Dienstag, 28. Dezember 2010
Panda TV #56, WikiLeaks-Sympathisanten greifen an, Hacker twittern Weihnachtsgrüße
28.12.2010 21:59 Uhr
Freitag, 3. Dezember 2010
Betreiber des Mega-D Botnetzes verhaftet
Heute sind Interessante Details zu dem Mega-D Botnet aufgetaucht.
Das FBI hat den russischen Staatsbürger Oleg Nikolaenko als Betreiber des Botnetzes Identifizeren und einem Haftbefehl des US-Bezirksgericht auch gleich Festnehmen können. M86 Security Labs hat das Botnetz Anfang 2008 bemerkte und den Spam Verlauf überwacht.Das Botnet bekam seinen Namen durch die Zahlreiche Versendung von "Megadik" Spam-Kampagnen. Mega-D hat seitdem seine Höhen und Tiefen und verschiedene Forscher und Strafverfolgungsbehörden hatten ein immer größer werdendes Interesse an dem Botnet.
Das FBI fand Nikolaenko durch eine Federal Trade Commission Untersuchung im Jahre 2008 die mit dem Affiliate-Programm GenBucks in Verbindung steht.
Zwischen dem 6.Juni und 14.Dezember 2007 wurde eine Zahlungen in Höhe von rund $465.000 auf ein ePassporte Konto von Nikolaenko registriert welches für die Dienstleistungen von Spam eingerichtet wurde.
In den vergangenen Monaten sind die Aktivitäten des Mega-D Botnetzes deutlich zurückgegangen und seine Command & Control-Server zeigten keine Aktivitäten mehr.Einer der gründe dafür dürfte wohl das große Interesse der Behörden und Analytiker gewesen sein. Für M86 Security ist dieses ein großer Erfolg da es heute zu Tage nicht mehr ausreicht das Botnet selber abzuschalten sondern die Herder selber gefasst werden müssen um die Steigende Bedrohung in Schacht halten zu können.
M86 Security Labs Timeline
Feb-2008: Spam from botnet “Mega-D” constituted 32% of spam, malware identified and control servers disabled
Feb-2008: Mega-D recovers and resumes spamming
October-2008: FTC initiates action against AffKing affiliate program
November-2008: McColo takedown halted operations on Mega-D and other spamming botnets
December-2008: Mega-D resumes spamming
November-2009: Mega-D operations disrupted by FireEye
February-2010: Mega-D resumes spamming…again
December-2010: FBI identifies Mega-D’s operator
Quellen:
http://labs.m86security.com
http://krebsonsecurity.com
03.12.2010 11:41 Uhr
Das FBI hat den russischen Staatsbürger Oleg Nikolaenko als Betreiber des Botnetzes Identifizeren und einem Haftbefehl des US-Bezirksgericht auch gleich Festnehmen können. M86 Security Labs hat das Botnetz Anfang 2008 bemerkte und den Spam Verlauf überwacht.Das Botnet bekam seinen Namen durch die Zahlreiche Versendung von "Megadik" Spam-Kampagnen. Mega-D hat seitdem seine Höhen und Tiefen und verschiedene Forscher und Strafverfolgungsbehörden hatten ein immer größer werdendes Interesse an dem Botnet.
Das FBI fand Nikolaenko durch eine Federal Trade Commission Untersuchung im Jahre 2008 die mit dem Affiliate-Programm GenBucks in Verbindung steht.
Zwischen dem 6.Juni und 14.Dezember 2007 wurde eine Zahlungen in Höhe von rund $465.000 auf ein ePassporte Konto von Nikolaenko registriert welches für die Dienstleistungen von Spam eingerichtet wurde.
In den vergangenen Monaten sind die Aktivitäten des Mega-D Botnetzes deutlich zurückgegangen und seine Command & Control-Server zeigten keine Aktivitäten mehr.Einer der gründe dafür dürfte wohl das große Interesse der Behörden und Analytiker gewesen sein. Für M86 Security ist dieses ein großer Erfolg da es heute zu Tage nicht mehr ausreicht das Botnet selber abzuschalten sondern die Herder selber gefasst werden müssen um die Steigende Bedrohung in Schacht halten zu können.
M86 Security Labs Timeline
Feb-2008: Spam from botnet “Mega-D” constituted 32% of spam, malware identified and control servers disabled
Feb-2008: Mega-D recovers and resumes spamming
October-2008: FTC initiates action against AffKing affiliate program
November-2008: McColo takedown halted operations on Mega-D and other spamming botnets
December-2008: Mega-D resumes spamming
November-2009: Mega-D operations disrupted by FireEye
February-2010: Mega-D resumes spamming…again
December-2010: FBI identifies Mega-D’s operator
Quellen:
http://labs.m86security.com
http://krebsonsecurity.com
03.12.2010 11:41 Uhr
Donnerstag, 25. November 2010
Früher gab es noch Pistolen,Heute gibt es Botnetze
Immer wieder sorgen Botnetze für viel Aufsehen. Diese Netzwerke aus Zombie-Computern werden von ihren Herdern als Geldquelle errichtetet. Recherchen des Virenschutz Anbieters Symantec ergaben, dass die Betreiber dieser Netzwerke Millionen von US-Dollar verdienen.
Die Botnetze werden von Cybercriminellen errichtet und an interessierte Internet-Betrüger zwischen 9 und bis zu 65 US-Dollar pro Stunde vermietet. Das Experten-Team von MessageLabs Intelligence, der Analyseabteilung von Symantec Hosted Services hat nun ermittelt womit die Mieter dieser Botnetze ihre Gewinne erzielen.
Eine der wohl grösten Einnahmequellen ist der Spam-Versand.Selbst wenn nur ein bedeutungsloser Bruchteil der nervenden Werbebotschaften zum Erfolg führt, ist dieses ein Erfolg für ihre Urheber. Die Betreiber fragwürdiger Onlineapotheken können dank Spam-Mails einen Jahresumsatz von bis zu 3,5 Millionen US-Dollar erzielen.
Die 3 anderen kriminellen Erwerbszweige, welche mittels Botnetze Internet-Nutzer attackieren könnte man als die digitale Varianten von Bankraub, Diebstahl und Schutzgelderpressung bezeichnen. Via Botnetz verbreitete Malware kann für den Internet-Betrügern mehr Einnahmen bedeuten als jeder reale Bankraub mit Pistole.
2010 konnte das FBI eine Gruppe von Cyberkriminellen festnehmen, welche mit Hilfe des Zeus Trojaners rund 70 Millionen US-Dollar von fremden Bankkonten ergaunert hatten. Zeus ist auch als Kneber, Zbot, PRG, wsnpoem oder Gorhax bekannt.
Mit der Androhung Webseiten mit so genannten DDoS Attacken lahmzulegen versuchen Internet-Kriminelle Schutzgeld von ihren Opfern zu erpressen. Verweigert der Betreiber der Webseite die Zahlung werden dessen Server solange von gemieteten Botnetzen mit Unmengen an Daten bombardiert bis diese den Dienst verweigert.
Eine weitere Art der digitalen Kriminalität hat sich darauf spezialisiert auf illegalen Netzwerken Nutzerkonten bekannter Onlinespiele wie World of Warcraft zu knacken. Auf diesen Plattformen können sich Spieler digitale Gegenstände erspielen, welche ihnen einen Vorteil in ihrem Spiel verschaffen. Jeh seltener und schwieriger die zu erspielenden Gegenstände sind umso wertvoller sind diese dann auch.
Internet-Betrüger übertragen derartige Items von den gehackten Konten auf eigens dafür angelegte Konten um diese von dort aus zu verkaufen. Es wird berichtet, dass eine asiatische Bande auf diese Weise 140.000 US-Dollar ergaunert habe.
25.11.2010 15:17 uhr
Die Botnetze werden von Cybercriminellen errichtet und an interessierte Internet-Betrüger zwischen 9 und bis zu 65 US-Dollar pro Stunde vermietet. Das Experten-Team von MessageLabs Intelligence, der Analyseabteilung von Symantec Hosted Services hat nun ermittelt womit die Mieter dieser Botnetze ihre Gewinne erzielen.
Eine der wohl grösten Einnahmequellen ist der Spam-Versand.Selbst wenn nur ein bedeutungsloser Bruchteil der nervenden Werbebotschaften zum Erfolg führt, ist dieses ein Erfolg für ihre Urheber. Die Betreiber fragwürdiger Onlineapotheken können dank Spam-Mails einen Jahresumsatz von bis zu 3,5 Millionen US-Dollar erzielen.
Die 3 anderen kriminellen Erwerbszweige, welche mittels Botnetze Internet-Nutzer attackieren könnte man als die digitale Varianten von Bankraub, Diebstahl und Schutzgelderpressung bezeichnen. Via Botnetz verbreitete Malware kann für den Internet-Betrügern mehr Einnahmen bedeuten als jeder reale Bankraub mit Pistole.
2010 konnte das FBI eine Gruppe von Cyberkriminellen festnehmen, welche mit Hilfe des Zeus Trojaners rund 70 Millionen US-Dollar von fremden Bankkonten ergaunert hatten. Zeus ist auch als Kneber, Zbot, PRG, wsnpoem oder Gorhax bekannt.
Mit der Androhung Webseiten mit so genannten DDoS Attacken lahmzulegen versuchen Internet-Kriminelle Schutzgeld von ihren Opfern zu erpressen. Verweigert der Betreiber der Webseite die Zahlung werden dessen Server solange von gemieteten Botnetzen mit Unmengen an Daten bombardiert bis diese den Dienst verweigert.
Eine weitere Art der digitalen Kriminalität hat sich darauf spezialisiert auf illegalen Netzwerken Nutzerkonten bekannter Onlinespiele wie World of Warcraft zu knacken. Auf diesen Plattformen können sich Spieler digitale Gegenstände erspielen, welche ihnen einen Vorteil in ihrem Spiel verschaffen. Jeh seltener und schwieriger die zu erspielenden Gegenstände sind umso wertvoller sind diese dann auch.
Internet-Betrüger übertragen derartige Items von den gehackten Konten auf eigens dafür angelegte Konten um diese von dort aus zu verkaufen. Es wird berichtet, dass eine asiatische Bande auf diese Weise 140.000 US-Dollar ergaunert habe.
25.11.2010 15:17 uhr
Montag, 22. November 2010
Banking Trojans
Banbra (Dadobra, Nabload)
* Static process
* Process injected into other process
* Encrypted / packed file
Bancos
* Static process
* Process injected into other process
* Encrypted / packed file
Bankdiv (Banker.BWB)
* Static process
* Process injected into other process
* Encrypted / packed file
* Modification of Operating System files
* Substitution of Operating System files
Bankolimb (NetHell, Limbo)
* Static process
* Process injected into other process
* Encrypted / packed file
Banpatch
* Static process
* Process injected into other process
* Encrypted / packed file
* Modification of Operating System files
Briz
* Static process
* Process injected into other process
* Encrypted / packed file
Cimuz (Bzud, Metafisher, Abwiz, Agent DQ)
* Static process
* Process injected into other process
* Encrypted / packed file
Dumador (Dumarin, Dumaru)
* Static process
* Process injected into other process
* Encrypted / packed file
Goldun (Haxdoor, Nuclear grabber)
* Static process
* Process injected into other process
* Process hidden by rootkit
* Encrypted / packed file
* File hidden by rootkit
Nuklus (Apophis)
* Static process
* Process injected into other process
* Encrypted / packed file
PowerGrabber
* Static process
* Process injected into other process
* Encrypted / packed file
SilentBanker
* Static process
* Process injected into other process
* Encrypted / packed file
Sinowal (Wsnpoem, Anserin)
* Polymorphic process
* Process injected into other process
* Process hidden by rootkit
* Polymorphic file
* Encrypted / packed file
* File hidden by rootkit
Snatch (Gozi)
* Static process
* Process injected into other process
* Encrypted / packed file
Spyforms
* Static process
* Process injected into other process
* Encrypted / packed file
Torpig (Xorpix, Mebroot)
* Static process
* Polymorphic process
* Process injected into other process
* Process hidden by rootkit
* Encrypted / packed file
* File hidden by rootkit
* MBR rootkit
Goldun, Haxdoor, Nuclear Grabber
It usually drops a DLL and a SYS file with rootkit functionality.
It creates a registry entry in order to load the DLL:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
Cimuz, Bzud, Metafisher, Abwiz, Agent DQ
It usually drops a DLL as a Browser Helper Object (BHO) with these names:
%SystemRoot%\appwiz.dll
%SystemRoot%\ipv6mmo??.dll
We have seen also other names for these files.
Bankolimb, Nethell, Limbo
It usually drops a DLL as a Browser Helper Object (BHO) and an encrypted XML which acts as a configuration file for the Trojan.
Some variants create the following registry entry:
HKEY_LOCAL_MACHINE\Software\Helper
Others create the following one:
HKEY_LOCAL_MACHINE\Software\MRSoft
Briz, VisualBreez
Programmed in Visual Basic, it creates the following files:
%SystemRoot%\ieschedule.exe
%SystemRoot%\dsrss.exe
%SystemRoot%\ieserver.exe
%SystemRoot%\websvr.exe
%SystemRoot%\ieredir.exe
%SystemRoot%\smss.exe
%SystemRoot%\ib?.dll
Folders:
%SystemRoot%\drv32dta
%WindowsRoot%\websvr
Registry entry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\InitRegKey
And usually modifies the hosts file.
