate für bereits befallene Systeme an.


Die Sicherheitsexperten von F-Secure warnen vor einer neuen Variante des Email Wurms Warezov. Der als Email-Worm.Win32.Warezov.q oder Email-Worm.Win32.Warezov.r benannte neue Schädling kommt als angebliches Sicherheitsupdate, betitelt unter anderem mit "Mail Server Support", in das virtuelle Postfach. Somit soll dem ahnungslosen Nutzer vorgegaukelt werden, dass sein System bereits infiziert sei und die Rettung, in Form einer ausführbaren Datei im Anhang, gleich mitgeliefert wird. Führt der gutgläubige Nutzer die Datei aus, nistet sich die Schadsoftware im System ein und lädt weiteren Code aus dem Internet nach. Dabei soll eine Verbindung zu der Domain "yuhadefunjinsa.com" hergestellt werden, von der die Daten bezogen werden.
Leider ist bisher wenig über die genauen Aktivitäten des Schädlings bekannt. Eine ältere, als Warezov.c benannte Version, durchsucht befallene Systeme nach Mailadressen an die sich der Wurm dann selbsttätig weiter verschickt. Zudem versucht die Malware einen Trojaner Namens Trojan.Win32.Agent.wc aus dem Internet zu laden und auf dem System zu installieren. Da auch die aktuelle Variante Kontakt zu einer Internetseite aufnimmt, ist auch hier davon auszugehen, dass ein Trojaner in das System installiert werden soll.

Quelle: Tecchanel (http://www.tecchannel.de/news/themen/sicherheit/447411/index.html)

vamp
21.09.2006, 11:14
Im Messenger Netzwerk des AOL Instant Messengers verbreitet sich derzeit ein neuer Wurm. Alles beginnt mit einer augenscheinlich harmlosen Meldung eines AIM-User, in der ein Link zu einem Bild enthalten ist. Will man es öffnen, installiert sich ein Trojaner auf dem System.

Dieser platziert eine Datei namens csts.exe im Windows-Ordner system32. Diese Datei kann für eine ganze Reihe von Szenarios verwendet werden. Bisher wurde von den Sicherheitsexperten von FaceTime beobachtet, wie diverse Dienste gestartet und der Port 25 geöffnet wurde. Anschließend wird das System verwendet, um Spam-Mails zu versenden.

Außerdem kann ein Rootkit installiert werden, so dass der PC Teil eines Botnetzes wird und Befehle entgegen nimmt. So können die infizierten Rechner genutzt werden, um den ursprünglichen Trojaner weiter über das AIM-Netzwerk zu verbreiten. Es gibt derzeit keine Möglichkeit, sich vor diesem Schädling zu schützen, es sei denn man nutzt einen aktuellen Virenscanner, der ständig das System überwacht. In Normalfall sollte es auch der gesunde Menschenverstand tun, der einem sagt, dass man nicht auf Links von unbekannten Kontakten klicken sollte.

Quelle: Winfuture.de (http://www.winfuture.de/news,27557.html)

vamp
11.10.2006, 08:21
Microsoft aktualisiert kostenlose Antivirus-Software



Microsoft hat eine überarbeitete Version seiner Schutz-Software zum Download bereitgestellt. Erkannte das "Windows-Tool zum Entfernen bösartiger Software" bisher 73 weit verbreitete Internet-Schädlinge, soll die neue Programmversion 1.21 jetzt Prüfroutinen für 76 Viren, Würmer und Trojaner integrieren.

Identifizieren und Löschen kann die Software jetzt auch die Schadprogramme "Harnig", "Passalert" und "Tibs". Jedoch soll das Programm allein unter Windows 2000, Server 2003 oder XP laufen, benötigt dafür aber keine Installation.

Findet das "Windows-Tool zum Entfernen bösartiger Software" ein oder mehrere Schadprogramme, werden diese automatisch entfernt.

Quelle: CHIP.de (http://www.chip.de/news/c1_news_22218307.html?tid1=9226&tid2=0)

vamp
24.10.2006, 10:17
Neuer Trojaner installiert eigene AntiVirus-Software


Normalerweise ist es bei Viren und Würmern durchaus üblich, auf dem Host-System installierte AntiVirus- oder AntiSpyware-Programme am abrufen von Signaturdateien oder dem Durchsuchen des Computers zu hindern. Nun ist jedoch erstmals ein Trojaner aufgetaucht, der einen eigenen Virenscanner mitbringt.

Der Trojaner SpamThru bingt eine illegale Version von AntiVirus for WinGate des russischen Herstellers Kaspersky Labs mit, die in einem versteckten Ordner untergebracht wird. Das Programm wird dann verwendet, um den Computer nach anderer Schad-Software zu suchen und diese beim nächsten Neustart zu entfernen. Offenbar will der Autor auf diesem Weg die Konkurrenz ausschalten.

SpamThru enthält auch weitere Neuerungen, die bisher unter den Autoren von Schad-Software noch nicht verbreitet sind, aber langsam immer mehr Zuspruch finden. So kann der Trojaner über eine Art P2P-System kontrolliert werden, statt wie bisher sehr verbreitet über einen IRC-Chat. Das Unternehmen SecureWorks hat einen entsprechenden Sicherheitshinweis veröffentlicht.


Quelle: Winfuture.de (http://www.winfuture.de/news,28116.html)

Voodoo
24.10.2006, 10:24
hehehe, auch nicht schlecht. So hat ein verseuchtes System nur noch ein Virus statt 30.

Voodoo
28.11.2006, 16:13
Japanische Forscher entwickeln Virenschutz-Chip


Japanische Forscher haben einen Mikrochip entwickelt, der Viren stoppen soll, bevor sie in einen Computer eindringen können. Die Neuentwicklung soll in Routern zum Einsatz kommen und könnte die Funktion von Sicherheits-Software auf Dauer verändern.

Durch die Nutzung in einem Router können Gefahren aus dem Internet abgewehrt werden, ohne dass der Betrieb eines PCs beeinträchtigt wird. Bisher erkennt der Chip jedoch nur eine sehr geringe Anzahl von Viren und Würmern. Deshalb nutzt man ein wiederbeschreibbares System, so dass Virendefinitionen nachgeladen werden können.

