|
Hoax-Info Service | Weblog | ArchivHier finden Sie Weblog-Einträge aus dem Juli 2008. Das aktuelle Weblog finden Sie hier. Juli 2008
30.07.08
|
Antivirus | Malware-Name |
---|---|
AntiVir | Worm/Zhelatin.ZM |
Avast! | -/- |
AVG | -/- |
A-Squared | -/- |
Bitdefender | Trojan.Peed.JPS |
CA-AV | Win32/Sintun.FK |
ClamAV | -/- |
Command | -/- |
Dr Web | -/- |
eSafe | File [100] (suspicious) |
Ewido | -/- |
F-Prot | -/- |
F-Secure | Email-Worm.Win32.Zhelatin.afg |
Fortinet | -/- |
G Data AVK | Email-Worm.Win32.Zhelatin.afg |
Ikarus | -/- |
Antivirus | Malware-Name |
---|---|
Kaspersky | Email-Worm.Win32.Zhelatin.afg |
McAfee | W32/Nuwar@MM |
Microsoft | Backdoor:Win32/Nuwar.E |
Nod32 | Win32/Nuwar.DG worm (variant) |
Norman | -/- |
Panda | suspicious file |
QuickHeal | -/- |
Rising | -/- |
Sophos | Mal/Dorf-O |
Spybot S&D | -/- |
Sunbelt | -/- |
Symantec | Trojan.Peacomm.D |
Trend Micro | TROJ_NUWAR.DDJ |
VBA32 | -/- |
VirusBuster | -/- |
WebWasher | Worm.Zhelatin.ZM |
Sicherheitslücken gestopft: Sicherheits-Update für den Real Player
Real Networks hat die neue Version 11.0.3 seines kostenlosen Real Player bereit gestellt. Damit schließt der Hersteller mehrere zum Teil als kritisch eingestufte Sicherheitslücken in dem Abspielprogramm für Musik und Videos.
SSL komplett: Google Mail bekommt mehr Verschlüsselung
Der Mail-Dienst von Google kann bald standardmäßig über eine von Anfang bis Ende SSL-verschlüsselte Verbindung genutzt werden. Damit haben es Benutzer zukünftig einfacher sich vor Datendieben zu schützen.
Cookie-Leck: Sicherheitslücke in Safari
Die Behandlung bestimmter Cookies in Safari ermöglicht die Umgehung von Sicherheitsschranken. Dabei verhält sich Safari zwar RFC-konform, aber eben nicht sicher. Ein korrigierendes Update gibt es noch nicht.
Rettungssystem mit Virenscanner: F-Secure stellt Rescue CD 3.00 bereit
Der finnische Antivirushersteller F-Secure stellt die neue Version 3.00 seiner Boot-CD zur Rettung bei Schädlingsbefall bereit. Das Linux-basierte System kann kostenlos herunter geladen werden.
Heute werden E-Mails Spam-artig verbreitet, die vorgeblich eine Paypal-Lastschrift bestätigen. Die Mails tragen einen Betreff wie „N 15801008 Rechnung“, „Lastschrift N 12804352“, „Rechnung 32531490“ oder ähnlich. Im Text ist von einer Abbuchung von mehreren tausend Euro die Rede, die Details möge man dem Anhang entnehmen. Der Anhang besteht aus einem ZIP-Archiv namens "Rechnung_S833.zip" (~20 KB), das eine Datei "Rechnung________NRDKJH8833423444229.exe" enthält. Dabei handelt es sich um ein Trojanisches Pferd. Es soll den Rechner zu einem Teil eines Botnets machen und ihn so in eine fremdgesteuerte Spam-Schleuder verwandeln.
Antivirus | Malware-Name |
---|---|
AntiVir | TR/Spy.ZBot.iewo |
Avast! | -/- |
AVG | -/- |
A-Squared | -/- |
Bitdefender | -/- |
CA-AV | -/- |
ClamAV | Trojan.Zbot-1712 |
Command AV | W32/Trojan2.AUFK |
Dr Web | -/- |
eSafe | -/- |
Ewido | -/- |
F-Prot | -/- |
F-Secure | Backdoor:W32/Agent.DES |
Fortinet | -/- |
G Data AVK | -/- |
Ikarus | Win32.Outbreak.Invoice |
Antivirus | Malware-Name |
---|---|
Kaspersky | -/- |
McAfee | -/- (Spy-Agent.bw trojan)* |
Microsoft | Backdoor:Win32/Koceg.gen!C |
Nod32 | Win32/AutoRun.TW worm |
Norman | W32/DLoader.IPLD |
Panda | -/- |
QuickHeal | -/- |
Rising | -/- |
Sophos | Troj/Spy-AT |
Spybot S&D | Worldsecurityonline.FakeAlert,Malware,Executable |
Sunbelt | -/- |
Symantec | -/- |
Trend Micro | -/- (WORM_OTORUN.C)* |
VBA32 | Malware-Cryptor.Win32.General.2 (suspected) |
VirusBuster | -/- |
WebWasher | Trojan.Spy.ZBot.iewo |
Apple tut es schon wieder: iTunes 7.7 installiert heimlich Zusatz-Software
Mit der Installation von iTunes 7.7 gelangt als Überraschungspaket ein Programm auf den Windows-Rechner, das zur Steuerung von Apples kostenpflichtigen Online-Dienst "MobileMe" dient und dafür Werbung macht.