Nuklus, Apophis
It usually downloads the following files:
%SystemRoot%\IEGrabber.dll
%SystemRoot%\CertGrabber.dll
%SystemRoot%\FFGrabber.dll
%SystemRoot%\IECookieKiller.dll
%SystemRoot%\IEFaker.dll
%SystemRoot%\IEMod.dll
%SystemRoot%\IEScrGrabber.dll
%SystemRoot%\IETanGrabber.dll
%SystemRoot%\NetLocker.dll
%SystemRoot%\ProxyMod.dll
%SystemRoot%\PSGrabber.dll
BankDiv, Banker.BWB
Creates the following files:
%SystemRoot%\xvid.dll
%SystemRoot%\xvid.ini
%SystemRoot%\divx.ini
%System%\drivers\ip.sys
Snatch, Gozi
It usually installs a driver with rootkit functionalities:
%WindowsRoot%\driver new_drv.sys
Spyforms
Creates the following registry entries:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“ttool” = %WindowsRoot%\svcs.exe
HKEY_CURRENT_USER\Software\Microsoft\InetData
BankPatch
It modifies the following system files:
wininet.dll
kernel32.dll
And creates the files:
%SystemRoot%\ldshfr.old
%SystemRoot%\mentid.dmp
%SystemRoot%\nwkr.ini
%SystemRoot%\nwwnt.ini
Usually targets banks from the Netherlands.
Silentbanker
Drops file in %SystemRoot% with random names, for example:
%SystemRoot%\appmgmt14.dll
%SystemRoot%\dbgen47.dll
%SystemRoot%\drmsto34.dll
%SystemRoot%\faultre66.dll
%SystemRoot%\kbddiv55.dll
%SystemRoot%\kbddiv79.dll
%SystemRoot%\msisi83.dll
%SystemRoot%\msvcp793.dll
%SystemRoot%\msvcr25.dll
%SystemRoot%\nweven2.dll
%SystemRoot%\pngfil51.dll
%SystemRoot%\pschdpr89.dll
%SystemRoot%\versio40.dll
%SystemRoot%\wifema85.dll
%SystemRoot%\winstr21.dll
%SystemRoot%\wzcsv64.dll
Creates a registry entry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Drivers32 “midi1”
Banbra, Dadobra, Nabload, Banload
Programmed in Delphi, usually packed using Yoda Protector or Telock.
They are usually big (more than 1MB in size), but the Trojan Downloaders which installs it are smaller.
It usually sends out the stolen information via e-mail or ftp to a remote server.
It contains Portuguese strings and usually targets banks from Brazil and Portugal.
Bancos
Programmed in Visual Basic.
Similar to the Banbra family but in VBasic, they are usually big (more than 1MB).
It usually sends out the stolen information via e-mail or ftp to a remote server.
It contains Portuguese strings and usually targets banks from Brazil and Portugal.
Dumador, Dumarin, Dumaru
Programmed in Delphi, usually packed using FSG.
It creates the following files:
%SystemRoot%\winldra.exe
%WindowsRoot%\netdx.dat
%WindowsRoot%\dvpd.dll
%Temp%\fe43e701.htm
It also creates the following registry entries:
HKEY_CURRENT_USER\Software\SARS
Some variants also modify the hosts file.
Sinowal, Wspoem, Anserin, AudioVideo
It creates the following files:
%SystemRoot%\ntos.exe. (usually loaded by svchost.exe to avoid being listed as an active processes).
It creates the folder %SystemRoot%\wsnpoem, where it saves the files audio.dll and video.dll.
They are not really DLL files. In one of these files the Trojan saves an encrypted list of targeted banks. In the other file it saves the stolen data.
It also modifies the the following registry entry in order to run every boot:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Old value = "%SystemRoot%\userinit.exe"
Modified = "%SystemRoot%\userinit.exe", "%SystemRoot%\ntos.exe"
It downloads the file cfg.bin that usually contains the encrypted text strings for the banks.
Torpig, Xorpig, Mebroot
It creates the following files:
%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.exe
%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.dll
%WindowsRoot%\Temp\$_2341234.TMP
%WindowsRoot%\Temp\$_2341233.TMP
The "?" is normally replaced by a digit (ex. ibm00001.exe).
And the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“Shell” = "%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.exe"
It usually creates a service in order to load the file ibm0000?.dll through svchost.exe.
Recent variants of Torpig, Xorpig and Mebroot:
The latest trend is that it modifies the computer's Master Boot Record (MBR) to run rootkit code and which is used to hide the Trojan. Sometime later it forces a computer reboot and creates the following files:
%WindowsRoot%\temp\fa56d7ec.$$$
%WindowsRoot%\temp\bca4e2da.$$$
22.11.2010 15:26 Uhr
* Static process
* Process injected into other process
* Encrypted / packed file
Bancos
* Static process
* Process injected into other process
* Encrypted / packed file
Bankdiv (Banker.BWB)
* Static process
* Process injected into other process
* Encrypted / packed file
* Modification of Operating System files
* Substitution of Operating System files
Bankolimb (NetHell, Limbo)
* Static process
* Process injected into other process
* Encrypted / packed file
Banpatch
* Static process
* Process injected into other process
* Encrypted / packed file
* Modification of Operating System files
Briz
* Static process
* Process injected into other process
* Encrypted / packed file
Cimuz (Bzud, Metafisher, Abwiz, Agent DQ)
* Static process
* Process injected into other process
* Encrypted / packed file
Dumador (Dumarin, Dumaru)
* Static process
* Process injected into other process
* Encrypted / packed file
Goldun (Haxdoor, Nuclear grabber)
* Static process
* Process injected into other process
* Process hidden by rootkit
* Encrypted / packed file
* File hidden by rootkit
Nuklus (Apophis)
* Static process
* Process injected into other process
* Encrypted / packed file
PowerGrabber
* Static process
* Process injected into other process
* Encrypted / packed file
SilentBanker
* Static process
* Process injected into other process
* Encrypted / packed file
Sinowal (Wsnpoem, Anserin)
* Polymorphic process
* Process injected into other process
* Process hidden by rootkit
* Polymorphic file
* Encrypted / packed file
* File hidden by rootkit
Snatch (Gozi)
* Static process
* Process injected into other process
* Encrypted / packed file
Spyforms
* Static process
* Process injected into other process
* Encrypted / packed file
Torpig (Xorpix, Mebroot)
* Static process
* Polymorphic process
* Process injected into other process
* Process hidden by rootkit
* Encrypted / packed file
* File hidden by rootkit
* MBR rootkit
Goldun, Haxdoor, Nuclear Grabber
It usually drops a DLL and a SYS file with rootkit functionality.
It creates a registry entry in order to load the DLL:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
Cimuz, Bzud, Metafisher, Abwiz, Agent DQ
It usually drops a DLL as a Browser Helper Object (BHO) with these names:
%SystemRoot%\appwiz.dll
%SystemRoot%\ipv6mmo??.dll
We have seen also other names for these files.
Bankolimb, Nethell, Limbo
It usually drops a DLL as a Browser Helper Object (BHO) and an encrypted XML which acts as a configuration file for the Trojan.
Some variants create the following registry entry:
HKEY_LOCAL_MACHINE\Software\Helper
Others create the following one:
HKEY_LOCAL_MACHINE\Software\MRSoft
Briz, VisualBreez
Programmed in Visual Basic, it creates the following files:
%SystemRoot%\ieschedule.exe
%SystemRoot%\dsrss.exe
%SystemRoot%\ieserver.exe
%SystemRoot%\websvr.exe
%SystemRoot%\ieredir.exe
%SystemRoot%\smss.exe
%SystemRoot%\ib?.dll
Folders:
%SystemRoot%\drv32dta
%WindowsRoot%\websvr
Registry entry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\InitRegKey
And usually modifies the hosts file.
Nuklus, Apophis
It usually downloads the following files:
%SystemRoot%\IEGrabber.dll
%SystemRoot%\CertGrabber.dll
%SystemRoot%\FFGrabber.dll
%SystemRoot%\IECookieKiller.dll
%SystemRoot%\IEFaker.dll
%SystemRoot%\IEMod.dll
%SystemRoot%\IEScrGrabber.dll
%SystemRoot%\IETanGrabber.dll
%SystemRoot%\NetLocker.dll
%SystemRoot%\ProxyMod.dll
%SystemRoot%\PSGrabber.dll
BankDiv, Banker.BWB
Creates the following files:
%SystemRoot%\xvid.dll
%SystemRoot%\xvid.ini
%SystemRoot%\divx.ini
%System%\drivers\ip.sys
Snatch, Gozi
It usually installs a driver with rootkit functionalities:
%WindowsRoot%\driver new_drv.sys
Spyforms
Creates the following registry entries:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“ttool” = %WindowsRoot%\svcs.exe
HKEY_CURRENT_USER\Software\Microsoft\InetData
BankPatch
It modifies the following system files:
wininet.dll
kernel32.dll
And creates the files:
%SystemRoot%\ldshfr.old
%SystemRoot%\mentid.dmp
%SystemRoot%\nwkr.ini
%SystemRoot%\nwwnt.ini
Usually targets banks from the Netherlands.
Silentbanker
Drops file in %SystemRoot% with random names, for example:
%SystemRoot%\appmgmt14.dll
%SystemRoot%\dbgen47.dll
%SystemRoot%\drmsto34.dll
%SystemRoot%\faultre66.dll
%SystemRoot%\kbddiv55.dll
%SystemRoot%\kbddiv79.dll
%SystemRoot%\msisi83.dll
%SystemRoot%\msvcp793.dll
%SystemRoot%\msvcr25.dll
%SystemRoot%\nweven2.dll
%SystemRoot%\pngfil51.dll
%SystemRoot%\pschdpr89.dll
%SystemRoot%\versio40.dll
%SystemRoot%\wifema85.dll
%SystemRoot%\winstr21.dll
%SystemRoot%\wzcsv64.dll
Creates a registry entry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Drivers32 “midi1”
Banbra, Dadobra, Nabload, Banload
Programmed in Delphi, usually packed using Yoda Protector or Telock.
They are usually big (more than 1MB in size), but the Trojan Downloaders which installs it are smaller.
It usually sends out the stolen information via e-mail or ftp to a remote server.
It contains Portuguese strings and usually targets banks from Brazil and Portugal.
Bancos
Programmed in Visual Basic.
Similar to the Banbra family but in VBasic, they are usually big (more than 1MB).
It usually sends out the stolen information via e-mail or ftp to a remote server.
It contains Portuguese strings and usually targets banks from Brazil and Portugal.
Dumador, Dumarin, Dumaru
Programmed in Delphi, usually packed using FSG.
It creates the following files:
%SystemRoot%\winldra.exe
%WindowsRoot%\netdx.dat
%WindowsRoot%\dvpd.dll
%Temp%\fe43e701.htm
It also creates the following registry entries:
HKEY_CURRENT_USER\Software\SARS
Some variants also modify the hosts file.
Sinowal, Wspoem, Anserin, AudioVideo
It creates the following files:
%SystemRoot%\ntos.exe. (usually loaded by svchost.exe to avoid being listed as an active processes).
It creates the folder %SystemRoot%\wsnpoem, where it saves the files audio.dll and video.dll.
They are not really DLL files. In one of these files the Trojan saves an encrypted list of targeted banks. In the other file it saves the stolen data.
It also modifies the the following registry entry in order to run every boot:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Old value = "%SystemRoot%\userinit.exe"
Modified = "%SystemRoot%\userinit.exe", "%SystemRoot%\ntos.exe"
It downloads the file cfg.bin that usually contains the encrypted text strings for the banks.
Torpig, Xorpig, Mebroot
It creates the following files:
%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.exe
%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.dll
%WindowsRoot%\Temp\$_2341234.TMP
%WindowsRoot%\Temp\$_2341233.TMP
The "?" is normally replaced by a digit (ex. ibm00001.exe).
And the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“Shell” = "%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.exe"
It usually creates a service in order to load the file ibm0000?.dll through svchost.exe.
Recent variants of Torpig, Xorpig and Mebroot:
The latest trend is that it modifies the computer's Master Boot Record (MBR) to run rootkit code and which is used to hide the Trojan. Sometime later it forces a computer reboot and creates the following files:
%WindowsRoot%\temp\fa56d7ec.$$$
%WindowsRoot%\temp\bca4e2da.$$$
22.11.2010 15:26 Uhr
Freitag, 19. November 2010
Montag, 15. November 2010
Koobface-Server abgeschaltet
Ein britischer Internetprovider hat den Command-and-Control-Server des Social-Networking-Botnetzes Koobface vom Netz genommen, nachdem die Sicherheitsexperten der SecDev Group britische Ermittlungsbehörden über den Server informiert hatten. Die Abschaltung des Servers wird das Botnetz nur vorübergehend behindern, aus dem Spiel sind die Hintermänner von Koobface damit aber noch lange nicht und es ist nur eine Frage der Zeit, bis die Dronen auf einen neuen C&C umgeleitet werden.
