Hier finden Sie Weblog-Einträge aus dem April 2007. Das aktuelle Weblog finden Sie hier.
April 2007
30.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Malware: Erneut falsche Antivir-Rechnungen
Mit dem Versand von Mails mit vorgeblichen Rechnungen über eine angeblich bestellte Version von Antivir gehen Malware-Spammer erneut auf die Suche nach neuen potenziellen Opfern.
ANI-Exploit: Wie konnte anfälliger Code in Vista geraten?
Der anfällige Code zum Umgang mit animierten Mauszeigern hat alle Sicherheitsprüfungen ohne Befunde überstanden, wie ein Sicherheitsfachmann von Microsoft in einem neu eingerichteten Blog berichtet.
Trojanisches Pferd im Anhang
Heute werden, mit Datum von morgen, E-Mails mit vorgeblichen Rechnungen von Avira (AntiVir) verschickt.
Die Mails tragen einen Betreff wie „Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten“
und die gefälschte Absenderangabe "cleverbridge/Avira GmbH.". Im Anhang der Mails ist ein
ZIP-Archiv namens "595169.zip", in dem ein Trojanisches Pferd mit dem Dateinamen
"HBEDV.KEY.exe" steckt. Es lädt weitere Malware aus der Bzub-Familie herunter, die ihrerseits
eine Datei "ipv6monl.dll" im System32-Verzeichnis ablegt und als BHO im Internet Explorer
registriert.
Weitere Virenfalle per E-Mail
Heute werden Spam-artig Mails verbreitet, die sich für den vorgeblichen Kauf eines Mobiltelefons
bedanken. Die Mails tragen den Betreff „Danke fuer den Kauf“ und die Absenderangabe
"Internet Shop". Die Mail verweist auf eine Website mit südkoreanischer Domain (.kr), die ihren
Besuchern heimlich ein Trojanisches Pferd unterschiebt. Dieses legt eine "ipv6monl.dll" im
System32-Verzeichnis von Windows ab, die es als BHO im IE registriert. Damit werden online eingegebene
Zugangsdaten ausspioniert. Es handelt sich also um dieselbe Masche wie bei anderen Fällen in den letzten
Tagen und Wochen (s.u.).
27.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Mehr Auswahl: Antivirus-Programme für Vista
So langsam nähert sich die Auswahl an Vista-kompatiblen Antivirus-Programmen dem von Windows XP bekannten Spektrum an. Mehrere Hersteller haben kürzlich neue Versionen ihrer Produkte vorgestellt, die auch Vista-Rechner schützen sollen.
Malware: Angebot von Berliner Airlines
Eine eher schlecht gemachte, vorgebliche Offerte einer Fluggesellschaft soll potenzielle Opfer auf eine mit Malware verseuchte Website locken. Diese soll dann ein Spionageprogramm einschleusen.
Oder auch: Es ist interessant
Bereits seit einer Woche (siehe unten) werden zwei zweifellos seltsam erscheinende
Mails Spam-artig verbreitet, die frei erfundene Geschichten in Form einer Nachrichtenmeldung erzählen. Die
eine berichtet über den angeblichen Fund von UFO-Teilen in der Berliner U-Bahn (Betreff:
„Es ist interessant“), die andere über ein angebliches Massaker eines Asiaten in
München an seiner Familie (Betreff: „In Muenchen ist Trauer angekuendigt“). Beide
verlinken auf Websites, die Malware einschleusen sollen. Darunter sind etliche GeoCities-Seiten, die
meist nur eine kurze Zeit lang existieren. Sie alle binden einen versteckten IFrame von einer Website
ein, die derzeit in Malaysia zu Hause ist. Von dort wird eine Datei "update.exe" geladen,
die im System32-Verzeichnis von Windows eine "ipv6monl.dll" ablegt und diese als BHO
(Browser Helper Object) im Internet Explorer registriert.
24.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
MacBook-Hack: Sicherheitsloch in Quicktime und Safari
Auf einer Sicherheitskonferenz konnte ein Teilnehmer den Preis für eine neue Sicherheitslücke in Mac OS X einstreichen. Die ausgenutzte Schwachstelle betrifft nicht nur den Web-Browser Safari, auch Firefox ist anfällig.