Erneute UPS-Mails: Mails vom Paketdienst enthalten Trojanisches Pferd
Auch in dieser Woche werden wieder vorgeblich vom Paketdienst UPS kommende Mails verbreitet, die im Anhang ein Trojanisches Pferd enthalten. Dieses soll neue Zombie-Rechner für ein Botnet rekrutieren.
Multi-Messenger: Mehr Sicherheit für Miranda
Die neue Version 0.7.8 des freien Multiprotokoll-Messenger Miranda bietet nun auch eine eingebaute Unterstützung für verschlüsselte Verbindungen. Außerdem haben die Entwickler einige Fehler korrigiert.
Download-Probleme: Firefox 3 übernimmt IE-Sicherheitseinstellungen
Wer mit dem neuen Firefox 3 Probleme beim Download von Dateien hat, sollte die Sicherheitskonfiguration im Internet Explorer 7 überprüfen. Von dort bezieht der neue Firefox nämlich die betreffenden Einstellungen.
Neue Währung: Neue Malware-Kampagne mit dem Sturm-Wurm
Eine neue Spam-Kampagne der so genannten Sturm-Wurm-Bande macht sich bestehende Verschwörungstheorien zu eigen und meldet eine angebliche neue Währung in Nordamerika. Tatsächlich geht es wieder nur um die Verbreitung von Malware.
Die neue Spam-Kampagne der so genannten Sturm-Wurm-Bande berichtet von einer angeblichen neuen Währung in Nordamerika. Die USA, Kanada und Mexiko sollen gemeinsam den "Amero" (wohl in Anlehnung an den Euro) einführen. Der Amero spukt als (bestenfalls) hypothetische Währung einer zukünftigen Nordamerikanischen Union (ähnlich der EU) bereits seit einiger Zeit durch im Internet verbreitete Verschwörungstheorien. Die Mails tragen einen Betreff wie „Dollar is replacing by new currency“, „Collapse of the Dollar“, „One Currency for Canada, U.S and Mexico - The Amero“ „The AMERO currency replacing the Dollar“ oder dergleichen mehr. Sie enthalten einen Link auf eine IP-Adresse im Sturm-Botnet. Auf den zahlreichen gekaperten Rechnern liefert ein Mini-Web-Server eine Seite aus, die eine Abbildung der angeblichen neuen Währung zeigt. Wer darauf klickt, startet den Download einer Datei "amero.exe" (~90 KB). Dabei handelt es sich um die Sturm-Malware, die ein Rootkit installiert. Die Erkennung durch Antivirusprogramme ist, wie meist am Beginn einer neuen Kampagne, noch recht dürftig. Die Seite enthält außerdem Javascript-Code, der Sicherheitslücken im Internet Explorer ausnutzen soll, um den Schädling automatisch einzuschleusen.
Antivirus | Malware-Name |
---|---|
AntiVir | Worm/Zhelatin.zi |
Avast! | Win32:Zhelatin-DIO [Wrm] |
AVG | I-Worm/Nuwar.V |
A-Squared | -/- |
Bitdefender | Trojan.Peed.JPS |
CA-AV | -/- |
ClamAV | -/- |
Command | -/- |
Dr Web | -/- |
eSafe | File [100] (suspicious) |
Ewido | -/- |
F-Prot | -/- |
F-Secure | Email-Worm.Win32.Zhelatin.aep |
Fortinet | -/- (W32/Dorf.AEP@mm)* |
G Data AVK | Email-Worm.Win32.Zhelatin.aep |
Ikarus | Email-Worm.Win32.Zhelatin.aep |
Antivirus | Malware-Name |
---|---|
Kaspersky | Email-Worm.Win32.Zhelatin.aep |
McAfee | W32/Nuwar@MM |
Microsoft | Backdoor:Win32/Nuwar.gen!D |
Nod32 | Win32/Nuwar.DF worm (variant) |
Norman | -/- |
Panda | -/- |
QuickHeal | Win32.Email-Worm.Zhelatin.aep.3 |
Rising | -/- |
Sophos | Mal/Dorf-O |
Spybot S&D | Smitfraud-C.,Malware,Executable |
Sunbelt | -/- |
Symantec | Trojan.Peacomm.D |
Trend Micro | -/- |
VBA32 | -/- |
VirusBuster | -/- |
WebWasher | Worm.Zhelatin.zi |
Vorgebliche Promi-Videos: Falsche MSN-Mails mit Malware-Link
Spam-artig verbreitete Mails fluten die Mailboxen, die vermeintlich vom Empfänger selbst kommen und ihm ein Video einer unbekleideten Hollywood-Schönheit andienen. Sie geben sich dabei als MSN-Abo aus.
PDF-Exploit: 2012 - Das Ende des Internets?
Antivirusfirmen berichten über manipulierte PDF-Dateien, die ein Trojanisches Pferd installieren. Sie kommen mit Spam-Mails, die über das Ende des Internets im Jahr 2012 orakeln.
Sicherheit: Updates für Firefox 3, Seamonkey & Flock
Die Update-Welle rollt weiter bei der Mozilla-Familie. Nachdem am 16. Juli Firefox 2.0.0.16 erschienen ist, steht jetzt mit Firefox 3.0.1 das erste wichtige Sicherheits-Update für die neue Firefox-Generation bereit. Ebenfalls aktualisiert wurden Seamonkey und Flock.