Koobface (ein Anagramm von Facebook) ist dafür bekannt sich über soziale Netzwerke zu verbreiten.Dort verschickt er Links auf Webseiten, die den Computer mit Schadsoftware infizierensollen.
Worm:Win32/Koobface.gen!F
Net-Worm.Win32.Koobface.a, which attacks MySpace
Net-Worm.Win32.Koobface.b, which attacks Facebook
WORM_KOOBFACE.DC, which attacks Twitter
W32/Koobfa-Gen, which attacks Facebook, MySpace, hi5, Bebo, Friendster, myYearbook, Tagged, Netlog, Badoo and fubar
W32.Koobface.D
>>>allBots Inc.<<<
Geld verdienen die Botnetz-Betreiber, indem sie die übernommenen PCs Klicks auf Online-Anzeigen oder Downloads von Scareware ausführen lassen. Obwohl jeder Klick nur einen minimalen Schaden verursacht, verdienen die Botnet Herder rund 2 Millionen US-Dollar pro Jahr.
Die Botnet Herder von Koobface versuchen, sich bewusst von den "bösen Trojanern" wie Zeus und Spy eye zu distanzieren: "Unsere Software hat niemals Kreditkarteniformationen, Bankzugangsdaten, Passwörter oder ähnliche vertrauliche Daten gestohlen. Und wird das auch nie tun" versicherten sie. Später sammelten sie dann aber doch mit hilfe des LdPinch Trojaners Passwörter für E-Mail-, Facebook- und IM-Accounts ein.
Das Geschäftsmodell von Koobface mit unzähligen winzigen Transaktionen schützt die Hintermänner vor allzu zielstrebiger Verfolgung.
Die Polizei und Staatsanwaltschaften tun sich jedoch recht schwer, konkrete Straftaten oder Schadensfälle auszumachen um den erforderlichen Ermittlungsaufwand für eine gezielte Verfolgung der Hintermänner zu rechtfertigen. Zudem läuft das Geschäft über Ländergrenzen hinweg, was zeitraubende und Amtshilfeersuchen erforderlich macht. "Daher ist es nicht überraschend, dass es im Fall von Koobface keine Strafverfolgung oder Festnahme gab".
Der Schlag gegen Koobface läuft bereits seit zwei Wochen auf mehreren Ebenen: Das SecDev-Team unter Nart Villeneuve informierte ISPs über kompromittierte FTP-Accounts und benannte gegenüber Facebook und Google insgesamt mehrere hunderttausend Accounts, die von Koobface betrieben werden. Das Ende des Botnetzes wird das aber nicht sein. "Solange die Hintermänner frei herumlaufen, wird Koobface weiter arbeiten".
Quellen:
Wikipedia Koobface
heisec.de
Koobface Inside a Crimeware Network (PDF)
The Real Face of Koobface (PDF)
15.11.2010 10:30 Uhr
Koobface (ein Anagramm von Facebook) ist dafür bekannt sich über soziale Netzwerke zu verbreiten.Dort verschickt er Links auf Webseiten, die den Computer mit Schadsoftware infizierensollen.
Worm:Win32/Koobface.gen!F
Net-Worm.Win32.Koobface.a, which attacks MySpace
Net-Worm.Win32.Koobface.b, which attacks Facebook
WORM_KOOBFACE.DC, which attacks Twitter
W32/Koobfa-Gen, which attacks Facebook, MySpace, hi5, Bebo, Friendster, myYearbook, Tagged, Netlog, Badoo and fubar
W32.Koobface.D
>>>allBots Inc.<<<
Geld verdienen die Botnetz-Betreiber, indem sie die übernommenen PCs Klicks auf Online-Anzeigen oder Downloads von Scareware ausführen lassen. Obwohl jeder Klick nur einen minimalen Schaden verursacht, verdienen die Botnet Herder rund 2 Millionen US-Dollar pro Jahr.
Die Botnet Herder von Koobface versuchen, sich bewusst von den "bösen Trojanern" wie Zeus und Spy eye zu distanzieren: "Unsere Software hat niemals Kreditkarteniformationen, Bankzugangsdaten, Passwörter oder ähnliche vertrauliche Daten gestohlen. Und wird das auch nie tun" versicherten sie. Später sammelten sie dann aber doch mit hilfe des LdPinch Trojaners Passwörter für E-Mail-, Facebook- und IM-Accounts ein.
Das Geschäftsmodell von Koobface mit unzähligen winzigen Transaktionen schützt die Hintermänner vor allzu zielstrebiger Verfolgung.
Die Polizei und Staatsanwaltschaften tun sich jedoch recht schwer, konkrete Straftaten oder Schadensfälle auszumachen um den erforderlichen Ermittlungsaufwand für eine gezielte Verfolgung der Hintermänner zu rechtfertigen. Zudem läuft das Geschäft über Ländergrenzen hinweg, was zeitraubende und Amtshilfeersuchen erforderlich macht. "Daher ist es nicht überraschend, dass es im Fall von Koobface keine Strafverfolgung oder Festnahme gab".
Der Schlag gegen Koobface läuft bereits seit zwei Wochen auf mehreren Ebenen: Das SecDev-Team unter Nart Villeneuve informierte ISPs über kompromittierte FTP-Accounts und benannte gegenüber Facebook und Google insgesamt mehrere hunderttausend Accounts, die von Koobface betrieben werden. Das Ende des Botnetzes wird das aber nicht sein. "Solange die Hintermänner frei herumlaufen, wird Koobface weiter arbeiten".
Quellen:
Wikipedia Koobface
heisec.de
Koobface Inside a Crimeware Network (PDF)
The Real Face of Koobface (PDF)
15.11.2010 10:30 Uhr
Donnerstag, 11. November 2010
Dienstag, 9. November 2010
Analyse-Software für Domain-Flux Botnetze
Viele Botnets wie Conficker,Kraken,Srizbi oder Sinowal verwenden nach einem bestimmten Algorithmus generierte Domains, um den Kontakt zwischen den Command-and-Control-Servern und den infizierten "Dronen" aufrecht zu erhalten. Ein neu entwickeltes "Frühwarn-System" (PDF) soll nun genau solche Domains erkennen und Admins dadurch auf Infektionen in ihrem Netzwerk aufmerksam machen.
Durch den Domain-Generation-Algorithmus (DGA) sollen Sicherheitsforscher daran gehindert werden, die Kommunikation zwischen dem C&C und seinen Dronen zu stören. Um dies zu schaffen, müssten Sicherheitsforscher den Algorithmus eines Bots herausbekommen und anschließend alle von diesem Algorithmus generierten Domains sperren oder selbst aufkaufen. Den Online-Kriminellen dagegen würde im Prinzip eine funktionsfähige Domain für die Kommunikation reichen.
Allerdings weisen die generierten Domains charakteristische Merkmale dafür auf, dass sie nicht von einem menschlichen Benutzer ausgewählt wurden. Dies macht sich die neu entwickelte Analyse-Software zunutze. Sie analysiert mit Hilfe statistischer Verfahren den DNS-Datenverkehr im Netzwerk auf den Kontakt mit generierten Domains und will daraufhin eine Infektionen schnell entdecken können so das der Datenverkehr anschließend unterbunden und das betroffene System von der Malware gereinigt werden kann.
Quelle: http://gulli.com
09.11.2010 09:28 Uhr
Durch den Domain-Generation-Algorithmus (DGA) sollen Sicherheitsforscher daran gehindert werden, die Kommunikation zwischen dem C&C und seinen Dronen zu stören. Um dies zu schaffen, müssten Sicherheitsforscher den Algorithmus eines Bots herausbekommen und anschließend alle von diesem Algorithmus generierten Domains sperren oder selbst aufkaufen. Den Online-Kriminellen dagegen würde im Prinzip eine funktionsfähige Domain für die Kommunikation reichen.
Allerdings weisen die generierten Domains charakteristische Merkmale dafür auf, dass sie nicht von einem menschlichen Benutzer ausgewählt wurden. Dies macht sich die neu entwickelte Analyse-Software zunutze. Sie analysiert mit Hilfe statistischer Verfahren den DNS-Datenverkehr im Netzwerk auf den Kontakt mit generierten Domains und will daraufhin eine Infektionen schnell entdecken können so das der Datenverkehr anschließend unterbunden und das betroffene System von der Malware gereinigt werden kann.
Quelle: http://gulli.com
09.11.2010 09:28 Uhr
Dienstag, 2. November 2010
Die Zahl des Monats November
Der wachsenden Marktanteil von Apple hat die Aufmerksamkeit der Cybercrime auf sich gezogen. Die Sicherheitslabore von Panda Security zählen insgesamt über 5.000 Schädlinge, die Mac-Systeme angreifen und schätzen die Neuerscheinungen auf 500 Samples pro Monat mit steigender Tendenz.
Quelle: http://pandanews.de
02.11.2010 14:47 Uhr
Mittwoch, 27. Oktober 2010
Zeus Entwickler gibt den Code an Spy Eye weiter
Seit Jahresanfang sorgt der Malwarebaukasten Zeus für Aufsehen und konkurrierte lange mit SpyEye.
Slavik hat nun den gesamten Code von seinem Meisterwerk Zeus an den SpyEye-Entwickler Harderman übertragen. Er hat sich nun vollständig aus der Entwicklung zurückgezogen. In Verbindung mit der Übergabe soll Harderman nun den Support für Zeus leisten.
Der Grund für den Rückzug des Entwicklers ist derzeit unbekannt aber er soll sich komplett aus dem Netz zurückgezogen haben. Es ist allerdings möglich, dass es Slavik zu heiss wurde da Ermittler auf ihn aufmerksam wurden und Zeus verstärkt für Aufmerksamkeit sorgte. Zeus ist beim Onlinebanking für eine zunehmende Zahl der finanziellen Schäden von betroffenen Bankkunden verantwortlich.Es ist nicht bekannt, ob Harderman Zeus weiter Entwickelt oder ihn mit in die Entwicklung von SpyEye aufnimmt.Der SpyEye wurde bisher immer als Zeus-Killer verkauft, der dazu in Lage ist Zeus auf infizierten Rechnern zu löschen.
Einen Erfolg konnten niederländische Ermittlungsbehörden gegen das Botnet Bredolab melden indem 143 Command & Control-Sever deaktiviert wurden. Rund 30 Millionen Rechner sollen mit dem Bredolab-Trojaner infiziert sein. Die Ermittler wollen das Botnetz bestehen lassen um so betroffene Anwender per Mail darüber zu informieren, wie Sie ihren Rechner von dem Trojaner befreien können und wie stark er infiziert worden ist.
Quelle: SpyEye v. ZeuS Rivalry Ends in Quiet Merger
27.10.2010 11:46 Uhr
Slavik hat nun den gesamten Code von seinem Meisterwerk Zeus an den SpyEye-Entwickler Harderman übertragen. Er hat sich nun vollständig aus der Entwicklung zurückgezogen. In Verbindung mit der Übergabe soll Harderman nun den Support für Zeus leisten.
Der Grund für den Rückzug des Entwicklers ist derzeit unbekannt aber er soll sich komplett aus dem Netz zurückgezogen haben. Es ist allerdings möglich, dass es Slavik zu heiss wurde da Ermittler auf ihn aufmerksam wurden und Zeus verstärkt für Aufmerksamkeit sorgte. Zeus ist beim Onlinebanking für eine zunehmende Zahl der finanziellen Schäden von betroffenen Bankkunden verantwortlich.Es ist nicht bekannt, ob Harderman Zeus weiter Entwickelt oder ihn mit in die Entwicklung von SpyEye aufnimmt.Der SpyEye wurde bisher immer als Zeus-Killer verkauft, der dazu in Lage ist Zeus auf infizierten Rechnern zu löschen.
Einen Erfolg konnten niederländische Ermittlungsbehörden gegen das Botnet Bredolab melden indem 143 Command & Control-Sever deaktiviert wurden. Rund 30 Millionen Rechner sollen mit dem Bredolab-Trojaner infiziert sein. Die Ermittler wollen das Botnetz bestehen lassen um so betroffene Anwender per Mail darüber zu informieren, wie Sie ihren Rechner von dem Trojaner befreien können und wie stark er infiziert worden ist.
Quelle: SpyEye v. ZeuS Rivalry Ends in Quiet Merger
27.10.2010 11:46 Uhr
Freitag, 22. Oktober 2010
PandaTV #52 - Panda Antivirus for Mac, GateDefender Performa 4.0, Wall Street Journal
22.010.2010 16:56 Uhr
Sonntag, 17. Oktober 2010
Spam Volumes Drop After Spamit Shakeup
In den letzten Wochen gab es einen deutlichen Rückgang in der Spam-Welt.Eine wichtige Ursache des Rückgangs war ein plötzlicher Herunterfahren der Server von Spamit.com
Spamit.com ist eine Untergrundgruppe die mit Hilfe von Botnetzen für ein enorm großes Spam aufkommen verantwortlich ist.Des weiteren ist SpamIt.com eine Tochtergesellschaft von >>GlavMed<< , die wiederum ist verantwortlich für eine der größten und ältesten Affiliate-Programme für "Canadian Pharmacy".Ende September hatte die Domain SpamIt.com eine Meldung für eine bevorstehenden Abschaltung ihrer Server am 10. Oktober Ankündigt.
