SideEffects (Kunst + Kultur + Wissen + Gespräche = Zivilisation) : Rubrik:Malware

"Karadzic ist einer von uns"

anaximander — 2008-07-23T12:17:00Z

schreibt die kroatische Schriftstellerin Slavenka Drakulic. "Menschen besitzen die Fähigkeit, Gutes wie Böses zu tun. Aber sie haben auch immer die Wahl. Radovan Karadzic hatte die Macht gewählt - und die Macht in Kriegszeiten zu haben, dies kann einen hohen Preis kosten, den er nun wird zahlen müssen."

winkey.exe an Pro-Tibet-Gruppen

anaximander — 2008-03-22T15:03:00Z

Pro-tibetische Gruppen im Internet waren in den vergangenen Tagen das Ziel von ungewöhnlich geschickt durchgeführten Angriffen mit einem Trojaner in E-Mail-Attachments. Wie F-Secure berichtet, handelte es sich um ein PDF-Dokument, das eine nicht näher bezeichnete Schwachstelle im Adobe-Reader ausnutzte, um eine Malware namens winkey.exe zu installieren und zu starten. Das Programm ist ein Keylogger, der alle Tastatureingaben auf dem befallenen Computer registriert und an eine zentrale Adresse weiterleitet.
Auffällig ist bei diesem Angriff die Qualität des "Social Engineering": Der gefälschten Absenderadresse zufolge stammt die E-Mail von der Unrepresented Nations and Peoples Organization (UNPO). Das PDF-Dokument enthält eine authentisch wirkende Solidaritätsbekundung. Mit diesen Mitteln versuche jemand, gezielt die Computer von Mitgliedern pro-tibetischer Gruppen zu infizieren, um deren Aktionen auszuspionieren, resümiert F-Secure.
das meldet heise

Olympia Trojaner

anaximander — 2008-03-11T18:26:00Z

Die US-Cert hat eine Warnmeldung herausgebracht, derzufolge ein aktiver Schädling für eine bisher nicht gepatchte Lücke in Microsoft Excel aufgetaucht ist. Durch Dateianhänge im Excel-Format mit einem angeblichen Terminplan für die Olympischen Spiele 2008 soll ein Trojaner auf betroffenen Systemen installiert werden.
Der Trojaner verbreitet sich per E-Mail über manipulierte Excel-Dateien mit dem Namen Olympic.xls oder Schedule.xls.
[ mehr ]

Sturm Wurm verschickt Halloween-Spam

anaximander — 2007-10-31T15:30:00Z

Seit Stunden werden wieder millionenfach Spam-Mails verschickt, die auf eine Halloween-Webseite aufmerksam macht und eine Datei zum Download enthält die den Rechner mit dem Sturm Wurm infizieren kann. Im Subject steht "Happy Halloween", "To much fun", "Party on this Halloween" oder "Dancing Bones"...

Konsequenzen aus dem Bundestrojaner

anaximander — 2007-08-30T09:10:00Z

Alle Welt redet über den Bundestrojaner und diskutiert das Wie und Wo in technischer Hinsicht. Das ist ja alles ganz interessant, aber viel spannender ist doch, dass eine Regierung, welchen Landes auch immer, sich durch den Einsatz eines Bundestrojaners ihre Politik erschwert, ja fast unmöglich macht.
Wie kann man dann ein Land wie z.B. China noch guten Gewissens kritisieren, weil es seine Hacker beauftragt, Trojaner in ausländische Netzwerke zu schleusen? - Man geht ja mit denselben Methoden gegen die eigenen Wähler vor...
Sicher, es ist gewiss, dass der Staat einiges darf, was er seinen Bürgern verbietet, aber mit dem Setzen eines Bundestrojaners überschreitet der Staat die Grenze der Glaubwürdigkeit und tritt über in die Unglaubwürdigkeit. Ein Bundestrojaner von welcher Regierung auch immer, schwächt exakt die ihn einsetzende Regierung.
Und wie kann man noch darauf vertrauen, sich vor Wirtschaftsspionage zu schützen, wenn die Beamtenschaft der jeweiligen Regierung einen Trojaner setzt? - Man ist gezwungen, sich zu sagen, dass einfach ein weiterer möglicher Anbieter von Informationen ins Marktgeschehen eingreift; ein zusätzlicher Marktteilnehmer, dem ein Werkzeug von Staates wegen zur Verfügung steht, das einen schnellen Zugriff auf die gesuchten oder geforderten Daten ermöglicht...