Die Mozilla-Entwickler haben zwei als kritisch eingestufte Sicherheitslücken im Web-Browser Firefox
geschlossen. Betroffen sind der 2.x-Zweig bis einschließlich der gerade vor zwei Wochen veröffentlichten
Version 2.0.0.15 sowie Version 3.0. Die neue Version 2.0.0.16 ist bereits
allgemein verfügbar. Firefox 3.0.1 ist zwar ebenfalls bereits seit 11. Juli
fertig, wird jedoch noch nicht offiziell angeboten.
Eine der beseitigten Schwachstellen ermöglicht es einem lokalen Script oder Programm Firefox mit mehreren
geöffneten Tabs (Karteireitern) und beliebig vorgegebenen Web-Adressen zu starten, falls der Browser noch
nicht läuft. Die andere betrifft einen unterdimensionierten Zähler für Referenzen auf CSS-Objekte
(Cascading Stylesheets). Ein Angreifer könnte diesen Zähler mit einer speziell präparierten Web-Seite zum
Überlaufen bringen. Dadurch würde Firefox abstürzen und eingeschleuster, potenziell schädlicher Programm-Code
könnte ausgeführt werden. Hierbei handelt es sich um die von ZDI/Tipping Point bereits kurz nach der
Veröffentlichung von Firefox 3.0 gemeldete Schwachstelle (nebenbei bemerkt ein äußerst fragwürdiges Timing...).
Die Websuite Seamonkey bis einschließlich Version 1.1.10 und das E-Mail-Programm
Thunderbird bis 2.0.0.14 sind ebenfalls anfällig, da sie intern Firefox-2-Technik einsetzen.
Seamonkey 1.1.11 ist bereits fertig und allgemein verfügbar, Thunderbird 2.0.0.16 hingegen noch nicht.
Gleichfalls betroffen sind auf Mozilla bzw. Firefox basierende Browser wie Flock (Update bereits
verfügbar), Splashtop, K-Meleon oder auch der interne Browser von Second Life.
→Liste von Sicherheits-Updates | →Download-Links | Mozilla Security Center
Überleben im Internet: Wie lange bleibt ein PC ohne Updates sauber?
Wie lange bleibt heutzutage ein frisch installierter Windows-PC ohne Sicherheits-Updates, der an das Internet angeschlossen wird, frei von Malware?
Neue UPS-Mails: Wieder falsche Paketdienst-Mails mit Malware
Es sind neue Malware-Mails unterwegs, die vorgeblich vom Paketdienst UPS kommen. Im Anhang dieser Mails ist eine ZIP-Datei, die ein Trojanisches Pferd enthält.
Chiffrier-Lehrer: Neue Version von Cryptool
Die kostenlose Lern-Software Cryptool soll Einsteigern grundlegende Kenntnisse der Kryptographie vermitteln. Die Entwickler haben die neue Version 1.4.21 bereit gestellt, die Verbesserungen bei der Bedienung enthält.
Sicherheits-Update: Neuer VLC Player beseitigt Schwachstelle
Die VideoLAN-Entwickler haben die neue Version 0.86i des VLC Player freigegeben. Sie haben darin eine Sicherheitslücke geschlossen, die das Einschleusen von Code ermöglichen kann.
Malware-Olympiade: Vorsicht bei olympischen Mails
Auch für die Verbreiter von digitalen Schädlingen gilt der olympische Gedanke "Dabei sein ist alles". Sie sollen vor allem mit schädlichem Code präparierte Office-Dokumente an den Start bringen.
Altlasten: Unix-Fehler nach 33 Jahren beseitigt
Ein Unix-Entwickler hat einen Software-Fehler entdeckt und beseitigt, dessen Spuren bis in das Jahr 1975 zurück reichen. Er steckt in OpenBSD, das mit dem Apple-Betriebssystem Mac OS X verwandt ist.
Heute schwappt eine neue Welle Spam-artig verbreiteter Mails in die Mailboxen, die vorgeblich vom Paketdienst UPS kommen. Wie schon vor einer Woche tragen sie einen Betreff wie „Ihr UPS Paket N??????????“ (?: Ziffern) und die gefälschte Absenderangabe „UPS Packet Service“. Der Text der deutschen Varianten ist ebenfalls mit dem aus der letzten Woche identisch. Es gibt jedoch auch englische Versionen, deren Betreff „UPS Paket N??????????“ lautet. Bei den deutschen Mails heißt der Anhang "UPS_Lieferschein_8102.zip". Dieses ZIP-Archiv enthält eine Datei namens "UPS_Lieferschein.exe" (8 KB). Bei den englischen Versionen heißt der Anhang hingegen "ups_invoice.zip" und enthält eine "ups_invoice.exe", die mit der EXE-Datei in den deutschen Fassungen identisch ist. Es handelt sich dabei um ein Trojanisches Pferd, das weitere Malware aus dem Internet herunter lädt. Eine Infektion kann dadurch erkannt werden, dass es im Verzeichnis C:\Windows\system32 eine Datei namens "userini.exe" und eine nur 8192 Bytes große "userinit.exe" gibt. Letztere ist der Schädling, erstere eine Kopie der Originaldatei "userinit.exe", die zu Windows gehört. Diese also nicht löschen, nur umbenennen! Die Erkennung des Schädlings durch Antivirusprogramme weist noch ein paar Lücken auf.