Seit 7 Tagen ist auf der Indexseite von SpamIt.com folgenden Nachricht zu lesen die übersetzt lautet: "10.10.10 Der König ist tot! Lang lebe der König!"
Insbesondere Rustock hat eine lange Geschichte in Zusammenhang mit dem Canadian Pharmacy hinter sich. In der Tat ist er für einen Großteil gesammten Spam aufkommen´s verantwortlich und nutzte seinen Spam-Output überwiegend überwiegend für Canadian Pharmacy Spam. Das Rustock-Botnetz selbst ist nicht verschwunden, seine Kontrolle Server sind immer noch Online und M86Security konnte in ihren Labor ein geringes Spam Volumen beobachtet.
Also was es ein anderes Botnets? Es gibt einige Vorschläge, das Rustock Spam oft mit dem Pushdo verwechselt wurde. Nicht so. M86Security beobachtet diese Bots intensiv in ihrem Labor und kennt ihre Eigenschaften, Gewohnheiten und Verhaltensweisen gut. Die folgende Tabelle zeigt Pushdo Spam über den gleichen Zeitraum.
In der obigen Tabelle kann man den großen Sprung sehen nachdem einige Pushdo Server im August abgeschaltet wurden. Aber Pushdo erhöht den Spam unweigerlich nach dem neue Control-Server hinzugefügt wurden. Es ist ein weiterer großer Sprung am 3. Oktober zu beobachteten. Zu diesem Zeitpunkt ist sich M86Security unsicher, ob dieser Rückgang mit der Schließung von SpamIt.com in Verbindung steht.
Letztes Wochenende gab es auch bei dem Grum Botnet einen deutlichen Rückgang des Spam volumens. Hier ist eine Tabelle aus der gleichen Zeit, die einen Rückgang der Spam-Ausgabe nach dem 8. Oktober zeigt, sehr nah an dem 10. Oktober der "offiziellen" Schließung von SpamIt.com.
Also, was hat das alles zu bedeuten? Es scheint so dass die Schließung von SpamIt.com einen großen Einfluss auf das Volumen und den Spam-Ausgang einiger Botnetz-Betreiber hat und die eine ihrer wichtigsten Affiliate-Programme verloren haben. Oder mit anderen Worten, eine der wichtigsten Quellen von Bargeld. Wie lange dieses an dauern wird ist eine völlig andere Frage.
Es kann durchaus sein, dass SpamIt.com und Canadian Pharmacy untergetaucht sind und nach einer kurzen Pause in einem anderen Design auftauchen. Dieses wird die Zeit zeigen.
Quelle: http://labs.m86security.com
17.10.2010 12:05 Uhr
Spamit.com ist eine Untergrundgruppe die mit Hilfe von Botnetzen für ein enorm großes Spam aufkommen verantwortlich ist.Des weiteren ist SpamIt.com eine Tochtergesellschaft von >>GlavMed<< , die wiederum ist verantwortlich für eine der größten und ältesten Affiliate-Programme für "Canadian Pharmacy".Ende September hatte die Domain SpamIt.com eine Meldung für eine bevorstehenden Abschaltung ihrer Server am 10. Oktober Ankündigt.
Seit 7 Tagen ist auf der Indexseite von SpamIt.com folgenden Nachricht zu lesen die übersetzt lautet: "10.10.10 Der König ist tot! Lang lebe der König!"
Insbesondere Rustock hat eine lange Geschichte in Zusammenhang mit dem Canadian Pharmacy hinter sich. In der Tat ist er für einen Großteil gesammten Spam aufkommen´s verantwortlich und nutzte seinen Spam-Output überwiegend überwiegend für Canadian Pharmacy Spam. Das Rustock-Botnetz selbst ist nicht verschwunden, seine Kontrolle Server sind immer noch Online und M86Security konnte in ihren Labor ein geringes Spam Volumen beobachtet.
Also was es ein anderes Botnets? Es gibt einige Vorschläge, das Rustock Spam oft mit dem Pushdo verwechselt wurde. Nicht so. M86Security beobachtet diese Bots intensiv in ihrem Labor und kennt ihre Eigenschaften, Gewohnheiten und Verhaltensweisen gut. Die folgende Tabelle zeigt Pushdo Spam über den gleichen Zeitraum.
In der obigen Tabelle kann man den großen Sprung sehen nachdem einige Pushdo Server im August abgeschaltet wurden. Aber Pushdo erhöht den Spam unweigerlich nach dem neue Control-Server hinzugefügt wurden. Es ist ein weiterer großer Sprung am 3. Oktober zu beobachteten. Zu diesem Zeitpunkt ist sich M86Security unsicher, ob dieser Rückgang mit der Schließung von SpamIt.com in Verbindung steht.
Letztes Wochenende gab es auch bei dem Grum Botnet einen deutlichen Rückgang des Spam volumens. Hier ist eine Tabelle aus der gleichen Zeit, die einen Rückgang der Spam-Ausgabe nach dem 8. Oktober zeigt, sehr nah an dem 10. Oktober der "offiziellen" Schließung von SpamIt.com.
Also, was hat das alles zu bedeuten? Es scheint so dass die Schließung von SpamIt.com einen großen Einfluss auf das Volumen und den Spam-Ausgang einiger Botnetz-Betreiber hat und die eine ihrer wichtigsten Affiliate-Programme verloren haben. Oder mit anderen Worten, eine der wichtigsten Quellen von Bargeld. Wie lange dieses an dauern wird ist eine völlig andere Frage.
Es kann durchaus sein, dass SpamIt.com und Canadian Pharmacy untergetaucht sind und nach einer kurzen Pause in einem anderen Design auftauchen. Dieses wird die Zeit zeigen.
Quelle: http://labs.m86security.com
17.10.2010 12:05 Uhr
Freitag, 15. Oktober 2010
Donnerstag, 14. Oktober 2010
HACKER – Porträt einer Gegenkultur
Der Hacker – einst „Robin Hood“ der Datennetze, heute ein einsamer Nerd, Krimineller oder gar „Datenterrorist“? Jedes Jahr verbreiten sich Unmengen neuer Viren und Würmer, die für immense Schäden sorgen. Oft werden Hacker damit in Verbindung gebracht. Doch der Hacker ist ein ambivalentes Wesen. Einerseits für sein Spezialwissen gefürchtet und verfolgt, verdient die IT-Sicherheitsindustrie Milliarden mit Hackern und der durch ihre Existenz erzeugten Internetgefahr. Zugleich werden fähige Hacker von der Industrie angeworben, um Sicherheits-Software, Anti-Viren-Programme und Firewalls zu entwickeln, die das Internet vor Viren, Würmern und gefährlichen Hackeraktivitäten schützen sollen. Eine paradoxe Situation. Was ist der Hacker also heute – mehr „Datenterrorist“, mehr „Robin Hood“ oder einfach nur Angestellter mit Urlaubsanspruch und Rentenversicherung?
In seinem Debütfilm trifft Alexander Biedermann fünf Hacker verschiedener Generationen und hinterfragt ihr Sein, ihren Antrieb. Porträtiert werden Hacker der Gegenwart, die mittels Viren und Würmern immer wieder die Grenzen der Computersysteme neu definieren und sich Anerkennung verschaffen wollen. Ihnen gegenüber stehen Hacker der alten Generation. Es kommen diejenigen zu Wort, die mit dem legendären NASA-Hack in den 80ern in Verbindung gebracht wurden. Damals galten auch sie als neue unberechenbare Gefahr, als Kriminelle. Alle fünf verbinden ihre Erfahrungen mit einem Gefühl von Macht: Dass sie mit wenigen Programmzeilen großen Einfluss auf Funktionen der Informationsgesellschaft nehmen können. Dabei erklären sich die Hacker als Schützer und Bewahrer. Doch die Grauzone zwischen Legalität und Illegalität sowie eigenen Zielen und gesellschaftlichen Notwendigkeiten werden zum Prüfstein ihrer Biografien.
So deckt der Film überraschende Parallelen zwischen den Generationen auf, denn sie alle werden vom realen Leben eingeholt. HACKER ist ein Porträt, das sich auf die menschlichen Spuren im Datennetz begibt und die persönlichen Geschichten dahinter erahnen lässt.
Trailer
Quelle: http://www.hacker-film.de
14.10.2010 21:59 Uhr
In seinem Debütfilm trifft Alexander Biedermann fünf Hacker verschiedener Generationen und hinterfragt ihr Sein, ihren Antrieb. Porträtiert werden Hacker der Gegenwart, die mittels Viren und Würmern immer wieder die Grenzen der Computersysteme neu definieren und sich Anerkennung verschaffen wollen. Ihnen gegenüber stehen Hacker der alten Generation. Es kommen diejenigen zu Wort, die mit dem legendären NASA-Hack in den 80ern in Verbindung gebracht wurden. Damals galten auch sie als neue unberechenbare Gefahr, als Kriminelle. Alle fünf verbinden ihre Erfahrungen mit einem Gefühl von Macht: Dass sie mit wenigen Programmzeilen großen Einfluss auf Funktionen der Informationsgesellschaft nehmen können. Dabei erklären sich die Hacker als Schützer und Bewahrer. Doch die Grauzone zwischen Legalität und Illegalität sowie eigenen Zielen und gesellschaftlichen Notwendigkeiten werden zum Prüfstein ihrer Biografien.
So deckt der Film überraschende Parallelen zwischen den Generationen auf, denn sie alle werden vom realen Leben eingeholt. HACKER ist ein Porträt, das sich auf die menschlichen Spuren im Datennetz begibt und die persönlichen Geschichten dahinter erahnen lässt.
Trailer
Quelle: http://www.hacker-film.de
14.10.2010 21:59 Uhr
Microsoft´s Security Intelligence Report
Microsoft veröffentlichte ihren dies jährigen Security Intelligence Report für das erste Halbjahr 2010. Bei der Zahl der von Microsoft beobachteten Infektionen mit Malware lag Deutschland im europäischen Vergleich nur an vierter Stelle – dicht gefolgt von Spanien, Frankreich und Großbritannien.
Im ersten Halbjahr 2010 waren fast 1,9 Millionen Pcs teil eines Botnetzes – und das nur aus Sicht des Softwarekonzerns, der mit dem Malicious Software Removal Tool, Microsoft Security Essentials und anderen hauseigenen Sicherheitsprodukten zu diesen Zahlen kam.Basis für diese Daten dienen weltweit mehr als 450 Millionen Computer sowie Analysen von Milliarden von Websites und E-Mails, die über Microsofts Hotmail versendet werden.
Bei der Infektionen mit Bots steht Deutschland in Europa an vierter Stelle: Im zweiten Quartal 2010 registrierte Microsoft 156.000 Bot-Infektionen, dieses entspricht einer Infektionsrate von 1,4 Promille. Weltweit führend waren die USA mit 2,2 Millionen infizierter Rechner, die höchste Infektionsrate wies aber Südkorea mit 14,6 Promille auf.
Der am häufigsten beobachtete Bot in Deutschland war Alureon mit 30 Prozent, der zudem Rootkit-Funktionen beinhaltet.Weiter auf dem Vormarsch ist ZeuS alias ZBot. zeuSist kein Bot einer einzelnen Gruppe Krimineller, sondern ein Baukastenssystem, mit dem sich Bot-Herder ihren Schädling zusammenklicken können. Zudem spielt ZBot auch beim Plündern von Bankkonten und dem Austricksen von TAN-Verfahren eine große Rolle.
Angesichts der wachsenden Bedrohung durch Botnetze hatte Microsofts Vizepräsident Scott Charney, auf der Sicherheitskonferenz ISSE 2010 vergangene Woche in Berlin den vorgeschlag infizierte PCs vom Internet zu isolieren. Als Vorbild hatte er dabei das öffentliche Gesundheitssystem angeführt, in dem infizierte Personen in Quarantäne kommen um keine weiteren Personen anzustecken.
Quelle: Heise.de
14.10.2010 12:14 Uhr
Im ersten Halbjahr 2010 waren fast 1,9 Millionen Pcs teil eines Botnetzes – und das nur aus Sicht des Softwarekonzerns, der mit dem Malicious Software Removal Tool, Microsoft Security Essentials und anderen hauseigenen Sicherheitsprodukten zu diesen Zahlen kam.Basis für diese Daten dienen weltweit mehr als 450 Millionen Computer sowie Analysen von Milliarden von Websites und E-Mails, die über Microsofts Hotmail versendet werden.
Bei der Infektionen mit Bots steht Deutschland in Europa an vierter Stelle: Im zweiten Quartal 2010 registrierte Microsoft 156.000 Bot-Infektionen, dieses entspricht einer Infektionsrate von 1,4 Promille. Weltweit führend waren die USA mit 2,2 Millionen infizierter Rechner, die höchste Infektionsrate wies aber Südkorea mit 14,6 Promille auf.
Der am häufigsten beobachtete Bot in Deutschland war Alureon mit 30 Prozent, der zudem Rootkit-Funktionen beinhaltet.Weiter auf dem Vormarsch ist ZeuS alias ZBot. zeuSist kein Bot einer einzelnen Gruppe Krimineller, sondern ein Baukastenssystem, mit dem sich Bot-Herder ihren Schädling zusammenklicken können. Zudem spielt ZBot auch beim Plündern von Bankkonten und dem Austricksen von TAN-Verfahren eine große Rolle.