Malware: Neue Anwaltsrechnung
Mails mit vorgeblichen Rechnungen einer bekannten Anwaltskanzlei sollen einmal mehr zur Vermehrung von Botnets beitragen, denn statt einer signierten Word-Datei steckt ein Trojanisches Pferd in den Mails.
Neuer Name: Falsche Anti-Spyware
Alter Wein in neuen Schläuchen soll unter dem Namen "Malware Alarm pro" unters Volk gebracht werden. Es handelt sich um ein vorgebliches Anti-Spyware-Programm, das nichts von dem leistet, was es angeblich können soll.
Firmware-Bugs: Neuer Angriffstyp zielt auf Router und Mobiltelefone
Geräte mit bestimmten Prozessortypen sind anfällig für eine neue Form von Angriffen, die nicht auf PCs sondern auf Router oder Mobiltelefone abzielt. Wer einen Router übernimmt, kontrolliert das dahinter liegende Netzwerk.
Falsche Avira-Mails enthalten Trojanisches Pferd
Heute wurden vorgeblich von einem Software-Händler names "cleverbridge" stammende E-Mails
Spam-artig verbreitet, die eine angebliche Bestellung des Virenscanners AntiVir bestätigen. Die Mails
tragen den Betreff „Referenznr.:595169: Ihre Bestellung von Avira GmbH Produkten“
und enthalten ein ZIP-Archiv namens "595169.zip". Dieses enthält eine Datei
"HBEDV.KEY.exe" - ein Trojanisches Pferd, das eine weitere Malware mit dem Dateinamen
"ie.exe" aus dem Internet lädt. Diese installiert dann eine "ipv6monl.dll"
im System32-Verzeichnis von Windows und registriert sie als BHO im Internet Explorer. So können online
eingegebene Zugansdaten abgefangen werden.
23.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Malware: Paris Hilton lädt zum Exploit-Cocktail
In einer nächtlichen Spam-Aktion ist am vergangenen Freitag eine neue Welle von Mails verbreitet worden, in denen neben einer WMF-Datei mit Exploit-Code ein Link zu einer mit Exploits nur so gespickten Website steckt.
Malware: Vorgebliche Antivir-Bestellung mit Trojanischem Pferd
Seit heute Nacht werden vorgebliche Avira-Rechnungen verbreitet, die ein Trojanisches Pferd enthalten. Wie üblich lädt der Anhang weitere Malware aus dem Internet nach.
Mac-Update: Patch Day bei Apple
Ohne viel Aufhebens darum zu machen hat Apple Ende letzter Woche ein großes Paket von Sicherheits-Updates bereit gestellt. Damit sollen insgesamt 25 Schwachstellen in Mac OS X beseitigt werden, die zum Teil das Einschleusen von beliebigem Code ermöglichen.
Auch Firefox ist anfällig für die Exploits dieser Website
Eine schon seit ein paar Tagen laufende Malware-Spam-Kampagne ging letzte Nacht in die nächste Runde.
E-Mails mit einem beinahe-nackt-Foto von Paris Hilton laden nunmehr auch einen WMF-Exploit aus dem Netz
und enthalten einen Link auf eine Website in Russland (oemtop.com), die mit Exploits gespickt ist. Auch
die neueste Firefox-Version stürzt beim Aufruf ab, wodurch schädlicher Code eingeschleust wird. Dieser
lädt dann mittels Internet Explorer einen ganzen Malware-Cocktail auf den Rechner. Dadurch wird der PC
zur Spam-Schleuder umfunktioniert, wird fremdgesteuerter Teil eines Botnets. Außerdem wird noch eine
DLL als BHO (Browser Helper Object) in Internet Explorer installiert, mit der online eingegebene
Zugangsdaten ausspioniert werden können.