Antivirus | Malware-Name |
---|---|
AntiVir | TR/Dldr.Tiny.brm |
Avast! | Win32:Tiny-UR [Trj] |
AVG | SHeur.BWIM (Trojan horse) |
A-Squared | -/- |
Bitdefender | Trojan.Downloader.Gadja.C |
CA-AV | Win32/SillyDl.EUC |
ClamAV | Trojan.Agent-30547 |
Command | W32/Trojan2.ATAB (destructive program) |
Dr Web | Trojan.DownLoad.1379 |
eSafe | -/- |
Ewido | Downloader.Obitel.a |
F-Prot | W32/Trojan2.ATAB |
F-Secure | Trojan-Downloader.Win32.Obitel.a |
Fortinet | W32/Agent.UP!tr.dldr |
G Data AVK | Trojan-Downloader.Win32.Obitel.a |
Ikarus | Trojan-Downloader.Win32.Tiny.brm |
Antivirus | Malware-Name |
---|---|
Kaspersky | Trojan-Downloader.Win32.Obitel.a |
McAfee | Generic Downloader.ab trojan |
Microsoft | Trojan:Win32/Agent.EE |
Nod32 | Win32/TrojanDownloader.Tiny.NDM trojan |
Norman | -/- |
Panda | Trj/Agent.JEN |
QuickHeal | TrojanDownloader.Tiny.brm |
Rising | -/- |
Sophos | Troj/Agent-HFU |
Spybot S&D | -/- |
Sunbelt | -/- |
Symantec | Downloader (Trojan Horse)* |
Trend Micro | TROJ_DLOADR.GG |
VBA32 | -/- |
VirusBuster | -/- |
WebWasher | Trojan.Dldr.Tiny.brm |
Update für ZoneAlarm: ZoneAlarm-Nutzer können wieder ins Internet
Checkpoint hat eine neue Version seiner Firewall-Software ZoneAlarm bereit gestellt, bei der die Verbindungsprobleme nach dem Microsoft Patch Day behoben sein sollen.
Phishing-Blocker: Mehr Sicherheit bei Google Mail
Der Mail-Dienst von Google soll sicherer werden. Zu den neuen Sicherheitsfunktionen gehört eine Sperre für gefälschte Paypal- und eBay-Mails sowie eine Kontrollmöglichkeit für fremde Zugriffe auf das eigene Konto.
Malware ohne Malware: Hintertür durch legitime Programme
Mit Hilfe von per Script steuerbaren Installations- oder Archivprogrammen lässt sich ein Schädling herstellen, der keine für sich genommen schädlichen Komponenten enthält sondern nur legitime Programme.
Etliche Nutzer der Firewall-Software ZoneAlarm kommen nach der Installation des wichtigen Sicherheits-Updates "KB951748" aus dem Security Bulletin MS08-037 (DNS-Client) nicht mehr ins Internet. Ursache ist ein geändertes Verhalten des DNS-Clients, der nun zufällige IP-Ports zwischen 49152 und 65535 benutzt. ZoneAlarm blockiert diese Ports, wenn die höchsten Sicherheitsstufe eingestellt ist. Mit einer auf "medium" oder "mittel" eingestellten Schutzstufe klappt der Internet-Zugriff jedoch. Der ZoneAlarm-Hersteller Checkpoint hat inzwischen die neue Version 7.0.483.0 bereit gestellt (alle Varianten, auch auf Deutsch).
Java Update: Kritische Sicherheitslücken in Java
Die Java Laufzeitumgebung JRE enthält eine Reihe von zum Teil kritischen Sicherheitslücken, die böswilligen Applets den Zugriff auf das lokale Dateisystem ermöglichen. Eine neue Version behebt diese Schwachstellen.
Sturm-Wurm: Malware ködert mit US-Einmarsch in den Iran
Die neueste Malware-Kampagne der Sturm-Wurm-Bande berichtet über einen angeblich bevorstehenden dritten Weltkrieg, weil die USA in den Iran einmarschiert seien. Letztlich ist es jedoch wieder nur ein Köder zur Rekrutierung neuer Zombies.
Office-Angriffe: Neue Sicherheitslücke in Word
In Word ist eine bis dahin unbekannte Schwachstelle entdeckt worden, die bereits für gezielte Angriffe ausgenutzt wird. Microsoft hat dazu eine Sicherheitsmitteilung veröffentlicht.
Patch Day: Microsoft-Patch kollidiert mit ZoneAlarm
Nach der Installation der neuesten Sicherheits-Updates von Microsoft bekommen Nutzer der Firewall-Software ZoneAlarm plötzlich keine Verbindung ins Internet mehr.
Malware-Spam: Trojanisches Pferd in vorgeblichem UPS-Lieferschein
Spam-artig verbreitete Mails verkünden den Empfängern, dass ein UPS-Paket angeblich nicht zugestellt werden konnte. Die Mails enthalten einen schädlichen Anhang, der keineswegs das ist, was er zu sein vorgibt.