Wurm mit Passwortschutz

anaximander — 2007-04-13T14:07:00Z

Eine neue Version der Nuwar/Zhelatin-Familie greift einen Trick auf, den bereits der Bagle-Wurm eingesetzt hat: Um einer Erkennung durch Viren-Scanner zu entgehen, ist die ausführbare Datei mit dem Schadcode in einem passwortgeschützten ZIP-Archiv versteckt.
Die Wurm-Mail warnt den Anwender vor einem gefährlichen Wurm, gegen den der angehängte Patch schützen soll.
Diese Vorgehensweise zeigt Erfolg: Während nahezu alle Scanner den ausgepackten Schädling erkennen, ist die Erkennungsrate der verschlüsselten ZIP-Datei recht schlecht. Somit kann sich der Wurm zumindest an vielen Viren-Scannern auf Mail-Gateways vorbeimogeln. Ein aktiver Virenwächter auf dem Arbeitsplatzsystem sollte allerdings spätestens beim Öffnen des verschlüsselten Archivs anschlagen. Über den c't-Emailcheck können Sie sich unter anderem auch einen harmlosen, verschlüsselten Testvirus zusenden lassen (EICAR in passwortgeschütztem ZIP-Archiv), mit dem Sie überprüfen können, wie Ihr Virenschutz auf deratige Tricks reagiert.
via

Spam, Spam, Spam

anaximander — 2007-03-22T19:05:00Z

Nein, ich will mich weder an Lotterien noch an Pferdewetten oder ähnlichem beteiligen...
Gestern und heute wurde meine Mailbox mit Spam überflutet, der Spamfilter kam mit Ausfiltern nicht mehr nach; ich habe gerade über 800 Mails gelöscht.
Ein Sorry an all jene, die mir ernsthafte Mails geschickt haben, die in der Folge dem Löschprozess zum Opfer gefallen sind. - Ich hoffe, dass sich das nicht nochmal wiederholt.

Rufmordversuch an K-tipp-Redaktor

anaximander — 2007-02-27T18:35:00Z

Es ist ohnehin eine Frechheit, die Mailboxen der User mit Spam zu überlasten, doch der Versuch, mit Hilfe einer anonymen Massenmail-Attacke Rufmord am (unliebsamen?) Redaktor des K-tipp Ernst Meierhofer zu begehen, schlägt dem Fass den Boden aus.
Obwohl der K-tipp in seiner neuesten Ausgabe von der Attacke berichtet, nimmt die Kampagne kein Ende. Vor einigen Minuten landete noch eine Mail von dem anonymen Absender in meiner Mailbox...

Ungebremste Spamflut

anaximander — 2007-01-02T12:23:00Z

Oliver Jungen weiss zu berichten, dass die Verbraucherzentralen ihr "Projekt Spamkampagne" gegen die Überflutung unserer Mailkonten mit unaufgeforderten Werbemails aus schierer Ohnmacht einstellen.
Gegen Geißeln der Menschheit helfen bekanntlich nur Projekte. So kam im Juli 2005 das Projekt Spamkampagne in die Welt. Das Bundesministerium für Ernährung, Landwirtschaft und Verbraucherschutz sorgte für den Unterhalt, die Verbraucherzentralen im Verein mit anderen Vereinen erarbeiteten eine Website, und man forderte alle unfreiwillig Erniedrigten märtyrerhaft auf: Schickt uns euren Spam! Darauf hatte die Welt nur gewartet: Bis zu sechstausend irrlichternde E-Mails knallten den Projektlern Tag für Tag um die Ohren. Jetzt haben die Kampagneros die Waffen gestreckt. Ertrunken sind sie in der Flut von 2,4 Millionen Spam-Botschaften.

Virtual Keyboard für Online Banking von Trojaner geknackt

anaximander — 2006-09-11T12:53:00Z

Panda Software haben einen Trojaner identifiziert, der darauf spezialisiert ist, mit einer neuen Methode vertrauliche Daten von Bankkunden auszuspionieren. Banbra.DCY, so der Name des Schadprogramms, hat es auf Geldinstitute abgesehen, die zur Eingabe des Passwortes das so genannte Virtual Keyboard verwenden. "Derzeit sind zwar nur brasilianische Geldinstitute betroffen, jedoch ist davon auszugehen, dass diese erfolgreiche Methode auch bald auf Europa überschwappen könnte", erklärt Magarita Mitroussi, Sprecherin der Panda Labs.
Beim virtuellen Keyboard müssen Kunden ihre Passwörter nicht über die Tastatur des Computers eingeben, sondern können über eine grafische Abbildung der Tastatur auf dem Bildschirm auf die jeweiligen Zeichen klicken, um ihre Bankgeschäfte sicher durchzuführen. Sobald der User diesen Vorgang durchführt, fertigt der Trojaner Screenshots vom Bereich der Mausanzeige an und speichert sie in einer Video-Datei im .avi Format ab. Ohne sichtbare Anzeichen für den User versendet Banbra.DCY die Video-Datei im Anschluss daran an seinen Programmierer, der mit den gesammelten Informationen in der Lage ist, jeden Vorgang, für den ansonsten nur der Eigentümer des Kontos berechtigt ist, auszuführen.