Angesichts der wachsenden Bedrohung durch Botnetze hatte Microsofts Vizepräsident Scott Charney, auf der Sicherheitskonferenz ISSE 2010 vergangene Woche in Berlin den vorgeschlag infizierte PCs vom Internet zu isolieren. Als Vorbild hatte er dabei das öffentliche Gesundheitssystem angeführt, in dem infizierte Personen in Quarantäne kommen um keine weiteren Personen anzustecken.
Quelle: Heise.de
14.10.2010 12:14 Uhr
Freitag, 8. Oktober 2010
Sonntag, 3. Oktober 2010
Black Hole Exploits Kit
Die Cybercrime ist weiterhin durch die Entwicklung und Umsetzung neuer vorkompilierte Exploit-Kits zu kriminellen Manövern über das Internet im stätigen wandel.In diesem Fall ist es das Black Hole Exploits Kits welches in Russland entwickelt wurde und auch in englische-Sprache verfügbar ist.Die erste Version (Beta im Moment) ist in einschlägigen Undergroundfroen erhältlich.
Black Holes Exploits Kit statistik-Module
Dieses Modul bietet einen schnellen Überblick über die wichtigsten Informationen für einen Botherder: Anzahl der Computer, die Teil des Netzwerks und den jeweiligen Ländern, Exploits mit höheren Erfolgsraten und andere wichtige Informationen.
Anders als viele andere Crimewarekits dieses Stils, verwendet Black Hole Exploits Kit ein Lizenzsystem.Der Kauf dieses Kits für 1 Jahr (derzeit die maximale Zeit) liegt $1500, während ein halb-jährlichen und vierteljährlichen Lizenz zwischen $1000 und $700 kostet.
Statistik der Operating Systems
Die Tendenz zeigt eine leichte aber schrittweise Erhöhung der Betriebssysteme die nicht zur Familie von Microsoft gehören. Dazu gehören *NIX-basierte Plattformen wie GNU/Linux und Mac OS. Andere wie Sibirien Exploit Pack und Eleonore Exploits Kit umfasst Plattformen für High-End-Mobilgeräte und Spielkonsolen.
Statistik der Exploits
Mit diesem Modul werden die statistischen Daten über die Fähigkeiten der Erfolg einer Infektion angezeigt.
Black Hole Exploits Kit enthält ein TDS (Traffic Direction Script), mit dem die Unabhängigkeit von einer anderen Web-Anwendung das einen willkürlich manipulierten Web-Datenverkehr ermöglicht und wahrscheinlich wird diese Funktion die Aufmerksamkeit der Verbrecher auf sich ziehen.
Das Kit hat ein Selbst-defensive Modul welches den Zugang zu bestimmten Webseiten von Sicherheitsfirmen nach URL oder IP-Adressbereiche sperren kann.
Black Hole Exploits Kit wurdeseit seinem Start im Underground nicht mehr Aktiv in-the-Wild gesichtet was vielleicht auf die anfänglichen Kosten zurückzuführen ist.Allerdings sollte Sicherheitsexperten ein besonderes Augenmerk auf das Exploit Kit legen da die Nachfrage in der Cybercrime mit der nächsten Version steigen kann.
Quelle: http://malwareint.blogspot.com
03.10.2010 10:17 Uhr
Black Holes Exploits Kit statistik-Module
Dieses Modul bietet einen schnellen Überblick über die wichtigsten Informationen für einen Botherder: Anzahl der Computer, die Teil des Netzwerks und den jeweiligen Ländern, Exploits mit höheren Erfolgsraten und andere wichtige Informationen.
Anders als viele andere Crimewarekits dieses Stils, verwendet Black Hole Exploits Kit ein Lizenzsystem.Der Kauf dieses Kits für 1 Jahr (derzeit die maximale Zeit) liegt $1500, während ein halb-jährlichen und vierteljährlichen Lizenz zwischen $1000 und $700 kostet.
Statistik der Operating Systems
Die Tendenz zeigt eine leichte aber schrittweise Erhöhung der Betriebssysteme die nicht zur Familie von Microsoft gehören. Dazu gehören *NIX-basierte Plattformen wie GNU/Linux und Mac OS. Andere wie Sibirien Exploit Pack und Eleonore Exploits Kit umfasst Plattformen für High-End-Mobilgeräte und Spielkonsolen.
Statistik der Exploits
Mit diesem Modul werden die statistischen Daten über die Fähigkeiten der Erfolg einer Infektion angezeigt.
Black Hole Exploits Kit enthält ein TDS (Traffic Direction Script), mit dem die Unabhängigkeit von einer anderen Web-Anwendung das einen willkürlich manipulierten Web-Datenverkehr ermöglicht und wahrscheinlich wird diese Funktion die Aufmerksamkeit der Verbrecher auf sich ziehen.
Das Kit hat ein Selbst-defensive Modul welches den Zugang zu bestimmten Webseiten von Sicherheitsfirmen nach URL oder IP-Adressbereiche sperren kann.
Black Hole Exploits Kit wurdeseit seinem Start im Underground nicht mehr Aktiv in-the-Wild gesichtet was vielleicht auf die anfänglichen Kosten zurückzuführen ist.Allerdings sollte Sicherheitsexperten ein besonderes Augenmerk auf das Exploit Kit legen da die Nachfrage in der Cybercrime mit der nächsten Version steigen kann.
Quelle: http://malwareint.blogspot.com
03.10.2010 10:17 Uhr
Samstag, 2. Oktober 2010
Freitag, 10. September 2010
Wiedersehen macht Freude
Wiedersehen macht Freude dachten sich die Betreiber des Pushdo Botnetzes und haben ihr Netzwerk wider in Gang gebracht und bauen es weiter aus.Gestern kam eine neue Welle falscher Facebook-Nachrichten mit rund 5000 Spam-Mails die 30 Minuten lang über einige Cutwail-Zombies versendet wurden.
Die E-mails enthielt einen angeblichen Facebook-Link der in Wahrheit aber auf eine kanadische Pharmacy-Site {BLOCKED}icy.com führt die in China gehostet wurde und mittlerweile offline ist.
Quelle: http://labs.m86security.com
Quelle: http://blog.trendmicro.de
10.09.2010 21:54 Uhr
Die E-mails enthielt einen angeblichen Facebook-Link der in Wahrheit aber auf eine kanadische Pharmacy-Site {BLOCKED}icy.com führt die in China gehostet wurde und mittlerweile offline ist.
Quelle: http://labs.m86security.com
Quelle: http://blog.trendmicro.de
10.09.2010 21:54 Uhr
Mittwoch, 8. September 2010
Kriminelle Aktivitäten des BKCNET “SIA” IZZI / ATECH-SAGADE - Part Eins
BKCNET "SIA" IZZI, auch bekannt als ATECH-SAGADE ist ein AS6851 (Autonomes System), welches derzeit eines der aktivsten Crimewarenetzwerke im Underground darstellt und durch das täglich eine große Menge von Schadsoftware verteilt wird.Abgesehen davon ist das BKCNET die Kontrollbasis für zahlreiche Command & Control Server.
Ihren Sitz hat das BKCNET in Lettland und wie bereits erwähnt, "Der ASN dient als Server für kriminelle Aktivitäten.Hier finden sich bekannte Exploit Kits und Botnetze wider wie YES Exploit System, das Waledac-Botnet welches der Nachfolger des bekannten Storm Worm,so wie der Banktrojaner Zeus und das Koobface Botnet.
Criminal activities from BKCNET “SIA” IZZI / ATECH-SAGADE - Part one
http://www.malwareint.com/docs.html
Die meisten Malware Angriffe gehen vom (BKCNET "SIA" IZZI) aus,welches auch Affiliate-Systeme unterstützt um den Gewinn und die Infektionen erhöht.
Den folgenden Beweis zeigen die Roten Linien im Diagramm welche die Aktivitäten der Command & Control Server der Botnetze widerspiegeln.
08.09.2010 19:15 Uhr
Ihren Sitz hat das BKCNET in Lettland und wie bereits erwähnt, "Der ASN dient als Server für kriminelle Aktivitäten.Hier finden sich bekannte Exploit Kits und Botnetze wider wie YES Exploit System, das Waledac-Botnet welches der Nachfolger des bekannten Storm Worm,so wie der Banktrojaner Zeus und das Koobface Botnet.
Criminal activities from BKCNET “SIA” IZZI / ATECH-SAGADE - Part one
http://www.malwareint.com/docs.html
Die meisten Malware Angriffe gehen vom (BKCNET "SIA" IZZI) aus,welches auch Affiliate-Systeme unterstützt um den Gewinn und die Infektionen erhöht.
Den folgenden Beweis zeigen die Roten Linien im Diagramm welche die Aktivitäten der Command & Control Server der Botnetze widerspiegeln.
08.09.2010 19:15 Uhr
Mittwoch, 1. September 2010
Mariposa: Die slowenische Geschichte
Vor einigen Wochen wurde bekannt, dass die slowenische Polizei einige Personen verhaftete die verantwortlich für den Verkauf des Mariposa Botnet waren, darunter sollte auch Iserdo der Programmierer des Bots sein. Seither herrscht viel Verwirrung um das Thema Mariposa, aber dank der Hilfe von Peter Lovšin kann etwas Ordnung in dieses Durcheinander gebracht werden.
Nach den Verhaftungen in Slowenien, gab die Polizei eine Pressekonferenz, wo sie einige Informationen bekannt gaben. Es gab sieben Hausdurchsuchungen, in dem 75 Computerteile beschlagnahmt wurden, darunter (Computer, Festplatten, etc). Sie bestätigten, das ein 23 und 24 Jähriger 48 Stunden in Polizeigewahrsam genommen wurden. Einer der Verhafteten soll der Autor (Iserdo) des Butterfly Bots sein.
Es werden zwei Kapitalverbrechen untersucht.
* Erstellung eines Programms um Computer-Kriminalitäten zu ermöglichen.
* Geldwäsche.
Die Medien haben herausgefunden das es sich bei dem 23-jährige um Iserdo handle. Im wirklichen Leben ist sein Name Matjaz Skorjanc aus Maribor Slowenien. Er ist Medizin Student, sein Vater besitzt eine kleine Firma in der Nähe von Maribor, die sich auf die Entwicklung und den Vertrieb von elektronischen Geräten speazialisiert hat. Dabei stellt sich heraus, dass sein Alias Iserdo rückwärts buchstabiert Odresi heißt, was soviel wie "Einlösen" einlösen auf slowenisch bedeutet.
Bei der 24-jährigen Person soll es sich um ein Mädchen mit dem Namen Nusa Coh mit dem Spitzname ist L0La handeln, welches ebenfalls aus Maribor kommt.Es scheint dass ein Teil des Geldes dass Iserdo durch den Verkauf des Bots macht wurde an Nusa Coh zahlt. Sie erhielten Western Union Überweisungen von einer Person mit dem Pseudonym Netkairo der Besitzer des Mariposa Botnet ist.
Während der Untersuchung kam heraus das der 24 Jährige Dejan Janzekovic zu Unrecht als Iserdo beschuldigt und verhaftet wurde. Er stammt ebenfalls aus Maribor und arbeitet als Systemadministrator bei dem slowenischen Telekommunikationsunternehmen Amis. Die Ermittler brachten ihn mit der Geschichte In Verbindung weil er in der High-School (2. Gymnasium Maribor) in die gleichen Klasse wie Nusa CoH (L0La) ging.
Die Website des Butterfly Bots wurde mittlerweile vom Netz genommen.
Nicht alle Nachrichten sind gut. Soweit bekannt ist sind Netkairo und Ostiator, die Jungs hinter Mariposa auf freiem Fuß. Dies ist ein Kommentar von Netkairo in seinem Facebook Profil nachdem die Verhaftungen stattgefunden haben.
Ich hoffe noch weitere Nachrichten in naher Zukunft bekannt gegeben zu können.
Quelle: http://pandalabs.pandasecurity.com
01.09.2010 21:47 Uhr
Nach den Verhaftungen in Slowenien, gab die Polizei eine Pressekonferenz, wo sie einige Informationen bekannt gaben. Es gab sieben Hausdurchsuchungen, in dem 75 Computerteile beschlagnahmt wurden, darunter (Computer, Festplatten, etc). Sie bestätigten, das ein 23 und 24 Jähriger 48 Stunden in Polizeigewahrsam genommen wurden. Einer der Verhafteten soll der Autor (Iserdo) des Butterfly Bots sein.
Es werden zwei Kapitalverbrechen untersucht.
* Erstellung eines Programms um Computer-Kriminalitäten zu ermöglichen.
* Geldwäsche.
Die Medien haben herausgefunden das es sich bei dem 23-jährige um Iserdo handle. Im wirklichen Leben ist sein Name Matjaz Skorjanc aus Maribor Slowenien. Er ist Medizin Student, sein Vater besitzt eine kleine Firma in der Nähe von Maribor, die sich auf die Entwicklung und den Vertrieb von elektronischen Geräten speazialisiert hat. Dabei stellt sich heraus, dass sein Alias Iserdo rückwärts buchstabiert Odresi heißt, was soviel wie "Einlösen" einlösen auf slowenisch bedeutet.