Die Forscher wollen ihr Produkt in den nächsten Jahren massenmarkttauglich machen, doch aktuell gibt es noch patentrechtliche Hürden. Einige Patente für programmierbare Chips müssen zunächst auslaufen, bevor man ein derartiges System auf den Markt bringen kann, so die Erfinder der Technologie.

vamp
19.12.2006, 12:22
Neuer Passwort-Trojaner verbreitet sich über Skype


In einem Blog-Eintrag warnt der Sicherheitsdienstleister Websense Security Labs vor einem neuen Wurm, der sich über die beliebte VoIP-Software Skype verbreitet. Bisher werden erste Berichte zu dem Wurm untersucht, einige Details sind jedoch bereits bekannt.

Offenbar wird der Wurm über die Dateiübertragungsfunktion von Skype verschickt. Der Anwender muss dem Download also erst zustimmen. Die angebotene Datei heisst "sp.exe" und enthält offenbar einen Passwort-Trojaner, der Zugangsdaten zu Webseiten aufzeichnet und an einen Server im Internet überträgt.

Gleichzeitig sorgt die Datei dafür, dass der Wurm weiterversendet wird. Die Datei kommt in gepackter Form auf den Rechner und nutzt dafür einen eher unbekannten Algorithmus. Das Programm versucht ausserdem über das Internet weiteren Code herunterzuladen. Im Augenblick ist wohl vor allem Südkorea betroffen. Weitere Details sollen später noch veröffentlicht werden.

Quelle: Winfuture.de (http://www.winfuture.de/news,29086.html)

Voodoo
01.02.2007, 16:02
Bundeskriminalamt warnt vor gefälschten Mails


Nachdem vor einigen Wochen bereits gefälschte Viren-Emails mit GEZ- und 1&1-Adressen in den Umlauf gebracht wurden, ist nun das Bundeskriminalamt (BKA) als Absender dieser Rundschreiben verwendet worden. Das Bundeskriminalamt (http://www.bundeskriminalamt.de/)warnt dringend davor, den Dateianhang der E-Mails zu öffnen. Der Betreff dieser E-Mail lautet "Ermittlungsverfahren Nr. X", wobei X eine Variable für eine sechsstellige Zahl darstellt.

Es handelt sich um eine derzeit noch nicht näher zu klassifizierende Schadsoftware, die sich unter Umständen beim Öffnen automatisch per E-Mail an die im Adressbuch des Rechners gelisteten Adressen weiterversendet oder weitere Schadfunktionen auf dem Rechner ausführt. Die Mehrheit der aktuellen Virenschutz-Scanner erkennt die Datei zur Zeit nicht als Schädling.


Der Inhalt der gefälschten E-Mails besagt, dass gegen den Empfänger angeblich eine Strafanzeige erstellt wurde. Der Empfänger wird aufgefordert, die im Anhang befindliche angebliche Strafanzeige auszudrucken und mit einer Stellungnahme versehen an den Absender zu faxen. Das BKA rät, die E-Mails zu löschen und zeitnah die Update-Funktion der Virenschutz-Software zu nutzen. Das BKA bittet von einer Weiterleitung an die Behörde abzusehen.

Deadman
09.03.2007, 17:56
Kritische Lücke in Medienplayern MPlayer und Xine

Der Linux-Distributor Mandriva hat aktualisierte Pakete für den Medienplayer MPlayer (http://www.mplayerhq.hu/) ausgeliefert, in denen eine kritische Lücke in Mandriva 2007 und Mandriva Corporate 3.0 geschlossen wird. Mit präparierten Videodateien ist es möglich, Code auf einen PC zu schleusen und zu starten. Dazu muss das Opfer aber eine bösartige Datei auf den Rechner laden und abspielen. Bei der derzeitigen Popularität von Seiten wie YouTube, ClipFish und dergleichen sollte dies einen Angreifer aber vor keine allzu große Hürde stellen. Einen ähnlichen Vorfall gab es bereits im Dezember 2006, bei dem Phisher Passwörter mittels präparierter Quicktime-Videos ausspähten (http://www.heise.de/security/news/meldung/81924). <cadv></cadv>

... (http://www.heise.de/newsticker/meldung/86481)

Da Xine und MPlayer teilweise die gleiche Codebasis benutzen, ist Xine ebenfalls verwundbar. Ubuntu hat deshalb neue Pakete der xine-Bibliothek xinelib veröffentlicht. Ein Update für den MPlayer gibt es von Ubuntu nicht, da dieser aus dem Multiverse-Repository stammt. Die Repositories Universe und Multiverse erhalten nämlich keinen vollen Support mit Security-Updates. Diese Problematik hat bereits in der Vergangenheit zu Problemen bei Ubuntu-Anwendern geführt (http://www.heise.de/security/news/meldung/78514).
Windows-Anwender müssen auf ein offizielles Release warten, alternativ können sie die Quellen aus dem CVS auch selbst übersetzen.

Deadman
21.03.2007, 20:40
Kaspersky empfiehlt Interpol für das Internet




Der Mitbegründer der russischen Sicherheitssoftware-Firma Kaspersky Lab (http://www.kaspersky.com/de/), Eugene Kaspersky, hat sich für die Etablierung einer internationalen Internet-Kriminalpolizei ausgesprochen. In einem Interview (http://www.haz.de/cebit/295780.html) mit der Hannoverschen Allgemeinen Zeitung (HAZ (http://www.haz.de/)) sagte Kaspersky, es sei schwer für nationale Ermittler, Computerkriminalität zu stoppen, da die Täter meist international aktiv seien. "Wir brauchen Interpol fürs Internet. Die Europäische Kommission denkt schon über so etwas nach, aber das reicht nicht. Die russische, die chinesische und die amerikanische Polizei müssen auch mitmachen", verdeutlicht Kaspersky.<table align="right" border="0" cellpadding="3" width="200"><tbody><tr><td align="right">http://oas.wwwheise.de/RealMedia/ads/adstream_lx.ads/www.heise.de/newsticker/meldungen/internet/523348387/Middle1/avm05_12nint_07/avm05_12nint_07_script.html/35356230363030363436303138316130?_RM_EMPTY_</td> </tr> </tbody></table>
Auf die Frage, was passieren soll, wenn nicht alle Länder mitmachen, sagte der 41-Jährige: "Diesen Ländern würde ich den Zugang zum Internet versperren." Kaspersky, der die Forschungsabteilung von Kaspersky Labs in Moskau leitet, geht davon aus, dass die Zahl der Schadprogramme in Zukunft weiter steigen wird. Auch die Zahl der Hacker werde weiter zunehmen, "denn Computerhacking ist ein sehr lukratives Geschäft mit einem geringen Risiko". 2006 seien auf der ganzen Welt gerade mal hundert Hacker festgenommen worden. Es gebe aber tausende. "Und ich fürchte, dass die Zahl der Hacker auf 10.000 oder 100.000 steigen wird."