Die so genannte Sturm-Wurm-Bande hat eine neue Malware-Kampagne gestartet. Spam-artig verbreitete E-Mails berichten über einen angeblichen Einmarsch der USA in den Iran. Sie kommen mit einem Betreff wie „The World War III has already begun“, „More than 10000 Iranians were murdered“, „USA declares war on Iran“, „20000 US soldiers in Iran“ oder „USA occupeid Iran“ und dergleichen mehr. Sie enthalten einen Link auf eine neu gestaltete Website, die von gekaperten PCs ("Zombies") des Sturm-Botnets serviert wird. Sie zeigt ein imitiertes Werbebanner von US-Veteranen, das mit einem Link auf eine Datei namens "form.exe" (~118 KB) unterlegt ist. Ein zweites Bild zeigt eine vorgebliche Vorschau auf ein Video, das angeblich die ersten Minuten des US-Einmarschs zeigen soll. Es ist mit einem Link auf eine Datei namens "iran_occupation.exe" (~118 KB) unterlegt. Auf diese Datei zeigt zudem ein Link im Text. Es handelt sich in beiden Fällen um die Sturm-Malware. Die Seiten enthalten weiterhin Javascript-Code, der Sicherheitslücken im Internet Explorer ausnutzen soll, um heimlich die Sturm-Malware einzuschleusen. Wird der Schädling ausgeführt, legt er eine Datei namens "msserv.exe" im Windows-Verzeichnis an, die über einen Registry-Eintrag (HKLM/.../Run) automatisch geladen wird, wenn Windows gestartet wird. Damit wird der PC zu einem Zombie des Sturm-Botnets. Die Erkennung aktueller Schädlingsvarianten durch Antivirus-Software weist noch große Lücken auf.
Antivirus | Malware-Name |
---|---|
AntiVir | Worm/Zhelatin.zh |
Avast! | -/- |
AVG | I-Worm/Nuwar.U |
A-Squared | -/- |
Bitdefender | Dropped:Trojan.Peed.PM |
CA-AV | Win32/Sintun.FB |
ClamAV | -/- |
Command | -/- |
Dr Web | -/- |
eSafe | File [100] (suspicious) |
Ewido | -/- |
F-Prot | -/- |
F-Secure | Trojan-Downloader.Win32.Cntr.cg |
Fortinet | -/- |
G Data AVK | Trojan-Downloader.Win32.Cntr.cg |
Ikarus | -/- |
Antivirus | Malware-Name |
---|---|
Kaspersky | Trojan-Downloader.Win32.Cntr.cg |
McAfee | -/- (W32/Nuwar@MM)* |
Microsoft | -/- |
Nod32 | Win32/Nuwar.DD worm (variant) |
Norman | -/- |
Panda | -/- |
QuickHeal | -/- |
Rising | -/- |
Sophos | Troj/Tibs-UO |
Spybot S&D | -/- |
Sunbelt | -/- |
Symantec | -/- |
Trend Micro | -/- (TROJ_NUWAR.AB)* |
VBA32 | -/- |
VirusBuster | Worm.DR.Zhelatin.Gen!Pac.9 |
WebWasher | Worm.Zhelatin.zh |
Beim monatlichen Patch Day hat Microsoft im Juli vier Security Bulletins veröffentlicht, die alle die maximale Risikostufe "hoch" tragen. Die darin behandelten Sicherheitslücken stecken im Microsoft SQL-Server (Erhöhung von Berechtigungen), im Windows Explorer (Ausführung von eingeschleustem Code), im DNS-Dienst und -Client (Spoofing) sowie in Outlook Web Access (OWA) für Microsoft Exchange (Erhöhung von Berechtigungen). Betroffen sind vor allem die Server-Versionen von Windows sowie in einigen Fällen Windows 2000, XP und Vista. Außerdem gibt es wie jeden Monat eine neue Version von Microsofts kleiner Wurmkur, dem "Windows-Tool zum Entfernen bösartiger Software".
→Microsoft Download- und Info-Links | →Liste von Sicherheits-Updates
Aus der Schweiz werden Spam-artig verbreitete E-Mails gemeldet, die vorgeblich vom Paketdienst UPS kommen. Sie tragen einen Betreff wie „Ihr UPS Paket N??????????“ (?: Ziffern) und die Absenderangabe „UPS Packet Service“. Im Text heißt es, ein Paket habe nicht zugestellt werden können. Man möge den angehängten Lieferschein ausdrucken und das Paket abholen. Der Anhang der Mails besteht aus einem ZIP-Archiv namens "UPS_Lieferschein.zip" (48 KB). Dieses enhält eine ausführbare Datei namens "UPS_Lieferschein.exe" (56 KB). Dabei handelt es sich um ein Trojanisches Pferd. Es legt eine Datei "ntos.exe" im System32-Verzeichnis von Windows an, die durch einen manipulierten Registry-Eintrag bei jedem Start von Windows geladen wird. Die Erkennung der Malware durch Antivirus-Programme ist derzeit noch lückenhaft.