Bei der 24-jährigen Person soll es sich um ein Mädchen mit dem Namen Nusa Coh mit dem Spitzname ist L0La handeln, welches ebenfalls aus Maribor kommt.Es scheint dass ein Teil des Geldes dass Iserdo durch den Verkauf des Bots macht wurde an Nusa Coh zahlt. Sie erhielten Western Union Überweisungen von einer Person mit dem Pseudonym Netkairo der Besitzer des Mariposa Botnet ist.
Während der Untersuchung kam heraus das der 24 Jährige Dejan Janzekovic zu Unrecht als Iserdo beschuldigt und verhaftet wurde. Er stammt ebenfalls aus Maribor und arbeitet als Systemadministrator bei dem slowenischen Telekommunikationsunternehmen Amis. Die Ermittler brachten ihn mit der Geschichte In Verbindung weil er in der High-School (2. Gymnasium Maribor) in die gleichen Klasse wie Nusa CoH (L0La) ging.
Die Website des Butterfly Bots wurde mittlerweile vom Netz genommen.
Nicht alle Nachrichten sind gut. Soweit bekannt ist sind Netkairo und Ostiator, die Jungs hinter Mariposa auf freiem Fuß. Dies ist ein Kommentar von Netkairo in seinem Facebook Profil nachdem die Verhaftungen stattgefunden haben.
Ich hoffe noch weitere Nachrichten in naher Zukunft bekannt gegeben zu können.
Quelle: http://pandalabs.pandasecurity.com
01.09.2010 21:47 Uhr
Montag, 30. August 2010
30 Pushdo Server abgeschaltet
M86Security kündigt in ihrem Blog eine abnahme des Spams von Pushdo (Cutwail) an.
Also, was ist der Grund für diesen plötzlichen Rückgang? Es stellt sich heraus, dass 30 der C&C Server abgeschaltet wurden wie man bei TLLOD erfahren kann.
Trotzdem ist dieses mit Vorsicht zu genießen. Frühere Erfahrungen haben gezeigt, dass die Abschaltung der C&C Server nur von kurzer Dauer sein können. Es ist höchst wahrscheinlich, dass neue Server in die Infrastruktur des Botnetzes eingebaut werden. In der Zwischenzeit können wir uns ein paar Tage über weniger Spam freuen.
30.08.2010 18:35 Uhr
Also, was ist der Grund für diesen plötzlichen Rückgang? Es stellt sich heraus, dass 30 der C&C Server abgeschaltet wurden wie man bei TLLOD erfahren kann.
Trotzdem ist dieses mit Vorsicht zu genießen. Frühere Erfahrungen haben gezeigt, dass die Abschaltung der C&C Server nur von kurzer Dauer sein können. Es ist höchst wahrscheinlich, dass neue Server in die Infrastruktur des Botnetzes eingebaut werden. In der Zwischenzeit können wir uns ein paar Tage über weniger Spam freuen.
30.08.2010 18:35 Uhr
Freitag, 27. August 2010
Donnerstag, 26. August 2010
Botnetz Rustock verliert an Reichweite
Nach angaben von MessageLabs Intelligence hat das Botnetzwerk Rustock nur noch 1,3 Millionen ferngesteuerte Dronen während es im April noch 2,5 Millionen waren. Rustock ist für 41 Prozent aller verschickten Spam-Mails verantwortlich, während der Anteil vor vier Monaten noch auf 32 Prozent betrug.
Rustock kontrolliert zwar weniger Bots als vorher,konnte aber dennoch die Anzahl der verschickten Spammails pro Bot und Minute fast verdoppeln.Im Resultat ist die Zahl der Spam-E-Mails, die Rustock pro Tag verschickt, um sechs Prozent gestiegen meint Paul Wood, der MessageLabs Intelligence Senior Analyst bei Symantec Hosted Service.
Grund dafür warum Rustock seinen Spam-Versand verstärken konnte, ist weil das Botnetz keine TLS-Verschlüsselung mehr nutzt wodurch die e-Mail-Verbindungen beschleunigt werden konnten. Im März hatten noch 30 Prozent der Spam-Mails eine TLS-Verschlüsselung aufgewiesen. Wobei sich bei Rustock der Anteil verschlüsselter Mails auf beeindruckende 70 Prozent belief.
TLS bremst den Versand von E-Mail-Verbindungen aus, weil das Verschlüsselung der Mails zusätzliche Rechnerkapazitäten in Beschlag nimmt. Dies könnte einer der Gründe sein warum die Hintermänner von Rustock zu der Überzeugung gekommen sind, dass ein Rückgriff auf diese Technik ihre Fähigkeit zur massenweisen Verbreitung von Werbe-Mails einschränkt.
Die TLS-Verschlüsselung hat aber nun an Bedeutung verloren weshalb nur noch 0,5 Prozent der gesamten Spam-Mails verschlüsselt sind. Die Zahl seiner verschickten Spam-Mails konnte Rustock von 96 auf 192 Mails pro Bot und Minute verzweifachen.
Quelle: http://www.virenschutz.info
Quelle: http://www.m86security.com
26.08.2010 12:45 Uhr
Rustock kontrolliert zwar weniger Bots als vorher,konnte aber dennoch die Anzahl der verschickten Spammails pro Bot und Minute fast verdoppeln.Im Resultat ist die Zahl der Spam-E-Mails, die Rustock pro Tag verschickt, um sechs Prozent gestiegen meint Paul Wood, der MessageLabs Intelligence Senior Analyst bei Symantec Hosted Service.
Grund dafür warum Rustock seinen Spam-Versand verstärken konnte, ist weil das Botnetz keine TLS-Verschlüsselung mehr nutzt wodurch die e-Mail-Verbindungen beschleunigt werden konnten. Im März hatten noch 30 Prozent der Spam-Mails eine TLS-Verschlüsselung aufgewiesen. Wobei sich bei Rustock der Anteil verschlüsselter Mails auf beeindruckende 70 Prozent belief.
TLS bremst den Versand von E-Mail-Verbindungen aus, weil das Verschlüsselung der Mails zusätzliche Rechnerkapazitäten in Beschlag nimmt. Dies könnte einer der Gründe sein warum die Hintermänner von Rustock zu der Überzeugung gekommen sind, dass ein Rückgriff auf diese Technik ihre Fähigkeit zur massenweisen Verbreitung von Werbe-Mails einschränkt.
Die TLS-Verschlüsselung hat aber nun an Bedeutung verloren weshalb nur noch 0,5 Prozent der gesamten Spam-Mails verschlüsselt sind. Die Zahl seiner verschickten Spam-Mails konnte Rustock von 96 auf 192 Mails pro Bot und Minute verzweifachen.
Quelle: http://www.virenschutz.info
Quelle: http://www.m86security.com
26.08.2010 12:45 Uhr
Dienstag, 24. August 2010
AV-Test Product Review and Certification Report - 2010/Q2
AV-Test.org hat ihre Liste für das 2 Quartal 2010 mit getesteten Antivirenprogrammen veröffentlicht. Die ersten 3 Plätze werden von Panda, Symantec und Kaspersky angeführt.
Am schlechtesten schnitt Norman: Security Suite 8.0 mit 2,0 bei der Protection ab. Im Bereich Repair bekam McAfee: Internet Security 2010 die schlechteste Bewertung.
Quelle: Certification Report - 2010/Q2
24.08.2010 20:50 Uhr
Am schlechtesten schnitt Norman: Security Suite 8.0 mit 2,0 bei der Protection ab. Im Bereich Repair bekam McAfee: Internet Security 2010 die schlechteste Bewertung.
Quelle: Certification Report - 2010/Q2
24.08.2010 20:50 Uhr
Montag, 23. August 2010
Hausdurchsuchung bei Perfect Privacy
Der oftmals von Cyberkriminellen genutzte VPN Anbieter Perfect Privacy hatte am Freitag morgen eine Hausdurchsuchung.Perfect Privacy ist ein Zusammenschluss von Privatpersonen aus aller Welt, die VPN-Server betreiben und ihre Dienste unter einer gemeinschaftlichen Oberfläche anbieten.Es wurden fünf PCs samt Speichermedien beschlagnahmt, wodurch ein Schaden in Höhe von 6000 bis 6500 Euro entstanden sein soll. Rechner, die in Verbindung mit dem VPN-Dienst genutzt wurden, seien "allesamt vollverschlüsselt", betont das Unternehmen.Der Betreiber will jetzt mit anwaltlicher Unterstützung Akteneinsicht beantragen.
23.08.2010 15:09 Uhr
23.08.2010 15:09 Uhr
Sonntag, 22. August 2010
Phoenix Exploit Kit Statistik
Dieser Beitrag zeigt eine Reihe von Daten über die verschiedenen Versionen des Phoenix Exploit-Kit.
Phoenix Exploit’s Kit v2.3r
Phoenix Exploit’s Kit v2.3
Phoenix Exploit’s Kit v2.21
Phoenix Exploit’s Kit v2.2
Phoenix Exploit’s Kit v2.1
Phoenix Exploit’s Kit v2.0
Phoenix Exploit’s Kit v1.4
Phoenix Exploit’s Kit v1.31
Phoenix Exploit’s Kit v1.3
Phoenix Exploit’s Kit v1.2
Phoenix Exploit’s Kit v1.1
Phoenix Exploit’s Kit v1.0
Phoenix Exploit’s Kit v1.0beta
PDF (Englisch)
Quelle: http://malwareint.blogspot.com
23.08.2010 08:02 Uhr
Phoenix Exploit’s Kit v2.3r
Phoenix Exploit’s Kit v2.3
Phoenix Exploit’s Kit v2.21
Phoenix Exploit’s Kit v2.2
Phoenix Exploit’s Kit v2.1
Phoenix Exploit’s Kit v2.0
Phoenix Exploit’s Kit v1.4
Phoenix Exploit’s Kit v1.31
Phoenix Exploit’s Kit v1.3
Phoenix Exploit’s Kit v1.2
Phoenix Exploit’s Kit v1.1
Phoenix Exploit’s Kit v1.0
Phoenix Exploit’s Kit v1.0beta
PDF (Englisch)
Quelle: http://malwareint.blogspot.com
23.08.2010 08:02 Uhr
Freitag, 13. August 2010
Donnerstag, 12. August 2010
dd_ssh Botnet
Der Bot dd_ssh sorgt laut dem ISC (Internet Storm Center) derzeit für eine erhöhte Anzahl von Brute-Force-Angriffen auf SSH-Zugänge. Die Betreiber des Botnetzes schleusen das Script vermutlich über eine phpMyAdmin-Lücke in das System ein und nutzen das Eroberte System dann für SSH-Attacken. Die Lücke ist bereits ein Jahr alt und betrifft folgende phpMyAdmin-Versionen 2.11.x vor 2.11.9.5 sowie 3.x vor 3.1.3.1.
Durch den Einsatz eines sehr großen Botnets mit einer Vielzahl von verschiedenen IP-Adressen können die Herder sogar unter dem Radar der Filterlösungen fliegen, wenn von jeder IP eines Bots nur wenige Login-Versuche ausgehen. Dadurch wird der Schwellenwert nicht erreicht, ab dem die Filter blockieren. Schützen kann man sich am ehesten mit gemeinschaftlichen Blacklists aus der Cloud, die man mit Scripten wie DenyHosts. Die Grundvoraussetzung dafür ist allerdings ein sicheres – wenn auch unbequemes – Passwort.
12.08.2010 15:31 Uhr
Durch den Einsatz eines sehr großen Botnets mit einer Vielzahl von verschiedenen IP-Adressen können die Herder sogar unter dem Radar der Filterlösungen fliegen, wenn von jeder IP eines Bots nur wenige Login-Versuche ausgehen. Dadurch wird der Schwellenwert nicht erreicht, ab dem die Filter blockieren. Schützen kann man sich am ehesten mit gemeinschaftlichen Blacklists aus der Cloud, die man mit Scripten wie DenyHosts. Die Grundvoraussetzung dafür ist allerdings ein sicheres – wenn auch unbequemes – Passwort.
12.08.2010 15:31 Uhr
Pay-per-Install through VIVA INSTALLS / HAPPY INSTALLS in BKCNET “SIA” IZZI
Eines der profitabelsten geschäfte der Cybercrime ist das Affiliate-Systeme Pay-per-Install. Bei Pay-per-Install wird die Installation von Software auf einem Computer Vergütet, beispielsweise Toolbars oder Demoversionen.
vivainstalls.net und happyinstalls.com gehöhren zu den Führenen PPI Diensten der Cybercrime und Hosten (IP-Adresse 91.188.59.51) im BKCNET "SIA" IZZI (ATECH-SAGADE) Autonomes System (AS6851). Diese Autonomes System ist für seine hohe Anonymität und betrügerischen Aktivitäten durch das Koobface Botnet bekannt.
Über das PPI System wird der Fake Av A-fast Antivirus verbreitet.
Das Affiliate system verbreitet ihre Malware über einen Link der einen Downloader enthält und die Software auf das System Installiert,hier wird Deutlich darauf hingewiesen das die Setup.exe oder exe.exe (971eab628a7aac18bb29cba8849dff61) nicht bei Freien Virenscanner wie Virustotal.com hochgeladen werden sollte.