[...]
Phishing hält der Sicherheitsexperte auch künftig für ein großes Problem, weil es ein lukratives Geschäft sei und "die Leute diese Mails immer noch öffnen". Handy-Viren würden wegen der geringen Verbreitung von Smartphones noch weniger Probleme bereiten, seien aber ebenfalls eine ernst zu nehmende Bedrohung. Es wisse von einem russischen Mobilfunkbetreiber, der jeden Monat 20.000 bis 30.000 infizierte Multimedia-Nachrichten abfängt, erklärte Kaspersky im HAZ-Gespräch. Diese würden wie ein E-Mail-Wurm funktionieren und Mobiltelefone beispielsweise so infizieren, dass sie kostenpflichtige SMS-Dienste empfangen. "Trau keinem, den du nicht kennst", warnt Kaspersky. "Also keine Nachrichten von unbekannten Absendern lesen. Außerdem sollte der Datenempfang via Bluetooth ausgeschaltet sein."


Quelle: heise.de (http://www.heise.de/newsticker/meldung/87171)

Voodoo
23.03.2007, 15:57
Erneuter Trojaner-Alarm im Netzwerk von Skype


Nachdem im Februar ein Wurm namens Warezov bzw. Stration zahlreiche Nutzer der VoIP-Software Skype infiziert hat, macht jetzt eine neuere Version die Runde. Ist erstmal ein PC infiziert, versucht die Schadensroutine alle Freunde in der Kontaktliste zu erreichen.

Dazu wird eine Textnachricht mit einem Link verschickt, hinter dem sich eine Datei versteckt, die heruntergeladen werden soll. Macht man das, installiert sich der Trojaner auf dem Rechner und lädt noch einige weitere Programme aus dem Internet herunter. Damit kann der Angreifer die Kontrolle über den PC übernehmen, beispielsweise um Spam-Mails zu verschicken.

Die bekannten Anti-Virenprogramme sollten den Schädling inzwischen erkennen und Alarm schlagen, wenn die Datei heruntergeladen wird. Grundsätzlich sollte man nicht auf Links klicken, die aus heiterem Himmel hereinschneien.

Deadman
24.03.2007, 03:30
Mails mit Trojanern warnen vor Mails mit Trojanern



Besonders dreist ist die neueste Variante der offenbar nun monatlich wiederkehrenden gefälschten 1&1-Rechnungen (http://www.heise.de/security/news/meldung/84170). Die Mail enthält einen Sicherheitshinweis, man solle keinesfalls Anhänge in gefälschten Mails öffnen. Vielmehr solle man nur Mails wie dieser trauen. Die Echtheit der 1&1-Rechnung erkenne man daran, dass echte Rechungen immer als ZIP-Datei beigefügt seien und immer einen Sicherheitshinweis enthielten: <cadv></cadv><table align="right" border="0" cellpadding="3" width="200"> <tbody><tr> <td align="right"> </td></tr></tbody></table>

Aktueller Sicherheitshinweis:
=============================
Unbekannte haben Millionen von E-Mails versendet,
die sich als Rechnungen der 1&1 Internet AG tarnen.
Diese E-Mails versuchen den Rechner des Empfängers mit einem Virus zu infizieren.
Ausschließlich solchen E-mails wie dieser können Sie vertrauen.
Öffnen Sie keinesfalls in gefälschten E-Mails angehängten Dateien!


Sie erkennen die Echtheit Ihrer 1&1 E-Mail-Rechnung an folgenden Merkmalen:



- Sie erhalten echte Rechnungen immer als ZIP Dateien
- Sie finden immer diesen Sicherheitshinweis darin



Quelle: heise.de (http://www.heise.de/newsticker/meldung/87268)

Deadman
30.03.2007, 13:11
Gefährliche Sicherheitslücke im Internet Explorer


Laut Golem.de (http://www.golem.de/0703/51436.html) und heise.de (http://www.heise.de/newsticker/meldung/87633) bestätigte Microsoft (http://www.microsoft.com/de/de/default.aspx) heute einen kritischen Fehler im Internet Explorer (http://www.microsoft.com/germany/windows/ie/default.mspx). Danach sei es möglich durch präparierte ani-Dateien für animierte Cursor einen Schadcode auf den Rechner zu schmuggeln und diese Auführen zu lassen. Vorraussetzung sei dafür eine präparierte Webseite oder HTML-E-Mail in der bei der Ausführung die .ani-Datein nicht korrekt überprüften werden.
In Outlook Express helfe es nichteinmal die Emails in reiner Textform anzeigen zu lassen, wogegen Outlook 2007 da sicherer sei, da dieser zum Anzeigen von Textmails Word benutze.

Betroffen seien der Internet Explorer 6 und 7 unter Windows 2000 SP 4, XP mit Service Pack 2, XP 64-Bit Version 2003 für den Itanium, XP Professional x64, Windows Server 2003 mit und ohne Service Pack 1 (auch für den Itanium), Server 2003 x64 Edition und auch das neueste Betriebssystem aus Redmond, Windows Vista. Nichteinmal Vistas "geschützter Modus" banne die Gefahr vollkommen.

Dabei habe Determina (http://www.determina.com/) Microsoft bereits Oktober 2006 über diesen Fehler informiert und einen inoffiziele Patch (http://www.heise.de/security/news/meldung/78918) rausgebracht.
Eine andere Lösung um dieses Problem zu umgehen wäre die Nutzung eines anderes Internet Explorers, welcher diesen Schadcode nicht ermöglicht.

Deadman
02.04.2007, 12:23
Microsoft (http://www.microsoft.com/) kündigte nun für den Dienstag dieser Woche (03.04.2007) ein Update an, welches die Lücke im Internet Explorer schließen solle. Dabei verkündetet die Redmonder, dass bereits seit Dezember an diesem Problem gearbeitet wurde oder es zumindest bekannt wäre.

