Neues von der Viren-Szene

[Voodoo]

hehehe, auch nicht schlecht. So hat ein verseuchtes System nur noch ein Virus statt 30.

[Voodoo]

Japanische Forscher entwickeln Virenschutz-Chip

Japanische Forscher haben einen Mikrochip entwickelt, der Viren stoppen soll, bevor sie in einen Computer eindringen können. Die Neuentwicklung soll in Routern zum Einsatz kommen und könnte die Funktion von Sicherheits-Software auf Dauer verändern.

Durch die Nutzung in einem Router können Gefahren aus dem Internet abgewehrt werden, ohne dass der Betrieb eines PCs beeinträchtigt wird. Bisher erkennt der Chip jedoch nur eine sehr geringe Anzahl von Viren und Würmern. Deshalb nutzt man ein wiederbeschreibbares System, so dass Virendefinitionen nachgeladen werden können.

Die Forscher wollen ihr Produkt in den nächsten Jahren massenmarkttauglich machen, doch aktuell gibt es noch patentrechtliche Hürden. Einige Patente für programmierbare Chips müssen zunächst auslaufen, bevor man ein derartiges System auf den Markt bringen kann, so die Erfinder der Technologie.

[vamp]

Neuer Passwort-Trojaner verbreitet sich über Skype

In einem Blog-Eintrag warnt der Sicherheitsdienstleister Websense Security Labs vor einem neuen Wurm, der sich über die beliebte VoIP-Software Skype verbreitet. Bisher werden erste Berichte zu dem Wurm untersucht, einige Details sind jedoch bereits bekannt.

Offenbar wird der Wurm über die Dateiübertragungsfunktion von Skype verschickt. Der Anwender muss dem Download also erst zustimmen. Die angebotene Datei heisst "sp.exe" und enthält offenbar einen Passwort-Trojaner, der Zugangsdaten zu Webseiten aufzeichnet und an einen Server im Internet überträgt.

Gleichzeitig sorgt die Datei dafür, dass der Wurm weiterversendet wird. Die Datei kommt in gepackter Form auf den Rechner und nutzt dafür einen eher unbekannten Algorithmus. Das Programm versucht ausserdem über das Internet weiteren Code herunterzuladen. Im Augenblick ist wohl vor allem Südkorea betroffen. Weitere Details sollen später noch veröffentlicht werden.

Quelle: Winfuture.de

[Voodoo]

Bundeskriminalamt warnt vor gefälschten Mails

Nachdem vor einigen Wochen bereits gefälschte Viren-Emails mit GEZ- und 1&1-Adressen in den Umlauf gebracht wurden, ist nun das Bundeskriminalamt (BKA) als Absender dieser Rundschreiben verwendet worden. Das Bundeskriminalamt warnt dringend davor, den Dateianhang der E-Mails zu öffnen. Der Betreff dieser E-Mail lautet "Ermittlungsverfahren Nr. X", wobei X eine Variable für eine sechsstellige Zahl darstellt.

Es handelt sich um eine derzeit noch nicht näher zu klassifizierende Schadsoftware, die sich unter Umständen beim Öffnen automatisch per E-Mail an die im Adressbuch des Rechners gelisteten Adressen weiterversendet oder weitere Schadfunktionen auf dem Rechner ausführt. Die Mehrheit der aktuellen Virenschutz-Scanner erkennt die Datei zur Zeit nicht als Schädling.


Der Inhalt der gefälschten E-Mails besagt, dass gegen den Empfänger angeblich eine Strafanzeige erstellt wurde. Der Empfänger wird aufgefordert, die im Anhang befindliche angebliche Strafanzeige auszudrucken und mit einer Stellungnahme versehen an den Absender zu faxen. Das BKA rät, die E-Mails zu löschen und zeitnah die Update-Funktion der Virenschutz-Software zu nutzen. Das BKA bittet von einer Weiterleitung an die Behörde abzusehen.