Irritierender Abmahnungs-Spam
Spam-artige verbreitete E-Mails mit dem Betreff
„Widerruf der Genehmigung zur Speicherung meiner Daten fuer gewerbliche Zwecke“
sorgen für Verwirrung und Belustigung. Ein im Internet verfügbares Formschreiben wird mit wechselnden,
frei erfundenen Namen und Adressen gefüllt und offenbar an willkürliche Adressen verschickt. Als
Absenderadresse ist "rechtsabteilungmitte@gmx.de" angegeben. Sinn und Zweck der E-Mails
sind noch ungeklärt. Reagieren Sie nicht auf solche Mails.
E-Mail ansehen
20.04.07
PC-WELT Online - Heute is folgender Artikel von mir erschienen:
Avira: Neue Antivir-Version gegen Rootkits
Mit der gerade erschienenen neuen Version ist AntiVir nun auch kompatibel zu Windows Vista. Mit dem Versionswechsel kommen außerdem Funktionen zum Erkennen und Entfernen von Rootkits hinzu.
Dubiose Spam-Mails von kontopruefung.org
Seit gestern werden Spam-artig E-Mails verbreitet, die den Betreff
„Neue Sicherheitsmassnahmen im Zusammenhang mit Ihrem e-mail“ tragen.
Es sind reine Text-Mails und sie enthalten weder einen Anhang noch einen Web-Link.
Die als Absender- und Antwortadresse angegebene Domain "kontopruefung.org" ist erst
am 14. April 2007 auf eine Person mit Adresse in Kanada registriert worden, der zugehörige
Web-Server steht ebenfalls dort und auch die Mails kommen aus Kanada. Sinn und Zweck sind unklar,
vermutlich sollen mit Kopien von Personalausweis und Telefonrechnung Konten zur Geldwäsche
eröffnet werden. Das ist zwar in Deutschland nicht möglich, anderswo jedoch schon, weil es
in etlichen Ländern keine Personalausweise gibt.
E-Mail ansehen |
→Extra-Blatt Geldwäsche
Neue AntiVir-Version entfernt Rootkits
Die auf der Cebit angekündigte neue Version 7.00.04 von AntiVir (alle Varianten) ist erschienen. Sie
ist nun auch kompatibel zu Windows Vista (32 Bit). Windows 98/ME und NT werden von dieser Version hingegen
nicht mehr unterstützt Außerdem enthält sie die Funktionalität der bislang als separate Beta-Version
angebotenen Anti-Rootkit-Software. Ein Rootkit wird allerdings nur dann entfernt, wenn es eindeutig erkannt
wird und eine darauf abgestimmte Reparaturroutine verfügbar ist.
→Antivirus-Links
Neue Version mit neuen Funktionen
Die Mozilla-Entwickler haben die finale Version 2.0.0.0 ihres E-Mail-Programms Thunderbird
zum Download bereit gestellt. Zu den Neuerungen zählen die Verschlagwortung von Mails und die aus dem
Browser Firefox bekannte Suchleiste. Verbessert haben die Entwickler den Phishing-Schutz,
die Rechtschreibprüfung und das Einbinden von Erweiterungen. Außerdem ist Thunderbird 2.0 nun kompatibel
zu Windows Vista.
→Download-Links
19.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
HotBots '07: P2P-Botnets auf dem Vormarsch
Auf einer Sicherheitskonferenz zum Thema Botnets haben die Teilnehmer neue Entwicklungen auf diesem Gebiet diskutiert und warnen, dass die Betreiber von Botnets immer raffiniertere Techniken einsetzen.
Gezielte Angriffe: Powerpoint führt vor Word
Sicherheitslücken in Office-Anwendungen werden vor allem für gezielte Angriffe auf einzelne Unternehmen eingesetzt. Die Zahl dieser Mail-Angriffe ist in letzter Zeit stark angestiegen, es werden vor allem Powerpoint-Dateien eingesetzt.
Tarnen und täuschen: Javascript bei Angreifern beliebt
Auf gehackten Websites, die zum Einschleusen von Malware in die PCs der Besucher missbraucht werden, wird oft und gerne Javascript eingesetzt, um den eigentlichen Angriffs-Code zu tarnen und zu starten.
18.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Hilfe: 15 Jahre alte Schwachstellen in HLP-Dateien
Bei der Untersuchung neuer Berichte über eine Sicherheitslücke in Windows .hlp-Dateien sind weitere Schwachstellen entdeckt worden, die schon seit grauer Vorzeit im Hilfesystem von Windows stecken.