Da jene Seiten die den Schadcode enthielten nun größten Teils nicht in .ani sondern in <tt>.jpg</tt>, <tt>gif</tt>, <tt>.css</tt>, <tt>.htm</tt> oder <tt>.js gefunden worden sind, ist es auch nicht möglich die Dateinamen am Internet-Gateway auszufiltern.
</tt>Bis zu dem Update riet Mircosoft die Virenscanner aktuell zu halten, da man bereits einige Merkmale der Signatur des Schadcodes herausfiltern könne.
Andreas Marx von av-test.org (http://www.av-test.org/), gab allerdings zu, dass die Erkennungsrate des Schadcodes bisher eher ungenügend sei.

Zuvor getätigte inoffiziele Patches sollten, laut Microsoft, vor dem Update rückgängig gemacht werden.
vgl. heise.de (http://www.heise.de/newsticker/meldung/87724) und Golem.de (http://www.golem.de/0704/51465.html)

Deadman
16.04.2007, 23:09
Trojaner über Teamspeak-Forum verbreitet



goteamspeak.com (http://www.goteamspeak.com/) bekam anscheindend einen Schädling untergeschoben.
Dabei haben Unbekannte wahrscheinlich durch eine Lücke (http://www.securityfocus.com/archive/1/465647) in der Forensoftware vBulletin 3.6.5 eine Datei unter dem Namen "Patch.exe" abgelegt der einen Trojaner enthielt und dann über die Mailinglists mit Aufforderungen wie ""Now you can download new Team Speak patch. It will help you to use our Team Speak servers. We advise you to download it now!" verteilt.

Inzwischen wurde die Datei wieder entfernt.

vgl. heise.de (http://www.heise.de/newsticker/meldung/88285)

Voodoo
28.08.2007, 13:06
Sony: Treiber für USB-Stick installiert Rootkit

BildDie Sicherheitsexperten von F-Secure berichten in ihrem Weblog, dass sie erneut ein Rootkit aus dem Hause Sony entdeckt haben. Diesmal wird das Programm nicht auf einer Audio-CD ausgeliefert, sondern bei der Installation des Sony Microvault USB-Stick aufgespielt.

Um den eingebauten Fingerprint-Reader des Sony Microvault USB-Stick zum Laufen zu bringen, ist die Installation von Treibern nötig. Dabei wird ganz unbemerkt auch ein verstecktes Verzeichnis im Windows-Ordner angelegt.

Man sei sehr überrascht gewesen, als der eigene Rootkit-Scanner Alarm geschlagen habe, so die Experten. Die Mitarbeiter von F-Secure berichten weiter, dass sie die Warnung des Rootkit-Scanners zunächst für einen Fehlalarm gehalten hätten. Nach näherer Untersuchung habe sich dann herausgestellt, dass es sich wirklich um ein neues Rootkit von Sony handelt.

F-Secure wirft Sony nun vor, ein perfektes Versteck für Schadsoftware aller Art geschaffen zu haben. Vor der öffentlichen Bekanntmachung der Problematik habe man Sony über die Entdeckung informiert, so einer der Sicherheitsexperten. Der Konzern habe alle Anfragen seitens F-Secure bislang jedoch ignoriert, heißt es. Quelle Winfuture

Das ist nicht das erste Mal, dass Sony den Usern einen Rootkit unterjubelt. Eine absolute Frechheit!!!! :motz: Das ist schon kriminell find ich. Diesmal können sie nicht sagen, dass es ein versehen war und doch nur der Kopierschutz sein soll.

BlackFog
28.08.2007, 14:00
Unglaublich! :( Aber wenn ich mir die Geschichte rund um das DRM für Bioshock ansehe, überrascht es mich eigentlich wenig.


BlackFog

MaX PoWeR
28.08.2007, 14:09
Was ist ein Rootkit und was macht er und was ist ein DRM? :heilig:

Diablo
28.08.2007, 14:13
habe mich genau das gleiche gefragt^^

Voodoo
28.08.2007, 14:14
http://de.wikipedia.org/wiki/Rootkit

http://de.wikipedia.org/wiki/Digitale_Rechteverwaltung

Besser könnte ich es eh nicht erklären :)

Diablo
28.08.2007, 14:16
hmm..hab grad kein nerv das zu verstehen^^ les ich mir heute abend nochmal in ruhe durch.

Nirvana
28.08.2007, 15:52
da macht sich Sony aber wieder richtig beliebt :)

Voodoo
07.09.2007, 14:15
Netz des Sturm-Wurms stärker als Supercomputer

Sicherheitsexperten sind sich einig: Das Bot-Netz des Sturm-Wurms ist inzwischen so groß, dass es jeden Supercomputer auf dieser Welt mit Leichtigkeit übertrumpfen könnte. Der Virus verbreitet sich inzwischen seit über drei Monaten.

Man geht derzeit davon aus, dass rund zwei Millionen PCs aktiv an diesem Bot-Netz beteiligt sind. Die genaue Zahl ist nur sehr schwer zu ermitteln - fest steht lediglich, dass es das größte Bot-Netz ist, was jemals existiert hat. Mit der Rechenpower, die hinter diesem System steckt, könnte jeder Server in die Knie gezwungen werden. Funktionierende Abwehrmechanismen gibt es so gut wie gar nicht.

Der Sicherheitsdienstleister MessageLabs geht sogar so weit, dass die aktiven zwei Millionen Rechner, die täglich tonnenweise Spam-Mails verschicken, nur rund 10 Prozent des gesamten Netzwerks ausmachen. Auf die Frage, wie die Rechenleistung des Bot-Netzes im Vergleich zu den Supercomputern der Top-500-Liste ist, sagte er lediglich: "It blows them all away".

Je größer das Bot-Netz wird, desto mehr Spam-Mails können verschickt werden, in denen sich der Wurm versteckt. Man kann also von einer exponentiell steigenden Anzahl infizierter Rechner ausgehen. Welche Pläne die Autoren des Wurms haben, ist nicht bekannt. MessageLabs konnte in den vergangenen Wochen immer wieder beobachten, wie die Verantwortlichen diverse Experimente durchgeführt haben, die den Netzwerk-Traffic haben ansteigen lassen.