Wie ist der Registrierungsprozess ?
Um Zugang zum Memberbereich zu bekommen benötigt man einen Aktivierungs-Code den man von einem anderen Vertrauenswürdigem Mitglied bekommt.
Wie viel kostet der Affiliate für jede erfolgreiche Installation?
USD 0.30 per installation in U.S.
USD 0.20 per installation in Canada, Australia and England.
USD 0.01 for installation in other countries.
Quelle: http://malwareint.blogspot.com
12.08.2010 15:08 Uhr
vivainstalls.net und happyinstalls.com gehöhren zu den Führenen PPI Diensten der Cybercrime und Hosten (IP-Adresse 91.188.59.51) im BKCNET "SIA" IZZI (ATECH-SAGADE) Autonomes System (AS6851). Diese Autonomes System ist für seine hohe Anonymität und betrügerischen Aktivitäten durch das Koobface Botnet bekannt.
Über das PPI System wird der Fake Av A-fast Antivirus verbreitet.
Das Affiliate system verbreitet ihre Malware über einen Link der einen Downloader enthält und die Software auf das System Installiert,hier wird Deutlich darauf hingewiesen das die Setup.exe oder exe.exe (971eab628a7aac18bb29cba8849dff61) nicht bei Freien Virenscanner wie Virustotal.com hochgeladen werden sollte.
Wie ist der Registrierungsprozess ?
Um Zugang zum Memberbereich zu bekommen benötigt man einen Aktivierungs-Code den man von einem anderen Vertrauenswürdigem Mitglied bekommt.
Wie viel kostet der Affiliate für jede erfolgreiche Installation?
USD 0.30 per installation in U.S.
USD 0.20 per installation in Canada, Australia and England.
USD 0.01 for installation in other countries.
Quelle: http://malwareint.blogspot.com
12.08.2010 15:08 Uhr
Donnerstag, 5. August 2010
Phoenix Exploit Kit 2.0
Phoenix Exploit-Kit 2.0 ist eine aktualisierte Version der Phoenix-Toolkit, das ursprünglich von M86 Security Labs Mitte 2009 entdeckt wurde.Die GUI des Admin-Panel hat sich nicht wesentlich von der vorherigen Version geändert, aber zusätzlich werden neue Technik zur Verschleierung verwendet.
Das Exploit-Kit beinhaltet folgenden Schwachstellen:
Flash exploits
Adobe Flash Integer Overflow in AVM2 - CVE-2009-1869
Adobe Flash Integer Overflow in Flash Player CVE-2007-0071
PDF exploits
Adobe Reader CollectEmailInfo Vulnerability CVE-2007-5659
Adobe Reader Collab GetIcon Vulnerability CVE-2009-0927
Adobe Reader LibTiff Vulnerability CVE-2010-0188
Adobe Reader newPlayer Vulnerability CVE-2009-4324
Adobe Reader util.printf Vulnerability CVE-2008-2992
Internet Explorer Exploits
IE MDAC Vulnerability CVE-2006-0003
IE SnapShot Viewer ActiveX Vulnerability CVE-2008-2463
IE iepeers Vulnerability CVE-2010-0806
Java Exploits
JAVA HsbParser.getSoundBank Vulnerability CVE-2009-3867
Java Development Kit Vulnerability CVE-2008-5353
Administrator-Panel
Wie die meisten Exploit-Kits bietet das Phoenix Exploit-Kit mit dem Adminpanel die Möglichkeit, eingehenden Datenverkehr zu analysieren und die Anzahl der infizierten Rechner zu überwachen. Darüber hinaus ermöglicht es dem Benutzer Malware hochzuladen,die dann auf den infizierten Rechnern ausgeführt wierd.
Das Phoenix Exploit-Kit bietet einen URL-Filter der dem Benutzter zeigt ob seine Domain auf den folgenden Seiten auf der blacklist steht.
Google Safe Browsing
MalwareURL
Zeus Tracker
Der Programmierer des Exploit-Kits bietet ein "Phoenix Triple System" an bei dem ein Kunde die Möglichkeit bekommt das dass Kit neu aufgesetzt wird sobald es von einer Antivirenfirma oder anderen entdeckt wurde.
Quelle: http://www.m86security.com
05.08.2010 19:20 Uhr
Das Exploit-Kit beinhaltet folgenden Schwachstellen:
Flash exploits
Adobe Flash Integer Overflow in AVM2 - CVE-2009-1869
Adobe Flash Integer Overflow in Flash Player CVE-2007-0071
PDF exploits
Adobe Reader CollectEmailInfo Vulnerability CVE-2007-5659
Adobe Reader Collab GetIcon Vulnerability CVE-2009-0927
Adobe Reader LibTiff Vulnerability CVE-2010-0188
Adobe Reader newPlayer Vulnerability CVE-2009-4324
Adobe Reader util.printf Vulnerability CVE-2008-2992
Internet Explorer Exploits
IE MDAC Vulnerability CVE-2006-0003
IE SnapShot Viewer ActiveX Vulnerability CVE-2008-2463
IE iepeers Vulnerability CVE-2010-0806
Java Exploits
JAVA HsbParser.getSoundBank Vulnerability CVE-2009-3867
Java Development Kit Vulnerability CVE-2008-5353
Administrator-Panel
Wie die meisten Exploit-Kits bietet das Phoenix Exploit-Kit mit dem Adminpanel die Möglichkeit, eingehenden Datenverkehr zu analysieren und die Anzahl der infizierten Rechner zu überwachen. Darüber hinaus ermöglicht es dem Benutzer Malware hochzuladen,die dann auf den infizierten Rechnern ausgeführt wierd.
Das Phoenix Exploit-Kit bietet einen URL-Filter der dem Benutzter zeigt ob seine Domain auf den folgenden Seiten auf der blacklist steht.
Google Safe Browsing
MalwareURL
Zeus Tracker
Der Programmierer des Exploit-Kits bietet ein "Phoenix Triple System" an bei dem ein Kunde die Möglichkeit bekommt das dass Kit neu aufgesetzt wird sobald es von einer Antivirenfirma oder anderen entdeckt wurde.
Quelle: http://www.m86security.com
05.08.2010 19:20 Uhr
Dienstag, 3. August 2010
Myrte und Guave 1-5
Ich habe mir gerade mal Myrte und Guave von 1-5 durchgelesen welches sich mit dem Rootkit.Win32.Stuxnet und Trojan-Dropper.Win32.Stuxnet befasst.
Myrte und Guave: Episode 1
Myrte und Guave: Episode 2
Myrte und Guave: Episode 3
Myrte und Guave: Episode 4
Myrte und Guave: Episode 5
Wer sich für die Malware Interessiert wird hier viele Interessant Informationen finden.
03.08.2010 13:31 Uhr
Myrte und Guave: Episode 1
Myrte und Guave: Episode 2
Myrte und Guave: Episode 3
Myrte und Guave: Episode 4
Myrte und Guave: Episode 5
Wer sich für die Malware Interessiert wird hier viele Interessant Informationen finden.
03.08.2010 13:31 Uhr
Samstag, 31. Juli 2010
Mittwoch, 28. Juli 2010
Zeus verbreitet sich über LNK-Lücke
Das Zeus-Botnetz nutzt die bereits bekannte Lücke (CVE-2010-2568) im Iconhandler von Windows aus um sich zu verbreiten. Dazu verschickt das Netzwerk nach Angaben von Trend Micro und F-Secure gepackte Dateien in dennen sich eine Verknüpfung befindet und das bloße Betrachten reicht um das System zu Infizieren.
Unter dem Vorwand das diese E-Mail von Microsoft stamme und mit einem Passwort geschützt sei wird der Ahnungslose User dazu aufgefordert den Anhang Herunter zu Laden und zu öffnen. Damit ist der Angriff gefährlicher als typische Angriffe mit gepackten Dateien, die ein Anklicken des Inhalts erfordern. Der ein oder andere Nutzer wird möglicherweise glauben, dass das reine Entpacken zur Kontrolle keinen Schaden auslösen kann.
Das Zeus-Netzwerk zählt zu den größten Botnetzen Weltweit und kann sich über die LNK-Lücke Problemlos über USB-Sticks und SD-Karten weiterverbreiten. Ein Patch von Microsoft ist in Arbeit, allerdings ist noch nicht bekannt, wann dieser erscheint.
28.07.2010 18:09 Uhr
Unter dem Vorwand das diese E-Mail von Microsoft stamme und mit einem Passwort geschützt sei wird der Ahnungslose User dazu aufgefordert den Anhang Herunter zu Laden und zu öffnen. Damit ist der Angriff gefährlicher als typische Angriffe mit gepackten Dateien, die ein Anklicken des Inhalts erfordern. Der ein oder andere Nutzer wird möglicherweise glauben, dass das reine Entpacken zur Kontrolle keinen Schaden auslösen kann.
Das Zeus-Netzwerk zählt zu den größten Botnetzen Weltweit und kann sich über die LNK-Lücke Problemlos über USB-Sticks und SD-Karten weiterverbreiten. Ein Patch von Microsoft ist in Arbeit, allerdings ist noch nicht bekannt, wann dieser erscheint.
28.07.2010 18:09 Uhr
Neue Verhaftungen im Fall Mariposa
Anfang des Jahres konnte Panda Security gemeinsam mit Defense Intelligence, dem FBI und der spanischen Polizei vor einigen Monaten das bis dahin größte Botnetz , mit dem Namen “Mariposa”, vom Netz nehmen. Dabei wurden auch die Betreiber verhaftet.Nun gelang es der weitere Hintermänner in Slowenien ausfindig zu machen und zu verhaften, darunter befindet sich auch der Entwickler des Butterfly Bots der unter dem Firmennamen “Butterfly Network Solutions” sein Produkt verkaufte.
Laut einer slowenischen Zeitung, verkaufte der Entwickler den Butterfly Bot für 40.000 € an die Anfang des Jahres verhafteten Betreiber. Da der slowenische Programmierer sein Dienste mehreren Kunden anbot ist der Fall „Mariposa“ noch längst nicht abgeschlossen.
28.07.2010 17:03 Uhr
Laut einer slowenischen Zeitung, verkaufte der Entwickler den Butterfly Bot für 40.000 € an die Anfang des Jahres verhafteten Betreiber. Da der slowenische Programmierer sein Dienste mehreren Kunden anbot ist der Fall „Mariposa“ noch längst nicht abgeschlossen.
28.07.2010 17:03 Uhr
Dienstag, 27. Juli 2010
Facebook-Crawler
Ron Bowes hat auf seinem Blog skullsecurity.org ein in Ruby geschriebenes Script veröffentlicht welches Daten von Facebook Usern sammelt. Dadurch haben es Spammer und Phisher leichter Mitglieder des Sozialen-Netzwerkes mit Unerwünschten Emails zu Bombadieren. Mit dem Crawler wurden von seinem Entwickler offenbar testweise US-Konten gesammelt - der laut seinem Blogs Nordamerikaner ist.
Die zum Download angebotene Datei bringt es mit 170 Millionen Accounts auf 10 GByte. Es gibt weitere Dateien, in denen die Vor- und Nachnamen nach Häufigkeit sortiert sind und in denen einmalige Namen aufgelistet werden. Es dürfte kein Problem sein, mit einem leicht geänderten Crawler auch deutsche Facebook-Konten zu sammeln.
Um auch die Kontakte der Nutzer auszulesen, müssten deutlich mehr Daten verarbeitet werden, wozu der Entwickler des Crawlers derzeit keine Möglichkeiten hat. Pläne hat er trotzdem: "Ich würde das in der Zukunft angehen, wenn also irgendjemand Bandbreite zur Verfügung hat und spenden will, brauche ich nur einen ssh-Account und ein installiertes Nmap", so Bowes.
Es ist nicht das erste Mal, dass Nutzerdaten von Facebook und Co. ausgelesen werde. Soziale Netzwerke können sich gegen Sammelaktionen von öffentlichen Daten kaum schützen - vor allem dann nicht, wenn sie - wie Facebook - auch mit Suchmaschinenbetreibern wie etwa Google zusammen arbeiten.Beim Schutz der nicht-öffentlichen Daten hat sich etwa Facebook-Konkurrent VZ Netzwerke (StudiVZ, SchülerVZ, MeinVZ) mehr ins Zeug gelegt als Facebook. Dennoch kann es seinen Nutzern nicht versprechen, dass sie komplett geschützt sind.
27.07.2010 21:14 Uhr
Die zum Download angebotene Datei bringt es mit 170 Millionen Accounts auf 10 GByte. Es gibt weitere Dateien, in denen die Vor- und Nachnamen nach Häufigkeit sortiert sind und in denen einmalige Namen aufgelistet werden. Es dürfte kein Problem sein, mit einem leicht geänderten Crawler auch deutsche Facebook-Konten zu sammeln.
Um auch die Kontakte der Nutzer auszulesen, müssten deutlich mehr Daten verarbeitet werden, wozu der Entwickler des Crawlers derzeit keine Möglichkeiten hat. Pläne hat er trotzdem: "Ich würde das in der Zukunft angehen, wenn also irgendjemand Bandbreite zur Verfügung hat und spenden will, brauche ich nur einen ssh-Account und ein installiertes Nmap", so Bowes.