Finjan: Browser-Plug-in bewertet Web-Risiken live
Das kostenlos erhältliche Plug-in Finjan SecureBrowsing für Internet Explorer und Firefox untersucht Suchmaschinentreffer live auf verdächtige Seitenbestandteile und zeigt die Resultate an, noch bevor die Seite besucht wird.
17.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Malware: wieder gefälschte Ebay-Mails
Einmal mehr werden vorgeblich von Ebay kommende Mails verbreitet, in den eine angebliche Adressenänderung der Empfänger als Aufhänger dient. Der Anhang der Mails enthält ein Trojanisches Pferd.
Skype: Neuer Wurm entdeckt
Ein neuer Wurm ist aufgetaucht, der das VoIP-Programm Skype für seine Verbreitung nutzt. Mit Hilfe der Skype-API sendet er Links an alle Kontakte, die gerade online sind.
DNS-Exploit: Wurm nutzt 0-Day-Lücke
Neben mehreren veröffentlichten Beispiel-Exploits für die kürzlich bekannt gewordene Sicherheitslücke in Windows-Servern ist nun auch ein Wurm entdeckt worden, der diese Schwachstelle auszunutzen versucht.
Falsche Nachricht wegen Adressänderung
In Spam-artig verschickten E-Mails mit einem Betreff wie
„Ihre Ebay E-Mail wurde geandert“,
„Hinweis zu geanderter E-Mail-Adresse Ebay“ oder
„Ebay: Sie haben Ihre Email Adresse geanderter“
wird einmal mehr ein Trojanisches Pferd verbreitet. Die Mails enthalten ein ZIP-Archiv
("??????.zip" - ?=Ziffern),
in dem eine EXE-Datei mit doppelter Endung steckt, z.B. "document.doc.exe" oder "ebay.doc.exe". Dieser Schädlng lädt eine
weitere EXE-Datei aus dem Internet nach. Diese installiert eine Datei "ipv6monl.dll" als
BHO (Browser Helper Object) im Internet Explorer.
Erkennung durch Virenscanner:
+ Details aus-/einklappen |
E-Mail ansehen
Antivirus | Malware-Name |
AntiVir | TR/Dldr.Nurech.BG |
Avast! | -/- |
AVG | Downloader.Generic4.EVE (Trojan horse) |
Bitdefender | Trojan.Downloader.Nurech.AI |
ClamAV | Trojan.Downloader-5254 |
Command | -/- |
Dr Web | DLOADER.Trojan (probably) |
eSafe | -/- |
eTrust | -/- |
Ewido | Downloader.Nurech.bg |
F-Prot | -/- |
F-Secure | Trojan-Downloader.Win32.Nurech.bg |
Fortinet | W32/AAP!tr.dldr |
G Data AVK 2007 | Trojan-Downloader.Win32.Nurech.bg |
Ikarus | Trojan-Downloader.Win32.Small |
Antivirus | Malware-Name |
Kaspersky | Trojan-Downloader.Win32.Nurech.bg |
McAfee | Downloader-AAP trojan |
Microsoft | -/- |
Nod32 | Win32/TrojanDownloader.Nurech.BG trojan |
Norman | -/- |
Panda | -/- (Trj/Cimuz.EP)* |
QuickHeal | -/- |
Rising | Trojan.DL.Nurech.bx |
Sophos | Troj/Clagger-BB |
Spybot S&D | -/- |
Symantec | -/- (Downloader)* |
Trend Micro | TROJ_DLOADER.HBH |
VBA32 | -/- |
VirusBuster | -/- |
WebWasher | Trojan.Dldr.Nurech.BG |
E-Mail mit Link zu Malware-Seiten
Spam-artig verbreitete E-Mails verbreiten eine Nachricht über den angeblichen Fund von Resten eines
unbekannten Flugkörpers in der Berliner U-Bahn. Die Mails kommen mit gefälschten Absenderangaben und
einem Betreff wie „Es ist interessant“. Am Ende der Mail ist ein Link, der zu einer
von vielen präparierten Seiten auf geocities.com führt. Dort lädt ein versteckter iFrame ein Trojanisches
Pferd aus der "Bzub"-Familie auf den Rechner. Dieses installiert eine "ipv6monl.dll"
als BHO (Browser Helper Object) im Internet Explorer. Damit werden online eingegebene Zugangsdaten
ausspioniert.