Antivirus | Malware-Name |
---|---|
AntiVir | TR/Spy.ZBot.dbi |
Avast! | Win32:Zbot-AHQ [Trj] |
AVG | Downloader.Agent.AICN (Trojan horse) |
A-Squared | -/- |
Bitdefender | Trojan.Spy.Zbot.GF |
CA-AV | Win32/Kollah.LY |
ClamAV | Trojan.Agent-30509 |
Command | -/- |
Dr Web | -/- |
eSafe | File [100] (suspicious) |
Ewido | -/- |
F-Prot | -/- |
F-Secure | Trojan-Spy.Win32.Zbot.dbi |
Fortinet | -/- (Agent.HEY!tr)* |
G Data AVK | Trojan-Spy.Win32.Zbot.dbi |
Ikarus | Trojan-Spy.Win32.Zbot.dbi |
Antivirus | Malware-Name |
---|---|
Kaspersky | Trojan-Spy.Win32.Zbot.dbi |
McAfee | -/- (Generic.f trojan)* |
Microsoft | -/- |
Nod32 | Win32/Spy.Agent.PZ trojan |
Norman | -/- |
Panda | -/- |
QuickHeal | TrojanSpy.Zbot.dbi |
Rising | -/- |
Sophos | Troj/Agent-HEY |
Spybot S&D | Worldsecurityonline.FakeAlert,,Executable |
Sunbelt | -/- |
Symantec | XPAntivirus |
Trend Micro | -/- (TSPY_ZBOT.NM)* |
VBA32 | -/- |
VirusBuster | -/- |
WebWasher | Trojan.Spy.ZBot.dbi |
ActiveX-Angriffe: Sicherheitslücke im Microsoft Snapshot Viewer
Angreifer nutzen bereits eine Anfälligkeit in der ActiveX-Komponente des Snapshot Viewers aus, der zu Microsoft Office gehört. Microsoft hat eine Sicherheitsmitteilung herausgegeben, die Tipps zur Abhilfe enthält.
Endlich Vista-tauglich: Neue Version der Sunbelt Personal Firewall
Der Nachfolger der beliebten Kerio Personal Firewall ist jetzt auch für Windows Vista erhältlich. Die neue Version bringt zwar keine neuen Funktionen mit, ist jedoch an vielen Stellen verbessert worden.
Antivirus-Spam: Betrügerische Sicherheits-Software
Spam-Mails werben für kostenlose Antivirus-Programme, die jedoch alles andere sind, nur keine Schutz-Software. Sie zeigen falsche Befunde an, um ihre Opfer zum Kauf einer ebenso nutzlosen Vollversion zu nötigen.
Truecrypt 6.0: Windows komplett verschlüsseln und verstecken
Die neue Version 6.0 der Verschlüsselungs-Software Truecrypt soll auf Mehrkernprozessoren viel schneller sein. Das kostenlose Programm kann eine Systempartition so verschlüsseln, dass deren Existenz kaum nachweisbar ist.
Patch Day Vorschau: Microsoft kündigt vier Security Bulletins an
Am kommenden Dienstag will Microsoft vier Security Bulletins veröffentlichen. Keine der darin zu behandelnden Schwachstellen ist als kritisch eingestuft, aber alle immerhin als hoch.
US-Unabhängigkeitstag: Neue Sturm-Wurm-Kampagne zum 4. Juli
Die Sturm-Wurm-Bande hat ein aktuelles Ereignis aufgegriffen, um es als Köder für neue Opfer zu verwenden. Die neueste Malware-Kampagne nutzt dafür den heutigen Feiertag in den USA.
Chaos-Kongress: Aufruf zum 25. Chaos Communication Congress (25C3)
Der Chaos Computer Club lädt zu seinem 25. Chaos Communication Congress ein und ruft zugleich dazu auf Beiträge einzureichen. Die Veranstaltung findet wie immer kurz vor dem Jahreswechsel statt.
Heute ist der amerikanische Unabhängigkeitstag (Independence Day), der wohl wichtigste Feiertag in den USA. Dazu passend hat die Sturm-Wurm-Bande eine neue Kampagne gestartet, die sich dieses Themas bedient. Die Spam-Mails tragen einen Betreff wie „Amazing firework 2008American Independence Day“, „Celebrating Fourth of July“, „Fabulous Independence Day firework“, „Happy Independence Day!!“, „Wish your friends a happy Independence Day“ und so fort. Die dazu passende Website auf bereits gekaperten Rechnern zeigt ein Bild eines Feuerwerks, das mit einem Link zu einem vorgeblichen Video unterlegt ist. Wird es angeklickt, startet der Download einer Datei namend "fireworks.exe" (~118 KB). Dabei handelt es sich um die Sturm-Malware. Deren Erkennung durch Virenscanner ist weiterhin lückenhaft.