Der Schädling trägt den Namen Sturm-Wurm, da er zur Zeit des Orkans Kyrill aufkam, der in Nordeuropa große Schäden anrichtete. Er tarnte sich als Informations-Mail, in der man Fakten rund um das Naturereignis finden sollte. Quelle Winfuture.de (http://www.winfuture.de/news,34169.html)

Voodoo
18.09.2007, 12:12
Schülerscherz leitete Ära der Computerviren ein

Ärgernis feiert Jubiläum: Computerviren werden 25.

BildVor 25 Jahren wurde der erste Computervirus entwickelt - von einem Schüler. Im Vergleich zu heutigen Schadprogrammen war der «Elk Cloner» harmlos.
Es sollte nur der Streich eines Neuntklässlers sein, der seine schon misstrauisch gewordenen Freunde hereinlegen wollte. Aber mit seinem kleinen Programm namens «Elk Cloner», das sich selbst vervielfältigte, schrieb Rich Skrenta vor 25 Jahren Computergeschichte. «Elk Cloner» gilt als erster Computervirus, der auf Personalcomputern in Umlauf gebracht wurde.

Vor «Elk Cloner» gab es zwar schon andere Viren, sie waren aber meist experimenteller Art oder sehr begrenzt in ihrer Verbreitung. Skrenta hat zwar inzwischen unzählige weitere Programme geschrieben und zum Beispiel auch die Business-Website Topix gegründet, bekannt ist er aber immer noch vor allem deshalb, weil er «Elk Cloner» in Umlauf brachte. «Es war ein dummer, kleiner Scherz», sagte der inzwischen 40-jährige Skrenta in einem Interview. «Wenn ich wählen müsste, ob ich für das oder gar nichts in Erinnerung bleibe, dann doch lieber für das. Aber es ist ein merkwürdiger Platzhalter.»

«Elk Cloner» ist mit heutigen Viren nicht zu vergleichen, aber er zeigte doch, welche Sicherheitsgefahren lauern, wenn immer mehr Menschen einen Computer nutzen. Skrentas Freunde hatten damals schon genug von seinen Scherzen. Disketten - zu der Zeit das wichtigste Medium zur Weitergabe von Programmen -, die sie von ihm bekamen, waren oft so verändert, dass sie mit spöttischen Kommentaren auf dem Bildschirm begannen. Viele Freunde weigerten sich deshalb schon, Disketten von ihm anzunehmen.


Verbreitung über Boot-Sektor

BildIn den Winterferien setzte sich Skrenta an seinen Apple II-Computer, den damals meist genutzten PC, und fand einen Weg, wie er seine Nachrichten automatisch auf die Disketten bekommen konnte. Er entwickelte einen sogenannten Boot-Sektor-Virus. Wenn die Diskette gestartet wurde, wurde eine Kopie des Virus in den Speicher des Computers kopiert. Wenn dann eine andere Diskette in den Computer eingelegt wurde und jemand tippte den Befehl «catalog» ein, der die Liste der Dateien anzeigte, dann kopierte sich der Virus auf diese Diskette. Auf diese Weise wurde er auf andere Rechner übertragen.

Der Scherz, der auf diese Weise verbreitet wurde, ist im Vergleich mit heutigen Viren sehr harmlos. Jedes 50. Mal, wenn der Rechner gestartet wurde, erschien ein Gedicht auf dem Bildschirm, in dem es sinngemäß hieß: «Ich komme auf alle deine Disketten, es wird deine Chips infiltrieren». Skrenta verbreitete den Virus Anfang 1982 unter Schulfreunden und im örtlichen Computerclub. Noch Jahre später hörte er von Opfern seines Virus.


Gleiches Prinzip, schlimme Folgen

Der erste Windows-Virus erschien 1986. Er nannte sich «Brain» und stammte von zwei Brüdern in Pakistan. Heutzutage gibt es hunderttausende Viren, die zum Teil recht bösartig sind und die betroffenen Rechner komplett lahmlegen. Bekannt wegen ihrer massiven Verbreitung wurden «Melissa» (1999), «Love Bug» (2000) oder «SoBig» (2003).

Die zugrunde liegende Technik sei bei dem ersten und den heutigen Viren sehr ähnlich, erklärt Richard Ford, Professor am Florida Institute of Technology. Dramatisch verändert hätten sich aber die Folgen, wenn der Virus aktiviert werde. Inzwischen können Viren auch persönliche Daten wie Passwörter stehlen. Aber auch die Motive der Virenschreiber haben sich geändert. Ihnen geht es nicht mehr darum bekannt zu werden, sondern Geld zu verdienen. Die neuesten Viren wollen unentdeckt bleiben und helfen bei der Verbreitung von Spam oder bei Angriffen auf andere Rechner.
Quelle Netzeitung.de (http://www.netzeitung.de/internet/743971.html)

clubic
10.06.2008, 00:45
http://www.golem.de/0806/60263.html

was ein dreister Virus.

Deadman
10.06.2008, 09:59
Welch faules Kaspersky, so kennt man sie ja garnicht :O

clubic
10.06.2008, 13:19
Naja da können se aber auch nicht wirklich viel machen. RSA 1024bit ist schon ne Harte Nuss. Eigentlich können Sie nur die Software kaufen und hoffen diese zu knacken.

Deadman
27.08.2008, 13:36
Trojaner im Weltall


DIE ISS Statt "Schweine im Weltall (http://de.wikipedia.org/wiki/Muppet_Show)" gibts nun "Malware im Weltall". US-Medienberichten (http://blog.wired.com/27bstroke6/2008/08/virus-infects-s.html) zufolge waren mehrere Laptops auf der bemannten internationalen Raumstation ISS mit dem Schädling W32.Gammima.AG (http://www.symantec.com/security_response/writeup.jsp?docid=2007-082706-1742-99&tabid=2) infiziert, der Login-Daten für Online-Spiele ausspäht und per HTTP verschickt. Gammima verbreitete sich vermutlich über USB-Sticks oder Flash-Karten innerhalb der Raumstation. Wie er allerdings in die Raumstation hineingelangte, ist noch unklar. Vermutlich wurde er mit einem bereits infizierten Laptop eingeschleppt, da die Raumstation keinen direkten Internetzugang hat. Unklar ist auch, welche Nation für die initiale Infektion verantwortlich ist. [...]