Update: Eine Variante dieser Mails mit dem Betreff „In Muenchen ist Trauer angekuendigt“
kündet von einem angeblichen Massenmord in München. Sonst wie oben.
Erkennung durch Virenscanner:
+ Details aus-/einklappen |
E-Mail ansehen
Antivirus | Malware-Name |
AntiVir | TR/Agent.100056 |
Avast! | -/- |
AVG | PSW.Generic3.WEQ (Trojan horse) |
Bitdefender | -/- |
ClamAV | Trojan.Dropper-739 |
Command | -/- |
Dr Web | Trojan.PWS.Lineage |
eSafe | -/- |
eTrust | -/- |
Ewido | Logger.BZub.iq |
F-Prot | -/- |
F-Secure | Trojan-Spy.Win32.BZub.iq |
Fortinet | PossibleThreat |
G Data AVK 2007 | Trojan-Spy.Win32.BZub.iq |
Ikarus | Trojan-Spy.Win32.Goldun.lw |
Antivirus | Malware-Name |
Kaspersky | Trojan-Spy.Win32.BZub.iq |
McAfee | -/- (Spy-Agent.ba trojan)* |
Microsoft | -/- |
Nod32 | Win32/Spy.BZub.IQ trojan |
Norman | W32/Malware (Sandbox) |
Panda | -/- |
QuickHeal | -/- |
Rising | -/- |
Sophos | Mal/Binder-C |
Spybot S&D | Nurech,,Executable |
Symantec | Infostealer.Bzup |
Trend Micro | TSPY_BZUB.AG |
VBA32 | MalwareScope.Trojan-Spy.BZub.1 |
VirusBuster | -/- |
WebWasher | Trojan.Agent.100056 |
16.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Virus-Hoax: Panik in Pakistan
Gerüchte über für Menschen schädliche Viren, die sich über Mobiltelefone verbreiten sollen, sorgen in Pakistan für Aufregung. Mobilfunk-Provider werden mit besorgten Anfragen überhäuft und geben eine gemeinsame Erklärung heraus.
DNS-Lücke: Angriffe auf anfällige Windows-Server
Die kürzlich bekannt gewordene Sicherheitslücke im DNS-Dienst der Server-Versionen von Windows wird bereits vereinzelt ausgenutzt. Inzwischen ist auch Beispiel-Code für den Exploit öffentlich verfügbar.
Malware: angeblicher UFO-Fund in Berliner U-Bahn
Eine Meldung über einen angeblichen Fund eines unbekannten Flugkörpers in der Berliner U-Bahn wird in Spam-artigen Mails verbreitet. Die Falschmeldung dient jedoch nur dem Einschleusen von Malware.
13.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Malware: Neuer Sturm-Wurm geht um
Eine neue Variante des so genannten Sturm-Wurms zieht derzeit ihre Kreise. Ein vorgebliches Tool gegen einen fiktiven Wurm dient als Aufhänger. Die Menge an verschickten Mails ist wesentlich größer als sonst in letzter Zeit.
Wieder durchgefallen: US-Behörden und die IT-Sicherheit
Alle Jahre wieder werden die Bundesbehörden in den USA einer Prüfung ihrer Maßnahmen zur IT-Sicherheit unterzogen. Immer noch fallen viele durch und erhalten schlechte Noten, darunter auch das US-Verteidigungsministerium.
12.04.07
PC-WELT Online - Heute ist folgender Artikel von mir erschienen:
ANI-Exploit: mehr als 2000 Websites verseuchen Besucher-PCs
Ein Sicherheitsunternehmen meldet, dass es bereits über 2000 Websites entdeckt hat, die mit Hilfe von Varianten des ANI-Exploits die Rechner ihrer Besucher mit Spyware und anderen Schädlingen infizieren.