Antivirus | Malware-Name |
---|---|
AntiVir | WORM/Zhelatin.Gen |
Avast! | -/- |
AVG | I-Worm/Nuwar.U |
A-Squared | -/- |
Bitdefender | Trojan.Peed.JLV |
CA-AV | Win32/Sintun.FB |
ClamAV | -/- |
Command | -/- |
Dr Web | Trojan.Packed.555 |
eSafe | File [100] (suspicious) |
Ewido | -/- |
F-Prot | -/- |
F-Secure | Trojan-Downloader.Win32.Cntr.ca |
Fortinet | W32/PackTibs.M |
G Data AVK | Trojan-Downloader.Win32.Cntr.ca |
Ikarus | Trojan-Downloader.Win32.Cntr.ca |
Antivirus | Malware-Name |
---|---|
Kaspersky | Trojan-Downloader.Win32.Cntr.ca |
McAfee | W32/Nuwar@MM |
Microsoft | Backdoor:Win32/Nuwar.gen!D |
Nod32 | Win32/Nuwar.DC worm |
Norman | -/- |
Panda | -/- |
QuickHeal | Win32.Trojan-Downloader.Cntr.ca.3 |
Rising | -/- |
Sophos | Troj/Dorf-BP |
Spybot S&D | -/- |
Sunbelt | -/- |
Symantec | Trojan.Peacomm.D |
Trend Micro | -/- |
VBA32 | -/- |
VirusBuster | Trojan.Tibs.AMZ |
WebWasher | Worm.Zhelatin.Gen |
Am kommenden Dienstag, 8. Juli, ist wieder Patch Day bei Microsoft. Heute hat Microsoft für die nächste Woche vier Security Bulletins angekündigt. Die darin behandelten Sicherheitslücken sind mit der Risikostufe "hoch" versehen, als "kritisch" eingestufte sind nicht dabei. Betroffen sind in einem Fall Microsoft SQL-Datenbankprodukte, in einem anderen der Exchange-Server. Zwei weitere Security Bulletins betreffen nicht genauer bezeichnete Sicherheitslücken in Windows-Versionen von Windows 2000 bis Vista und Server 2008.
Microsoft Security Bulletin Advance Notification für Juli 2008
Instant Messenger: Neue Version von Pidgin
Der Multiprotokoll-Messenger Pidgin ist in der Version 2.4.3 erschienen. Diese behebt eine Fehlermeldung im ICQ-Modul, die die Nutzung der Vorversionen im ICQ-Netz blockiert. Ein kürzlich bekannte gewordene Sicherheitslücke ist hingegen noch nicht gestopft.
Netzwerk-Tool: Sicherheits-Update für Wireshark
Das Netzwerkanalyseprogramm Wireshark ist in einer neuen Version erhältlich. Wireshark 1.0.1 beseitigt fünf Sicherheitslücken sowie diverse andere Fehler und enthält etliche Detailverbesserungen.
Sicherheitslücke: VLC Player stolpert über WAV-Dateien
Eine Schwachstelle beim Umgang mit präparierten WAV-Dateien kann dazu genutzt werden den VLC Player zum Absturz zu bringen. Dadurch könnte es möglich sein schädliche Code einzuschleusen. Ein Update ist noch nicht verfügbar.
Sicherheits-Updates: Firefox und Seamonkey aktualisiert
Firefox ist ab sofort in der Version 2.0.0.15 erhältlich, Seamonkey in Version 1.1.10. In beiden Programmen haben die Mozilla-Entwickler etliche Sicherheitslücken beseitigt. Wer diese Programme nutzt, sollte also umgehend seine Version aktualisieren.
Freiwillige vor: Ergebnisse des McAfee Spam-Experiments
Den ganzen April hindurch haben sich 50 Freiwillige aus zehn Ländern mit Spam bombardieren lassen und ihre Erlebnisse protokolliert. McAfee hat jetzt die Ergebnisse dieses Experiments veröffentlicht.
Bereits die dritte Welle von Spam-Mails mit vorgeblichen Vertragstexten schwappt derzeit in die Mailboxen. Schon im Mai und Anfang Juni gab es ähnliche E-Mails mit Malware im Anhang. Die Mails tragen einen Betreff wie „Abbuchungserlaubnis“, „Der Vertrag“ und ähnliche mehr. Der Anhang besteht aus einem 50 KB großen RAR-Archiv namens "Kostenauflistung.rar". Es enthält eine 57 KB große Datei mit dem Namen "Kostenauflistung.exe". Dabei handelt es sich um ein Trojanisches Pferd, das ein Rootkit (Tarnkappe für Malware) installiert und persönliche Daten ausspionieren soll. Die Erkennung durch Antivirusprogramme ist zurzeit noch gerng.
Antivirus | Malware-Name |
---|---|
AntiVir | -/- |
Avast! | -/- |
AVG | SHeur.BTYV (Trojan horse) |
A-Squared | -/- |
Bitdefender | -/- |
CA-AV | -/- |
ClamAV | Trojan.Agent-28851 |
Command | -/- |
Dr Web | -/- |
eSafe | -/- |
Ewido | -/- |
F-Prot | -/- |
F-Secure | Trojan-Spy.Win32.Zbot.cvq |
Fortinet | -/- |
G Data AVK | Trojan-Spy.Win32.Zbot.cvq |
Ikarus | Trojan-Spy.Win32.Zbot.AAs |
Antivirus | Malware-Name |
---|---|
Kaspersky | Trojan-Spy.Win32.Zbot.cvq |
McAfee | -/- (Generic PWS.o trojan)* |
Microsoft | PWS:Win32/Zbot.gen!F |
Nod32 | Win32/TrojanDownloader.Nurech.NCL trojan |
Norman | -/- |
Panda | -/- (Trj/Sinowal.VNW)* |
QuickHeal | -/- |
Rising | -/- |
Sophos | Troj/Agent-HEF |
Spybot S&D | Worldsecurityonline.FakeAlert,,Execut |
Sunbelt | -/- |
Symantec | -/- (Infostealer.Banker.C)* |
Trend Micro | -/- |
VBA32 | -/- |
VirusBuster | -/- |
WebWasher | -/- |
Das früher unter dem Namen Ethereal bekannte Netzwerkanalyseprogramm Wireshark ist in der neuen Version 1.0.1 erhältlich. Damit schließen der Entwickler Gerald Combs und sein Team insgesamt fünf Sicherheitslücken, mit denen Vorversionen durch präparierte Datenpakete zum Absturz gebracht werden könnten (DoS - Denial of Service). Außerdem haben die Entwickler eine lange Liste von Bug-Fixes eingepflegt und die Unterstützung für eine Reihe von Protokollen verbessert. Wireshark ist Open Source Software.