[Deadman]

Kritische Lücke in Medienplayern MPlayer und Xine

Der Linux-Distributor Mandriva hat aktualisierte Pakete für den Medienplayer MPlayer ausgeliefert, in denen eine kritische Lücke in Mandriva 2007 und Mandriva Corporate 3.0 geschlossen wird. Mit präparierten Videodateien ist es möglich, Code auf einen PC zu schleusen und zu starten. Dazu muss das Opfer aber eine bösartige Datei auf den Rechner laden und abspielen. Bei der derzeitigen Popularität von Seiten wie YouTube, ClipFish und dergleichen sollte dies einen Angreifer aber vor keine allzu große Hürde stellen. Einen ähnlichen Vorfall gab es bereits im Dezember 2006, bei dem Phisher Passwörter mittels präparierter Quicktime-Videos ausspähten.

...

Da Xine und MPlayer teilweise die gleiche Codebasis benutzen, ist Xine ebenfalls verwundbar. Ubuntu hat deshalb neue Pakete der xine-Bibliothek xinelib veröffentlicht. Ein Update für den MPlayer gibt es von Ubuntu nicht, da dieser aus dem Multiverse-Repository stammt. Die Repositories Universe und Multiverse erhalten nämlich keinen vollen Support mit Security-Updates. Diese Problematik hat bereits in der Vergangenheit zu Problemen bei Ubuntu-Anwendern geführt.
Windows-Anwender müssen auf ein offizielles Release warten, alternativ können sie die Quellen aus dem CVS auch selbst übersetzen.

[Deadman]

Kaspersky empfiehlt Interpol für das Internet

Der Mitbegründer der russischen Sicherheitssoftware-Firma Kaspersky Lab, Eugene Kaspersky, hat sich für die Etablierung einer internationalen Internet-Kriminalpolizei ausgesprochen. In einem Interview mit der Hannoverschen Allgemeinen Zeitung (HAZ) sagte Kaspersky, es sei schwer für nationale Ermittler, Computerkriminalität zu stoppen, da die Täter meist international aktiv seien. "Wir brauchen Interpol fürs Internet. Die Europäische Kommission denkt schon über so etwas nach, aber das reicht nicht. Die russische, die chinesische und die amerikanische Polizei müssen auch mitmachen", verdeutlicht Kaspersky.
Auf die Frage, was passieren soll, wenn nicht alle Länder mitmachen, sagte der 41-Jährige: "Diesen Ländern würde ich den Zugang zum Internet versperren." Kaspersky, der die Forschungsabteilung von Kaspersky Labs in Moskau leitet, geht davon aus, dass die Zahl der Schadprogramme in Zukunft weiter steigen wird. Auch die Zahl der Hacker werde weiter zunehmen, "denn Computerhacking ist ein sehr lukratives Geschäft mit einem geringen Risiko". 2006 seien auf der ganzen Welt gerade mal hundert Hacker festgenommen worden. Es gebe aber tausende. "Und ich fürchte, dass die Zahl der Hacker auf 10.000 oder 100.000 steigen wird."

[...]
Phishing hält der Sicherheitsexperte auch künftig für ein großes Problem, weil es ein lukratives Geschäft sei und "die Leute diese Mails immer noch öffnen". Handy-Viren würden wegen der geringen Verbreitung von Smartphones noch weniger Probleme bereiten, seien aber ebenfalls eine ernst zu nehmende Bedrohung. Es wisse von einem russischen Mobilfunkbetreiber, der jeden Monat 20.000 bis 30.000 infizierte Multimedia-Nachrichten abfängt, erklärte Kaspersky im HAZ-Gespräch. Diese würden wie ein E-Mail-Wurm funktionieren und Mobiltelefone beispielsweise so infizieren, dass sie kostenpflichtige SMS-Dienste empfangen. "Trau keinem, den du nicht kennst", warnt Kaspersky. "Also keine Nachrichten von unbekannten Absendern lesen. Außerdem sollte der Datenempfang via Bluetooth ausgeschaltet sein."

Quelle: heise.de

[Voodoo]

Erneuter Trojaner-Alarm im Netzwerk von Skype

Nachdem im Februar ein Wurm namens Warezov bzw. Stration zahlreiche Nutzer der VoIP-Software Skype infiziert hat, macht jetzt eine neuere Version die Runde. Ist erstmal ein PC infiziert, versucht die Schadensroutine alle Freunde in der Kontaktliste zu erreichen.

Dazu wird eine Textnachricht mit einem Link verschickt, hinter dem sich eine Datei versteckt, die heruntergeladen werden soll. Macht man das, installiert sich der Trojaner auf dem Rechner und lädt noch einige weitere Programme aus dem Internet herunter. Damit kann der Angreifer die Kontrolle über den PC übernehmen, beispielsweise um Spam-Mails zu verschicken.