Quelle: heise.de (http://www.heise.de/newsticker/Trojaner-im-Weltall--/meldung/114944)

Voodoo
16.04.2009, 10:59
Neues Rootkit spioniert sehr gut getarnt Daten aus

Bildas Sicherheitsunternehmen Prevx hat vor einer neuen Variante des Rootkits Mebroot gewarnt. Diese soll sich aktuell ausbreiten und über ausgefeilte Methoden verfügen, sich vor der Entdeckung durch Security-Software zu schützen.

Verbreitet wird die Malware über manipulierte Webseiten. Mehrere tausend Online-Angebote will Prevx schon entdeckt haben, über die der Schadcode ausgeliefert wird. Werden die Seiten auf einem anfälligen Computer geladen, infiziert das Rootkit den Master Boot Record (MBR).

Wenn Virenscanner den MBR anschließend Scannen, finden sie in der Regel keinerlei Hinweise auf eine Infektion. Beim Starten von Windows kopiert das Rootkit dann aber einen Prozess namens svc.host in den Arbeitsspeicher. Dieser hat die Aufgabe, Daten zu sammeln und an einen Server im Internet zu übermitteln.

Angreifer können so beispielsweise die Eingabe von Logins für das Online-Banking und andere sensible Informationen ausspionieren. Nach Angaben der Sicherheitsexperten ist dabei auch der Versand der Daten gut getarnt und kann nur schwer mit entsprechenden Netzwerk-Tools festgestellt werden. Da die Kommunikation über den herkömmlichen WWW-Port erfolg, helfen auch Firewalls kaum.

Die verschiedenen Sicherheitsunternehmen arbeiten derzeit an Updates für ihre Antiviren-Produkte, um die neue Mebroot-Variante aufspüren zu können. Die erste Fassung des Rootkits erschien im Dezember 2007 und war noch deutlich weniger ausgeklügelt.

von Christian Kahle für WinFuture.de

Voodoo
11.05.2009, 16:09
Botnetz-Suizid killt Betriebssysteme

Ein weltweites Botnetz, welches unter dem Namen "Zeus" bekannt war hat sich vor einigen Tagen selbst deaktiviert. Im Grunde eine erfreuliche Nachricht, wäre da nicht der unvermeidliche Kollateralschaden.

Etwa 100.000 infizierte Computer weltweit lassen sich nach dem Selbstmordbefehl des Trojaners KOS (Kill Operating System) nicht mehr starten, da mit dem Selbstmord des Schädlings ganze Hauptzweige der systemeigenen Registrierungsdatei gelöscht wurden.

Der Benutzer einer infizierten Maschine erhält nur noch den bekannte blauen Bildschirm des Windows-Betriebssystems, dessen Behebung eine komplette Neuinstallation erforderlich macht. Damit sollen offensichtlich alle Spuren auf den Computern der Bot-Opfer beseitigt werden. Zeus wurde laut Angaben aus Sicherheitskreisen dazu verwendet, persönliche Daten wie Bankverbindungen und Kreditkartennummern zu sammeln. Ob das Bot-Netz von einem unliebsamen Konkurrenten abgeschaltet wurde oder ob die Hintermänner von Zeus schlicht und ergreifend genug Daten gesammelt haben und diese nach der Löschung ihrer Spuren nutzen wollen, ist nicht bekannt.

Quelle: Washington Post

Jejolore
11.05.2009, 19:33
Ich versteh sowieso nicht warum Personen die im Internet arbeiten oder auch nur surfen so sehr die Sicherheit hinten anstehen lassen. Da ist es nicht verwunderlich warum dann Kreditkarteninformationen gestohlen werden und das der Spam nicht abnimmt.

Voodoo
12.05.2009, 08:38
Es ist halt der Know How der fehlt. Manche haben zwar einen Virenkiller, aber den nicht aktuell gehalten ("Jeder sagt mir immer, dass man Windows Updates deaktivieren soll, daher habe ich die Virenkiller Updates besser auch abgestellt") andere wissen die Gefahr von manchen Mails oder Seiten nicht richtig einzuschätzen und klicken naiv darauf usw.

Manche Viren sind aber einfach noch nicht als Virensignatur im Virenkiller hinterlegt. So hatte ich vor zig Jahren mal einen übers IRC übertragenen Virus (mein einziger in den letzten 12 Jahren).

Ein Kumpel von mir hatte vor Jahren auf einem Windows System einen Dos Virenkiller und dachte, dass er so sicher wäre. Von sich behauptete er, dass er Virenfrei sei, da er quasi nie irgendwelche Probleme hat. Eine Virensuche ergab, dass er 9-11 verschiedene Viren und Trojaner auf den System hatte. :D

Bender
20.04.2012, 08:19
Malware verteilt, Zugriff auf Daten

Es erfolgte in den letzten Tagen ein Hacker-Angriff auf die Seiten von Computec Media AG, welches unter Umständen viele Zocker betroffen haben könnte. Dieser Angriff wurde in Zusammenarbeit mit einem externen IT-Sicherheitsexperten vollständig analysiert. Als sofortige Gegenmaßnahme wurden zuerst die Downloads deaktiviert und entdeckte Lücken im System geschlossen, trotzdem ist eine Gefährdung des eigenen PC möglich.

Was ist passiert?

Durch einen Angriff auf deren Webseiten wurde Malware verteilt, die möglicherweise nicht von aktuellen Virenscannern erkannt wurde
Passwörter wurden möglicherweise direkt auf den Servern oder auf dem eigenen PC gestohlen
Die Angriffe fanden insbesondere an den letzten beiden Wochenenden statt (07.-08.04.12, 14.-15.04.12).


Nicht betroffen sind der Computec-Shop (shop.computec.de) sowie die Abonnenten-Daten.


Weiterlesen... (http://www.myrabbits.de/news-article.php?action=details&id=4660)

f3rd
20.04.2012, 11:32
boot.ini wär doch lustiger :)

Wir sind alle betroffen - ich mein READMORE? :D

Voodoo
20.04.2012, 11:37
dort schaue ich seit jahren nicht mehr vorbei. Ich bin betroffen durch
gamezone.de
videogameszone.de
gamesaktuell.de

Allerdings habe ich sowohl einen Virenkiller, als auch einen AD- sowie Script Blocker laufen. Ich denke bei mir dürfte alles sicher sein.