...und noch ein Wurm für das Loch

anaximander — 2006-08-24T14:48:00Z

für die Sicherheitslücke im Server-Dienst von Windows. Nachdem bereits ein Trojanisches Pferd namens " Mocbot " diese Schwachstelle ausnutzt, berichtet der Antivirus-Hersteller Symantec über eine neue Variante eines Wurms, der sich über diese Sicherheitslücke ausbreitet.
Der Wurm wird von Symantec als " W32.Randex.GEL " bezeichnet und stellt eine weitere Variante der bereits länger bekannten Randex-Familie dar. Würmer dieses Typs beherrschen eine ganze Reihe von Methoden sich auszubreiten, darunter auch die Ausnutzung bekannter Sicherheitslücken. Bei McAfee wird er als " W32/Sdbot.worm!MS06-040 " geführt.
Der Schädling legt eine Kopie von sich als "javanet.exe" im System-Verzeichnis von Windows ab und trägt diese als neuen Dienst in die Registry ein:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
"MS Java for Windows XP & NT" = "javanet.exe"
und manipuliert einen weiteren Registry-Schlüssel, um bei jedem Start von Windows geladen zu werden:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windlogon
"Shell" = "Explorer.exe javanet.exe"
"Userinit" = "%System%Serinit.exe,javanet.exe"

Falsche ebay-Rechnungen installieren Trojanisches Pferd

anaximander — 2006-07-14T14:13:00Z

Die Mails kommen mit einem Betreff wie "eBay Rechnung vom 29.06.2006" oder "eBay International AG Rechnung vom 13.07.2006". Mit dem Satz "In der beigelegten PDF Datei finden Sie die genaue Auflistung ihrer Rechnung" sollen die Empfänger zum Öffnen der vermeintlichen PDF-Datei verleitet werden. Die Mails enthalten einen Anhang "Ebay-Rechnung.pdf.zip". In diesem ZIP-Archiv steckt eine EXE-Datei mit dem Namen "Ebay-Rechnung.pdf.exe", die nur 7680 Bytes groß ist und ein PDF-Symbol trägt.
Wird diese vermeintliche PDF-Datei per Doppelklick geöffnet, startet das Trojanische Pferd eine Download-Routine, die weitere Malware auf den Rechner schaufelt. Dabei handelt es sich um einen Schädling, der Anmeldedaten für das Online-Banking abfangen und an die Täter melden soll.
Erkennung durch aktuelle Antivirus-Programme

Gattman-Virus zielt auf Virenforscher

anaximander — 2006-07-10T15:22:00Z

Die meisten Viren und Würmer wählen entweder Windows selbst oder allgemein übliche Windows-Programme als Zielscheibe ihrer Angriffe, doch der neu entdeckte Gattman-Virus nimmt ein Analysewerkzeug von Virenforschern aufs Korn. Der Antivirus-Hersteller Sophos berichtet über den so genannten "Gattman-Virus", der sich des Disassemblers IDA Pro bedient.

Warnung vor neuem Fussball Wurm

anaximander — 2006-06-20T13:45:00Z

Die Sicherheitsspezialisten von Avira warnen vor einer neuen Malware, die sich die Fussball-WM zu nutze machen will, um sich weiter zu verbreiten. Mögliche Betreffzeilen sind laut Avira:
Crazy soccer fans
Soccer fans killed five teens
Naked World Cup game set
Als Absenderadressen kommen unter anderem hotnews@cnn.com und todaynews@cnn.com in Frage.
Der Text der Mails ist englischsprachig und lautet laut Avira:
"Crazy soccer fans killed two teens, watch what they make on photos. Please report on this all who know." und "Soccer fans killed five teens, watch what they make on photos. Please report on this all who know."

Schädliche Excel-Dateien neigen zur PC-Kontrolle

anaximander — 2006-06-16T13:21:00Z

In einem Microsoft-Weblog berichten Mitarbeiter des Software-Konzerns über einen gefährlichen Schadcode, der als Excel-Datei daherkommt. Zwar habe man nur von einem Vorfall gehört, in dem die neu gefundene Lücke schon ausgenutzt worden sei, aber über möglichen Schaden lässt sich MS nicht aus.
Der Security-Anbieter Secunia legte jedoch kurz danach eine eigene Analyse vor: Über das Leck lasse sich beliebiger Code ausführen, berichten die Sicherheits-Experten. Da ist es kein Wunder, dass Microsoft entgegen seiner gewohnten Gepflogenheiten schnell eine Warnung ins Netz stellt - viele Unternehmen haben lebenswichtige Kalkulationen unter der Tabellenkalkulation laufen. Vielleicht aus Angst hat man jedoch die Vorabveröffentlichung wieder aus dem Technet-Blog genommen.

Insider empfehlen, Excel-Dateien nicht über das Microsoft-Programm, sondern Applikationen von Drittanbietern (etwa OpenOffice) zu öffnen, dann könne das Leck von Excel nicht genutzt werden.
Zumindest so lange, bis auch dieses Loch gestopft wird.