Die bekannten Anti-Virenprogramme sollten den Schädling inzwischen erkennen und Alarm schlagen, wenn die Datei heruntergeladen wird. Grundsätzlich sollte man nicht auf Links klicken, die aus heiterem Himmel hereinschneien.

[Deadman]

Mails mit Trojanern warnen vor Mails mit Trojanern

Besonders dreist ist die neueste Variante der offenbar nun monatlich wiederkehrenden gefälschten 1&1-Rechnungen. Die Mail enthält einen Sicherheitshinweis, man solle keinesfalls Anhänge in gefälschten Mails öffnen. Vielmehr solle man nur Mails wie dieser trauen. Die Echtheit der 1&1-Rechnung erkenne man daran, dass echte Rechungen immer als ZIP-Datei beigefügt seien und immer einen Sicherheitshinweis enthielten:

Aktueller Sicherheitshinweis:
=============================
Unbekannte haben Millionen von E-Mails versendet,
die sich als Rechnungen der 1&1 Internet AG tarnen.
Diese E-Mails versuchen den Rechner des Empfängers mit einem Virus zu infizieren.
Ausschließlich solchen E-mails wie dieser können Sie vertrauen.
Öffnen Sie keinesfalls in gefälschten E-Mails angehängten Dateien!


Sie erkennen die Echtheit Ihrer 1&1 E-Mail-Rechnung an folgenden Merkmalen:



- Sie erhalten echte Rechnungen immer als ZIP Dateien
- Sie finden immer diesen Sicherheitshinweis darin

Quelle: heise.de

[Deadman]

Gefährliche Sicherheitslücke im Internet Explorer

Laut Golem.de und heise.de bestätigte Microsoft heute einen kritischen Fehler im Internet Explorer. Danach sei es möglich durch präparierte ani-Dateien für animierte Cursor einen Schadcode auf den Rechner zu schmuggeln und diese Auführen zu lassen. Vorraussetzung sei dafür eine präparierte Webseite oder HTML-E-Mail in der bei der Ausführung die .ani-Datein nicht korrekt überprüften werden.
In Outlook Express helfe es nichteinmal die Emails in reiner Textform anzeigen zu lassen, wogegen Outlook 2007 da sicherer sei, da dieser zum Anzeigen von Textmails Word benutze.

Betroffen seien der Internet Explorer 6 und 7 unter Windows 2000 SP 4, XP mit Service Pack 2, XP 64-Bit Version 2003 für den Itanium, XP Professional x64, Windows Server 2003 mit und ohne Service Pack 1 (auch für den Itanium), Server 2003 x64 Edition und auch das neueste Betriebssystem aus Redmond, Windows Vista. Nichteinmal Vistas "geschützter Modus" banne die Gefahr vollkommen.

Dabei habe Determina Microsoft bereits Oktober 2006 über diesen Fehler informiert und einen inoffiziele Patch rausgebracht.
Eine andere Lösung um dieses Problem zu umgehen wäre die Nutzung eines anderes Internet Explorers, welcher diesen Schadcode nicht ermöglicht.

[Deadman]

Microsoft kündigte nun für den Dienstag dieser Woche (03.04.2007) ein Update an, welches die Lücke im Internet Explorer schließen solle. Dabei verkündetet die Redmonder, dass bereits seit Dezember an diesem Problem gearbeitet wurde oder es zumindest bekannt wäre.

Da jene Seiten die den Schadcode enthielten nun größten Teils nicht in .ani sondern in .jpg, gif, .css, .htm oder .js gefunden worden sind, ist es auch nicht möglich die Dateinamen am Internet-Gateway auszufiltern.
Bis zu dem Update riet Mircosoft die Virenscanner aktuell zu halten, da man bereits einige Merkmale der Signatur des Schadcodes herausfiltern könne.
Andreas Marx von av-test.org, gab allerdings zu, dass die Erkennungsrate des Schadcodes bisher eher ungenügend sei.

Zuvor getätigte inoffiziele Patches sollten, laut Microsoft, vor dem Update rückgängig gemacht werden.

vgl.heise.de und Golem.de