11.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Malware: Trojanische Rechnung vom Anwalt
Die neueste Masche der Malware-Spammer ist der Versand vorgeblicher Anwaltsrechnungen. Dabei werden Name und Adresse eines existierenden Anwalts missbraucht. Die Falle schnappt zu, wenn der Anhang geöffnet wird.
Online-Kriminalität: Malware im Abo, mit Support
Malware ist ein Geschäft geworden und zeigt folgerichtig immer mehr Merkmale, wie sie auch in legalen Branchen zu finden sind. So bietet eine Website Abonnements ihrer Malware an, einschließlich Produkt-Support und Gewinnbeteiligung.
Microsoft veröffentlicht fünf weitere Security Bulletins
Heute hat Microsoft weitere fünf Security Bulletins nebst zugehöriger Sicherheits-Updates
bereit gestellt. Sie behandeln mehrere als kritisch eingestufte sicherheitslücken in Windows, unter
anderem bei Universal Plug&Play und CSRSS, sowie im Microsoft Content Management Server. Zum Teil
ist auch Windows Vista betroffen.
→MS Download-Links
E-Mails mit Malware im Anhang
Heute werden E-Mails Spam-artig verbreitet, die vorgeblich von einem "RA Olaf Tank" kommen
und die gefälschte Absenderangabe "anwalt@forderungseinzug.de" tragen. Darin werden Forderungen
wegen angeblich nicht bezahlter Leistungen erhoben, vorgeblich in Mandantschaft der Schmidtlein GbR. Der
Text steckt voller Fehler, vergleiche etwa das Datum (31.04.07) - und rechnen kann der Mail-Verfasser
offenbar auch nicht. Der als Absender genannte Anwalt ist laut seiner (in den Mails verlinkten) Website in
der Tat bereits für die genannten Personen tätig gewesen. Die Mails kommen mit einem variablen Betreff wie
„Aktenzeichen: 139227/30“ oder „AZ: 784422/48“.
Im Anhang befindet sich ein ZIP-Archiv mit Namen wie "Original_Rechnung.zip" oder "Rechnung.zip".
Dieses enthält eine Datei namens "O_rechnung.pdf.exe". Hierbei handelt es sich um ein Trojanisches Pferd.
Erkennung durch Virenscanner:
+ Details aus-/einklappen |
E-Mail ansehen
Antivirus | Malware-Name |
AntiVir | TR/Crypt.CFI.Gen |
Avast! | -/- |
AVG | Downloader.Agent.KEU |
Bitdefender | Trojan.Downloader.Nurech.AZ |
ClamAV | Trojan.Downloader-5254 |
Command | W32/Document-disguised-based!Maximus |
Dr Web | DLOADER.Trojan (probably) |
eSafe | Win32.Nurech.bf |
eTrust | -/- |
Ewido | Downloader.Nurech.bf |
F-Prot | W32/Document-disguised-based!Maximus |
F-Secure | Trojan-Downloader.Win32.Nurech.bf |
Fortinet | W32/AAP.BF!tr.dldr |
G Data AVK 2007 | Trojan-Downloader.Win32.Nurech.bf |
Ikarus | Trojan-Downloader.Win32.Small |
Antivirus | Malware-Name |
Kaspersky | Trojan-Downloader.Win32.Nurech.bf |
McAfee | Downloader-AAP |
Microsoft | -/- |
Nod32 | Win32/TrojanDownloader.Nurech.BF |
Norman | -/- |
Panda | Trj/Cimuz.EL |
QuickHeal | -/- |
Rising | Trojan.DL.Nurech.bw |
Sophos | Troj/DwnLdr-GTK |
Spybot S&D | -/- |
Symantec | Downloader |
Trend Micro | TROJ_NURECH.BF |
VBA32 | -/- |
VirusBuster | -/- |
WebWasher | Trojan.Win32.Faked-Invoice.gen |
10.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Microsoft: Heute ist Patch Day
Eine Woche nach dem Patch für die so genannte ANI-Lücke will Microsoft heute insgesamt fünf Security Bulletins veröffentlichen, davon mindestens zwei mit dem maximalen Schweregrad "kritisch".