Grax
20.04.2012, 15:21
[...]
Manche Viren sind aber einfach noch nicht als Virensignatur im Virenkiller hinterlegt. So hatte ich vor zig Jahren mal einen übers IRC übertragenen Virus (mein einziger in den letzten 12 Jahren).
[...]


dein einzige in 12 Jahren von denen du wusstest ;) Viele vergessen - ein guter Virus 'kommt', 'agiert' und 'geht' ohne das der Benutzer oder Admin irgend etwas merkt. [Virus meint hier sämtlichen Schadcode]

Ich persönlich zB gehe davon aus das in JEDEM Netzwerk mindestens ein Endgerät infiziert ist.

Voodoo
20.04.2012, 15:37
Wobei man laut Definition bei einem Virus von einer Software redet, die sich selbstständig reproduziert und sich so verbreitet. Viren bleiben daher meist nicht wirklich lange unentdeckt. So Malware wie Trojaner sind da schon ein anderes Kaliber, vor allem, wenn sie gezielt eingesetzt werden. Es wäre für mich ein leichtes einen zu programmieren, den ich dann nur dir einschmuggeln könnte. KEin Virenkiller der Welt würde den erkennen.

Jedoch gibt es halt ein paar Dinge die man machen kann, um sich sehr gut davor zu schützen. Firewall, Virenkiller (heuristik), Script Ausführschutz, Ad Blocker, Router, nicht als Adminuser das Betriebssystem verwenden und zu guter Letzt gesunder Menschenverstand. Da ich beruflich ständig auch meine Autostarts und Prozesse kontrolliere, gehe ich einfach davon aus, dass die Chancen sehr gering sind/waren, dass ich einen Virus bekomme. Ausschließen kann ich es natürlich nicht. Einen Schaden davon getragen, habe ich bisher zumindest nicht.

Führt ihr eigentlich statistik, was so die schlimmsten Viren waren? Würde mich mal interessieren, welche auf dieser Liste stehen.

Grax
20.04.2012, 15:45
heftig sind 'file infector viren' ...wenn man einen solchen mal drauf hat kann man in den allermeißten fällen das system platt machen und neu aufsetzen (falls er nicht noch im bootsektor, bios oder board sitzt)

oder eben gute rootkits...da bringts dir dann auch nix wenn du deine prozesse und autostarts kontrollierst oder kennst..wenn deren treiber schneller läd oder hookt - hast du keine Chance (selbst boot cds bereinigen bei weitem nicht alles).

edit: "viren bleiben daher nicht wirklich lange unentdeckt" - ist leider falsch..bzw kann man das nicht im allgemeinen sagen

edit2: übrigens ein tip: wer wirklich auf Sicherheit bedacht ist - internetzt in einer VM ;)

zebo
20.04.2012, 17:59
edit2: übrigens ein tip: wer wirklich auf Sicherheit bedacht ist - internetzt in einer VM ;)

Das wäre doch mal ne Idee für nen "neuen" Browser ;)

Voodoo
20.04.2012, 18:04
so einen browser gibt es. Hab vor einigen Monaten auf Chip davon gelesen.

Grax
20.04.2012, 18:26
So ein Browser der wirklich abgekapselt ist wäre ein super Anfang denk ich.

gibt noch zB Die sog. 'SandBox' Technologie. Sie wird bereits von einigen Anti Viren Herstellern eingesetzt und ist eine fortschrittliche Form der Heuristik bei der Programme zunächst in einer gesicherten Umgebung ausgeführt werden und anhand ihres Verhaltens kategorisiert werden.

Voodoo
20.04.2012, 18:28
Hier ist der Link zu diesem Browser. Er heißt Bitbox (http://www.chip.de/news/BitBox-Der-sicherste-Browser-der-Welt_48986240.html)

Grax
20.04.2012, 18:37
schaut echt gut aus..muss ich mir auch mal anschauen. Noch ein guter Tipp zZt. deinstalliert Java !!

Voodoo
20.04.2012, 19:56
Finde ich überzogen. Noscript macht das selbe, mit der möglichkeit es für bestimmte Fälle zu aktivieren.

Grax
20.04.2012, 20:52
ich meine nicht Java script im Browser - sondern die Java Environment auf dem PC

maXiMus
23.04.2012, 10:57
ja leider brauch man doch ab und an java.... habs jetzt aber mal im firefox deaktiviert und brauch es dann nur zu starten wenn ich es wirklich brauch (dhl versandetiketten etc)

Voodoo
23.04.2012, 10:58
Meine DSA Programme benötigen auch alle Java :)... bäh... java...

Deadman
23.04.2012, 11:35
Naja, Java kann halt immer noch Sys Calls aufrufen. Das ausführen der JRE aus unbekannten Websiten heraus, ist und bleibt immer eine Gefahr.

Für Windows User.

Voodoo
26.02.2014, 15:09
Für die Verbreitung von Malware muss man nicht wie früher auf Verbindungen zwischen einzelnen Computern zurückgreifen, sondern kann schlicht auf die gerade in Städten allgegenwärtigen WLANs setzen.

In früheren Zeiten wurden Viren vor allem durch den Austausch von Datenträgern von einem Gerät zum anderen weitergereicht. Seitdem nahezu alle Computer an das Internet angebunden sind, wurde die Ausbreitung auf diesem Weg um ein Vielfaches effektiver. Doch inzwischen bestehen hier zahlreiche Schutzmaßnahmen, die in vielen Fällen zumindest eine deutlich eindämmende Wirkung haben.

Sicherheits-Experten der Universität Liverpool rechnen damit, dass die WLAN-Infrastrukturen hier zu einem neuen, aktuell noch kaum zu beherrschenden Risiko werden. Um dies in der Praxis besser erforschen zu können, haben sie ein Virus namens "Chameleon" entwickelt, mit dem entsprechende Simulationen durchgeführt werden können.