Adobe hat die neue Version 9.0 seines PDF-Readers bereit gestellt. Mit Adobe Reader 9 können Sie neben PDF-Dateien auch Flash-, Shockwave und andere Medienformate betrachten. Ziel von Adobe ist es offenbar ein Abspielprogramm für alle gängigen Medienformate zu schaffen. Mit dem bereits erhältlichen Acrobat 9 können PDF-Dateien mit integrierten Flash-Animationen, Videos und Präsentationen erstellt werden. Außerdem soll Adobe Reader 9 PDF-Dateien deutlich schneller anzeigen als Version 8. Systemvoraussetzungen sind Windows 2000 SP4 oder neuer bzw. Mac OS X 10.4.11 oder neuer.
Die Mozilla-Entwickler haben die neue Version 2.0.0.15 ihres Web-Browsers Firefox bereit gestellt. Auch die Web-Suite Seamonkey, die auf Firefox basiert, ist in einer neuen Version, 1.1.10, erscheinen. In Firefox sind insgesamt 12 Sicherheitslücken geschlossenen worden, davon sind vier als kritisch eingestuft. Bei Seamonkey kommt noch ein bereits in Firefox 2.0.0.14 enthaltenes Update hinzu. In Firefox 3.0 sind die meisten dieser Sicherheitslücken gar nicht erst enthalten.
→Liste von Sicherheits-Updates | →Download-Links | Mozilla Security Center
Eine neue Welle von Malware-Spam der Sturm-Wurm-Bande schwappt derzeit in die Mailboxen. Die E-Mails tragen einen Betreff wie „Somebody loves you“, „I Knew I Loved You“ und dergleichen mehr. Sie enthalten einen Link auf eine von mehr als einem Dutzend verschiedener Domains. Die Website ist immer gleich und wird von Mini-Web-Servern auf gekaperten PCs des Sturm-Botnets serviert. Sie zeigt ein Werbebanner, das jeden Besucher als Nr. 10.000 begrüßt und einen Gewinn verheißt. Der Klick auf das Banner startet den Download einer Datei namens "winner.exe". Darunter bietet ein kurzer Text einen weiteren Link, auf die Datei "mylove.exe". Beide sind stets genau gleich groß (ca. 120 KB), aber nicht unbedingt identisch. Es handelt sich dabei um die Sturm-Malware, die den PC in das Sturm-Botnet einreiht. Die Erkennung durch Antivirus-Software war noch heute Mittag gleich null und ist derzeit immer noch marginal.
Antivirus | Malware-Name |
---|---|
AntiVir | Worm/Zhelatin.Gen |
Avast! | -/- |
AVG | I-Worm/Nuwar.U |
A-Squared | -/- |
Bitdefender | Trojan.Peed.JLV |
CA-AV | -/- |
ClamAV | -/- |
Command | -/- |
Dr Web | Trojan.Packed.555 |
eSafe | File [100] (suspicious) |
Ewido | -/- |
F-Prot | -/- |
F-Secure | Trojan-Downloader.Win32.Cntr.ca |
Fortinet | -/- |
G Data AVK | Trojan-Downloader.Win32.Cntr.ca |
Ikarus | Email-Worm.Win32.Zhelatin.zy |
Antivirus | Malware-Name |
---|---|
Kaspersky | Trojan-Downloader.Win32.Cntr.ca |
McAfee | W32/Nuwar@MM |
Microsoft | Backdoor:Win32/Nuwar.gen!D |
Nod32 | Win32/Nuwar.DC worm |
Norman | -/- |
Panda | -/- |
QuickHeal | -/- |
Rising | -/- |
Sophos | Troj/Dorf-BP |
Spybot S&D | -/- |
Sunbelt | -/- |
Symantec | Trojan.Peacomm.D |
Trend Micro | -/- |
VBA32 | -/- |
VirusBuster | Trojan.Tibs.AMZ |
WebWasher | Worm.Zhelatin.Gen |
Mac Update: Apple schließt 25 Sicherheitslücken in Mac OS X
Apple hat ein neues Sicherheits-Update für Mac OS X sowie die neue Leopard-Version 10.5.4 bereit gestellt. Der Hersteller beseitigt damit auch Schwachstellen in Safari und Webkit.
Malware-Spam: Falsche Microsoft Updates öffnen Hintertür
Vorgeblich von Microsoft stammende Mails enthalten Download-Links, die zu einem Sicherheits-Update führen sollen. Tatsächlich laden sie Malware auf die Rechner der Opfer.
Narrenhände...: Vandalismus auf Myspace
Auf Myspace kämpfen die Nutzer einen scheinbar aussichtslosen Kampf gegen Trolle, Spammer und andere Cyber-Vandalen. Diese fluten Gruppenprofile mit Werbung oder sinnfreien Kommentaren.