Keine Gefahr: Virus für iPod-Linux
Ein Antivirus-Hersteller meldet die Entdeckung eines Demo-Virus, der iPods infizieren kann, auf denen eine spezielle Linux-Distribution installiert ist. Eine reale Gefahr geht davon jedoch nicht aus.
ANI-Exploit: Wieder Malware auf Asus-Website
Nicht zum ersten Mal ist auf dem Web-Server des Computer-Herstellers Asus schädlicher Code entdeckt worden. Es handelt sich um präparierte Web-Seiten, die wie viele andere den ANI-Exploit nutzen um Malware einzuschleusen.
Ein Sicherheits-Update blockiert Steuerformulare
Das in der letzten Woche von Microsoft bereit gestellte Sicherheits-Update 925902 aus dem Security
Bulletin MS07-017 verursacht Probleme mit der Elster-Software. Das Programm zur Abgabe der elektronischen
Steuererklärung funktioniert nach der Installation des Sicherheits-Updates nicht mehr. Abhilfe schafft ein
Hotfix von Microsoft, der an sich ein ähnliches Problem mit dem "Realtek HD Audio Control Panel"
beseitigen soll. Dieser Download (ca. 700 KB) ist inzwischen ohne WGA-Prüfung erhältlich.
Microsoft KnowledgeBase, Artikel Nr. 935448
Ein Aprilscherz des CCC hat einige Unruhe ausgelöst
Der Chaos Computer Club hat am 1. April eine Meldung veröffentlicht, nach der man in der neuen
Version der "Elster"-Software zur Abgabe der elektronischen Steuererklärung den so genannten
"Bundestrojaner" entdeckt habe. Gemeint ist damit ein bislang wohl eher fiktives
Bespitzelungsprogramm für Ermittlungsbehörden, das ganz oben auf dem Wunschzettel überwachungswütiger
Politiker steht. Die Meldung hat offenbar einige Aufregung verursacht, denn der CCC hat die Meldung um
den ausdrücklichen Hinweis ergänzt, es handele sich um einen Aprilscherz.
Aprilscherz des CCC
05.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Anti-Spyware-Branche: Fragwürdige Vertriebspraktiken
Die Vermarktungsstrategien einiger angesehener Hersteller von Anti-Spyware nähern sich denen unseriöser Anbieter an, um die Verkaufszahlen zu verbessern. Dies jedenfalls meint ein prominenter Mitbewerber.
WLAN: WEP in kaum einer Minute entschlüsselt
Forscher der TU Darmstadt haben ein verbessertes Verfahren zum Knacken der 128-Bit-Verschlüsselung von WEP-gesicherten Funknetzwerken entwickelt. Damit schaffen sie die Ermittlung des Schlüssels in weniger als 60 Sekunden.
Sicherheitslücken: veröffentlichen oder nicht veröffentlichen?
Der angesehene Kryptographie-Experte Bruce Schneier vertritt die Ansicht, ohne die Offenlegung von Sicherheitslücken fehle der nötige Druck auf die Hersteller die Schwachstelle zu beseitigen.
04.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Patch: Microsoft schließt ANI-Lücke
Microsoft hat ein Security Bulletin veröffentlicht, das eine in den letzten Tagen auf breiter Front ausgenutzte Sicherheitslücke behandelt. Die dazu gehörenden Updates beseitigen die Anfälligkeit von Windows für Angriffe auf diese Schwachstelle.
Sicherheitslücken: Monat der Myspace Bugs
Der April soll der Monat der Myspace Bugs werden, in dem täglich leicht ausnutzbare Sicherheitslücken in der Community-Site veröffentlicht werden sollen. Die Veranstalter nehmen sich allerdings selbst nicht so ernst.
ANI-Exploit: Auch Firefox ist anfällig
Entgegen anders lautenden Berichten ist auch die Benutzung von Firefox kein zuverlässiger Schutz vor Exploits der so genannten ANI-Lücke. Auch andere Browser können die Ausnutzung dieser Schwachstelle ermöglichen.