In einer geschützten Labor-Umgebung stellten sie eine Situation nach, die sich insbesondere in den dicht bevölkerten Städten überall wiederfindet: Auf engem Raum sind hier zahlreiche WLANs aufgespannt, die sich überlappen und somit quasi eine eigene, flächendeckende Infrastruktur darstellen. Angefangen bei einem Access Point kann sich ein Schädling, der in der Lage ist, Sicherheitslücken von nur wenigen Firmware-Variationen auszunutzen, so schnell über eine ganze Stadt ausbreiten.

Da Chameleon nicht über die herkömmlichen Internet-Verbindungen läuft oder auf Computern aktiv wird, erfolgt die Ausbreitung bei den heutigen Gegebenheiten komplett an jeder Antivirus-Infrastruktur vorbei. Erleichternd kommt hier das bereits bekannte Problem hinzu, dass zahlreiche WLAN-Router im Grunde nie ein Sicherheits-Update erhalten und so kaum schnell auf neu entdeckte Risiken reagiert werden kann.

"WLAN-Verbindungen stellen zunehmend ein Ziel für Angreifer dar, weil es hier gut dokumentierte Schwachstellen gibt", so Alan Marshall, der an der Universität einen Lehrstuhl für Netzwerk-Sicherheit inne hat. Mit Chameleon habe man den Nachweis angetreten, dass sich ein Virus bauen lässt, der quasi unentdeckt agieren und beispielsweise Nutzerdaten ausspähen kann. Die Erkenntnisse, die Marshall und sein Team in der nächsten Zeit sammeln, sollen helfen, effektive Gegenmaßnahmen für das Auftauchen entsprechender Schädlinge in freier Wildbahn entwerfen zu können.

Genial! Bin mir sicher, dass das schon jemand ausnutzt.

Voodoo
06.08.2014, 08:35
Antiviren-Programme versuchen mittels Emulation, das Verhalten von unbekannten Programmen zu untersuchen und so verdächtigen Dateien auf die Spur zu kommen. Doch die Erkennung lässt sich oft trivial umgehen.

Täglich wird das Internet mit neuer Malware überschwemmt. Früher verließen sich Antiviren-Programme vor allem darauf, bekannte bösartige Programme anhand von Signaturen zu erkennen. Doch diese Methode funktioniert kaum noch. Inzwischen wird daher verstärkt versucht, generisch zu erkennen, ob sich ein Programm wie Malware verhält. Kyle Adams von der Firma Juniper zeigte auf der B-Sides-Konferenz in Las Vegas, wie einfach sich derartige heuristische Mechanismen austricksen lassen.

Adams begann damit, einen trivialen Virus zu schreiben. Als Programmiersprache wählte er Javascript. Unter Windows lassen sich Standalone-Javascript-Programme in sogenannten Windows-Script-Files (Dateiendung WSF) ausführen. Die WSF-Datei wurde mittels des Windows-eigenen Tools IExpress in eine EXE-Datei umgewandelt. IExpress ist in der Lage, selbstentpackende Archive zu erstellen, die beim Aufrufen entpackt und ausgeführt werden.

Verhalten wie typische Malware

Das Beispielprogramm verhielt sich wie typische Malware: Es versuchte, sich in den Autostart-Ordner von Windows einzutragen. Falls es Administrator-Rechte besitzt, sorgt es dafür, dass es auch beim nächsten Systemstart mit entsprechenden Rechten geladen wird. Es lud von einem Kontrollserver Instruktionen, etwa zur Ausführung von weiterem Code, der online nachgeladen wird.

Adams sagte, dass er viele der Mechanismen, die Viren üblicherweise nutzten, in Threads auf gängigen Programmiererforen wie Stackoverflow oder dem Microsoft Developer Network (MSDN) erklärt gefunden habe. Oftmals war kaum zu übersehen, dass die gestellten Fragen sich auf die Programmierung von Malware bezogen.

Dennoch nicht erkannt

Obwohl das Beispielprogramm quasi das Musterbeispiel eines typischen Virus darstellte, erkannten vier getestete Antiviren-Engines - die Tools von Sophos, ESET, Avira und Symantec - das Programm nicht als Malware. Einzig das Programm AVG entdeckte den bösartigen Code.

AVG führte offenbar eine Emulation des Javascript-Codes durch und schlug wegen des verdächtigen Verhaltens Alarm. Doch sonderlich ausgefeilt waren die Methoden dabei nicht: Nach einigen Beobachtungen stellte Adams fest, dass die Emulation offenbar nur eine bestimmte feste Zahl von Instruktionen ausführte. Das simple Einfügen einer Schleife, die 80.000 mal nichts tat, führte schon dazu, dass AVG das Programm wieder für harmlos hielt.

Einfache Methoden hebeln Emulation aus

Obwohl dieser einfache Trick ausreichte, die Heuristik auszuhebeln, suchte Adams nach weiteren Methoden. So war es ihm möglich, mit verschiedenen Funktionen im Virencode zu erkennen, ob der Virus sich gerade in der Emulation befindet, und demnach zu entscheiden, ob verdächtiger Code ausgeführt wird. HTTP-Requests wurden beispielsweise automatisch mit einer korrekten Antwort (HTTP-Code 200) und einer leeren Datei beantwortet. Mit einem Zugriff auf eine nichtexistente Domain ließ sich das abfragen. Schreibzugriffe auf den Windows-Ordner System Volume Information sollten immer einen Zugriffsfehler erzeugen, die Emulation von AVG implementierte aber keinerlei Rechteverwaltung bei Dateisystemzugriffen. Dort ist ein Schreibzugriff immer möglich und erzeugt nie einen Fehler.

Insgesamt fand Adams sieben Möglichkeiten, die Heuristik von AVG auszutricksen. Würden alle sieben auf einmal umgesetzt, könnten wahrscheinlich die meisten oder sogar alle Antiviren-Programme überlistet werden.

Wie drastisch diese Probleme sein könnten, zeigte Adams in einem letzten Beispiel. Diesmal verwendete er nicht Javascript, sondern die Windows-Skriptsprache Visual Basic Script. Er nahm den Code des 14 Jahre alten ILOVEYOU-Virus, einer der am weitesten verbreiteten Computerviren aller Zeiten. Adams fügte lediglich eine Schleife ein, die 80.000 mal nichts tat. Auch dabei scheiterte die Erkennung von AVG.

http://www.golem.de/news/avg-viren-heuristik-ausgetrickst-1408-108365.html