Ein Patch außer der Reihe gegen den ANI-Exploit
Microsoft hat am Abend des 3. April (nach europäischer Zeit) ein als "kritisch" eingestuftes
Sicherheits-Update für Windows bereit gestellt. Es soll die in den letzten Tagen bereits auf breiter Front
ausgenutzte Sicherheitslücke beim Umgang mit manipulierten ANI-Dateien schließen. Über gehackte, an sich
legitime Websites kann unbemerkt Malware beliebiger Art eingeschleust werden, wenn diese Websites mit
dem Internet Explorer besucht werden. Die umgehende Installation des Updates (925902) aus dem Microsoft
Security Bulletin MS07-017 ist für alle Windows-Benutzer (ab Windows 2000) dringend zu empfehlen. Ältere
Windows-Versionen (95/98/ME/NT) werden nicht mehr unterstützt.
→MS Download-Links
03.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Die Malware-Hitliste im März
Im letzten Monat hat sich wieder ein alter Bekannter an die Spitze setzen können. Bei den mit Malware verseuchten Web-Servern bestätigen sich die Vorurteile, Deutschland ist jedoch auch weit vorne.
Web-Server hacken mit Suchmaschinen
Malware wird zunehmend über gehackte Web-Server verbreitet. Mit Hilfe von Suchmaschinen werden Sicherheitslücken in anfälligen Servern aufgespürt und legitime Websites in Malware-Nester verwandelt.
Vorgebliche Warnung vor Hochwasser
In Spam-artig verbreiteten E-Mails mit einem Betreff wie „Offizielle Benachrichtigung des
Deutschen Wetterdienstes“ wird vor angeblich bevorstehenden Überschwemmungen gewarnt. Die Mails
mit gefälschten Absenderangaben enthalten einen Link zur einer Website, die über Sicherheitslücken
Malware einschleusen soll. Bei dieser handelt es sich um ein Trojanisches Pferd, das jedoch bislang
erst von wenigen Virenscannern erkannt wird.
Erkennung durch Virenscanner:
+ Details aus-/einklappen |
E-Mail ansehen
Antivirus | Malware-Name |
AntiVir | TR/Spy.BZub.A |
Avast! | Win32:BZub-DA [Trj] |
AVG | -/- |
Bitdefender | -/- |
ClamAV | -/- |
Command | -/- |
Dr Web | -/- |
eSafe | -/- |
eTrust | -/- |
Ewido | -/- |
F-Prot | -/- |
F-Secure | -/- |
Fortinet | Spy/BZub |
G Data AVK 2007 | Win32:BZub-DA [Trj] |
Ikarus | Trojan-Spy.Win32.Goldun.lw |
Antivirus | Malware-Name |
Kaspersky | -/- |
McAfee | -/- |
Microsoft | PWS:Win32/Cimuz.gen |
Nod32 | -/- |
Norman | W32/Malware.NTG |
Panda | -/- |
QuickHeal | -/- |
Rising | -/- |
Sophos | Mal/Binder-C |
Symantec | -/- |
Trend Micro | TSPY_BZUB.IH |
UNA | -/- |
VBA32 | MalwareScope.Trojan-Spy.BZub.1 |
VirusBuster | -/- |
WebWasher | Win32.NewMalware!100568!2 |
02.04.07
PC-WELT Online - Heute sind folgende Artikel von mir erschienen:
Malware: Monat der Viren-Bugs
Nachdem es seit letzten Sommer bereits Monate der Browser-, Kernel-, Apple- oder PHP-Bugs gegeben hatte, haben Virenforscher von McAfee am Wochenende einen Monat der Viren-Bugs angekündigt.
Lücke im Internet Explorer: Wurm nutzt ANI-Exploit
Chinesische Sicherheitsfachleute haben am Wochenende die Entdeckung eines Wurms gemeldet, der sich die neue Sicherheitslücke im IE zunutze macht um sich auszubreiten.
Test: Wie gut schützen Virenscanner vor dem ANI-Exploit?
Der neue ANI-Exploit wird bereits auf breiter Front einsetzt um Malware zu verbreiten. Wie werden Antivirus-Programme mit den verschiedenen Dateien fertig, mit denen sie in diesem Zusammenhang konfrontiert werden?