Es ist nicht das erste Mal, dass Nutzerdaten von Facebook und Co. ausgelesen werde. Soziale Netzwerke können sich gegen Sammelaktionen von öffentlichen Daten kaum schützen - vor allem dann nicht, wenn sie - wie Facebook - auch mit Suchmaschinenbetreibern wie etwa Google zusammen arbeiten.Beim Schutz der nicht-öffentlichen Daten hat sich etwa Facebook-Konkurrent VZ Netzwerke (StudiVZ, SchülerVZ, MeinVZ) mehr ins Zeug gelegt als Facebook. Dennoch kann es seinen Nutzern nicht versprechen, dass sie komplett geschützt sind.
27.07.2010 21:14 Uhr
Freitag, 23. Juli 2010
Qualys BrowserCheck
Web-Browser und ihre Plug-ins sind heute Hauptangriffsziele für Malware aller Art. Damit der Browser nur das tut, stellt das Sicherheitsunternehmen Qualys eine Browser-Prüfung bereit der ein dem Mozilla Plugin Check ähnelt, aber anders arbeitet.
Qualys BrowserCheck funktioniert als Kombination aus Website und Browser-Plug-in, das der Benutzer zunächst installieren muss. Qualys unterstützt derzeit den Internet Explorer (ab Version 6), Firefox 3.x und Google Chrome 4 und 5. Als Betriebssystem wird Windows von 2000 bis 7 voraus gesetzt.Der Qualys prüft die Aktualität einiger Plug-inswie Adobe Reader, Flash Player,Shockwave Player sowie Quicktime, Silverlight, Windows Media Player, Real Player und Java. Dazu erkennt der Checker, ob die Windows-Version noch von Microsoft unterstützt wird und ob der Browser selbst aktuell ist.
Ist eine Plugin nicht mehr aktuell oder weist gar Sicherheitslücken auf, zeigt der Qualys BrowserCheck dies durch ein Ampelsystem an und bietet Links zur Update-Seite des jeweiligen Herstellers an.
Quelle: http://www.pcwelt.de
23.07.2010 13:21 Uhr
Qualys BrowserCheck funktioniert als Kombination aus Website und Browser-Plug-in, das der Benutzer zunächst installieren muss. Qualys unterstützt derzeit den Internet Explorer (ab Version 6), Firefox 3.x und Google Chrome 4 und 5. Als Betriebssystem wird Windows von 2000 bis 7 voraus gesetzt.Der Qualys prüft die Aktualität einiger Plug-inswie Adobe Reader, Flash Player,Shockwave Player sowie Quicktime, Silverlight, Windows Media Player, Real Player und Java. Dazu erkennt der Checker, ob die Windows-Version noch von Microsoft unterstützt wird und ob der Browser selbst aktuell ist.
Ist eine Plugin nicht mehr aktuell oder weist gar Sicherheitslücken auf, zeigt der Qualys BrowserCheck dies durch ein Ampelsystem an und bietet Links zur Update-Seite des jeweiligen Herstellers an.
Quelle: http://www.pcwelt.de
23.07.2010 13:21 Uhr
Samstag, 17. Juli 2010
Koobface Going for Broke? and More Koobface URLs Plague Users
McAfee Labs-Forscher haben einen spürbaren Anstieg der URLs von Koobface beobachtet. (Koobface ist ein Anagramm für Facebook.) Die neuesten, unerwartete Koobface Kampagne versucht User von Facebook einen Link mit ausführbaren Dateien unter zu schieben.
Alle Dateien haben den gleichen MD5 Hash: 9cac65b88d2288fb16f8a356c3563604
Einen Schutzt kann der McAfee SiteAdvisor und McAfee TrustedSource™ bieten.
Das Koobface Botnet ist zu einer der Top Bedrohungen für die Nutzer von Facebook geworden.Koobface ist sehr vielfältig in seiner Nutzung,so wurde z.b die Installation von Passwort-Stealern beobachtet oder forderte User zu eienr CAPTCHA eingabe auf.
Vor einigen Wochen hat Koobface den Zugriff auf Security-Websites blockiert.Seitdem haben die Autoren einen Riesenschritt in Richtung Invasivität mit der Installation von ihren gefälschten Anti-Virus Trojan getroffen.Etwa 10 Minuten nach der ersten Infektion bekommen Nutzer eine Meldung über einen gefälschte Scan und Infektionen.
Der Trojaner fungiert als HTTP-Proxy im Internet Explorer und blockiert den Zugriff auf andere andere Webseiten außer die des FakeAv´s.
Die Malware blockiert auch fast jede ausführbare datei, wodurch das System ziemlich nutzlos für die meisten Anwender wird.
Vielleicht versucht die Bande eine letzten großen Auszahlung und will so viele Nutzer wie möglich dazu bringen einen "AV Security Suite" von $49.95-$69,95 zu registrieren. Die überwiegende Mehrzahl der Infizierten Systeme des Koobface Botnetzes kommen von Benutzern, die auf die Social-Engineering Taktiken der Bande hereingefallen und nun ein teil ihres Botnetzes sind.
Quelle: http://www.avertlabs.com/research/blog/
17.07.2010 13:01 Uhr
Alle Dateien haben den gleichen MD5 Hash: 9cac65b88d2288fb16f8a356c3563604
Einen Schutzt kann der McAfee SiteAdvisor und McAfee TrustedSource™ bieten.
Das Koobface Botnet ist zu einer der Top Bedrohungen für die Nutzer von Facebook geworden.Koobface ist sehr vielfältig in seiner Nutzung,so wurde z.b die Installation von Passwort-Stealern beobachtet oder forderte User zu eienr CAPTCHA eingabe auf.
Vor einigen Wochen hat Koobface den Zugriff auf Security-Websites blockiert.Seitdem haben die Autoren einen Riesenschritt in Richtung Invasivität mit der Installation von ihren gefälschten Anti-Virus Trojan getroffen.Etwa 10 Minuten nach der ersten Infektion bekommen Nutzer eine Meldung über einen gefälschte Scan und Infektionen.
Der Trojaner fungiert als HTTP-Proxy im Internet Explorer und blockiert den Zugriff auf andere andere Webseiten außer die des FakeAv´s.
Die Malware blockiert auch fast jede ausführbare datei, wodurch das System ziemlich nutzlos für die meisten Anwender wird.
Vielleicht versucht die Bande eine letzten großen Auszahlung und will so viele Nutzer wie möglich dazu bringen einen "AV Security Suite" von $49.95-$69,95 zu registrieren. Die überwiegende Mehrzahl der Infizierten Systeme des Koobface Botnetzes kommen von Benutzern, die auf die Social-Engineering Taktiken der Bande hereingefallen und nun ein teil ihres Botnetzes sind.
Quelle: http://www.avertlabs.com/research/blog/
17.07.2010 13:01 Uhr
Freitag, 16. Juli 2010
Zeus-Malware zielt auf deutsche Banken
Der Zeus Banking Trojaner ist der am weitesten verbreitete Malwarebaukasten für Cyberkriminelle Online-Aktivitäten. Die aktuelle Version ist jetzt noch besser geschützt um die Analysen der Antivirusfirmen zu erschweren und erhält nur noch die jeweils notwendigen Informationen.
Das Verhalten einer Zeus-Variante wird durch eine Konfigurationsdatei festgelegt, die auf einem Kommando-Server liegt. Die Konfigurationsdateien der älteren Zeus-Versionen enthalten stets alle Ziele (Web-Adressen) von Banken und Online-Diensten. Während die neuere Version 3 des Trojaners fokussierter arbeitet.
Der Sichererheits Experte Zarestel Ferrer im CA Security Advisor Research Blog berichtet,nutzt die Version 3 des Zeus Bots eine Konfigurationsdatei, die sich nicht mehr so einfach von Sicherheitsfachleuten untersuchen lässt. Bei bei älteren Fassungen des Bots konnten die Analytiker dem Server einen Zbot vorgaukeln, um die komplette Konfigurationsdatei auszulesen, die sie dann analysieren.
In der Dritten Version des Bank Trojaners ist diese Datei durch eingeschränkte Zugriffsrechte besser geschützt. Der Bot kann nur noch auf die Ressourcen zugreifen, die er für seine Aufgabe benötigt.
Das bedeutet, dass nur noch die Web-Adressen von Banken aus den USA, Großbritannien, Deutschland und Spanien verfügbar sind. Im ersten Halbjahr 2010 waren diese vier Länder die Top-Ziele der Zeus-Malware, besonders Spanien war sehr betroffen. Die vier Länder werden nur paarweise aufgeführt - USA und Großbritannien sowie Deutschland und Spanien. Der Bot kann also nur auf Daten für zwei Länder zugreifen.
Zu den deutschen Zielen der Malware gehören nach Angaben von Ferrer etwa die Commerzbank,Deutsche Bank sowie die Dienstleister Fuducia und GAD, die für Genossenschaftsbanken wie die Volksbanken tätig sind. Die Kommando-Server der Botnetze sind meist in Russland angesiedelt.
Online-Kriminelle können zu Preisen von mehreren tausend Euro einen Zeus Bot erwerben, deren Eigenschaften sie sich nach Bedarf modular zusammen stellen können. Der Preis hängt von Art und Anzahl der Module ab.
16.07.2010 10:19 Uhr
Das Verhalten einer Zeus-Variante wird durch eine Konfigurationsdatei festgelegt, die auf einem Kommando-Server liegt. Die Konfigurationsdateien der älteren Zeus-Versionen enthalten stets alle Ziele (Web-Adressen) von Banken und Online-Diensten. Während die neuere Version 3 des Trojaners fokussierter arbeitet.
Der Sichererheits Experte Zarestel Ferrer im CA Security Advisor Research Blog berichtet,nutzt die Version 3 des Zeus Bots eine Konfigurationsdatei, die sich nicht mehr so einfach von Sicherheitsfachleuten untersuchen lässt. Bei bei älteren Fassungen des Bots konnten die Analytiker dem Server einen Zbot vorgaukeln, um die komplette Konfigurationsdatei auszulesen, die sie dann analysieren.
In der Dritten Version des Bank Trojaners ist diese Datei durch eingeschränkte Zugriffsrechte besser geschützt. Der Bot kann nur noch auf die Ressourcen zugreifen, die er für seine Aufgabe benötigt.
Das bedeutet, dass nur noch die Web-Adressen von Banken aus den USA, Großbritannien, Deutschland und Spanien verfügbar sind. Im ersten Halbjahr 2010 waren diese vier Länder die Top-Ziele der Zeus-Malware, besonders Spanien war sehr betroffen. Die vier Länder werden nur paarweise aufgeführt - USA und Großbritannien sowie Deutschland und Spanien. Der Bot kann also nur auf Daten für zwei Länder zugreifen.
Zu den deutschen Zielen der Malware gehören nach Angaben von Ferrer etwa die Commerzbank,Deutsche Bank sowie die Dienstleister Fuducia und GAD, die für Genossenschaftsbanken wie die Volksbanken tätig sind. Die Kommando-Server der Botnetze sind meist in Russland angesiedelt.
Online-Kriminelle können zu Preisen von mehreren tausend Euro einen Zeus Bot erwerben, deren Eigenschaften sie sich nach Bedarf modular zusammen stellen können. Der Preis hängt von Art und Anzahl der Module ab.
16.07.2010 10:19 Uhr
Montag, 12. Juli 2010
YES Exploit System und CaaS
Das ausgestorbene Yes Exploit System ist in der Version 3.0 wider auferstanden und wird auch gleich als CaaS (Crimeware-as-a-Service) angeboten.Beim CaaS handelt es sich um ein kleines Gegenstück zum Cloud Computing,der Käufer bekommt Zugang zu einem Server mit dem Exploit System und muss sich dabei um keine Serverrelevanten Dinge wie Updates oder Konfiguration kümmern.
Dieses Geschäftsmodell der Cybercrime macht es auch Anfängern sehr leicht Botnetze oder Spam zu verteilen ohne Technisches Now How zu besietzen.
Yes Exploit verfügt auch über einen Domain Checker und überprüft ob die Adresse des Servers in bekannten listen wie ZeuS Tracker, MDL (MalwareDomainList), SiteAdvisor, Norton List und anderen auftaucht um so den Bekanntheitsgrad des Servers zu überprüfen.
Eine weitere Funktion ist der AV Checker der überprüft in wie weit das Exploit Kit von Antivirus Firmen erkannt wird.
Yes Exploit System ähnelt nicht nur einem herkömmlichen Business Schema, sondern wurde ausschließlich für kriminelle Zwecke entwickelt um auf einfachste weise möglichst viele ahnungslose User mit Malware zu Infizieren.
Quelle: http://malwareint.blogspot.com
12..07.2010 14:35 Uhr
Dieses Geschäftsmodell der Cybercrime macht es auch Anfängern sehr leicht Botnetze oder Spam zu verteilen ohne Technisches Now How zu besietzen.
Yes Exploit verfügt auch über einen Domain Checker und überprüft ob die Adresse des Servers in bekannten listen wie ZeuS Tracker, MDL (MalwareDomainList), SiteAdvisor, Norton List und anderen auftaucht um so den Bekanntheitsgrad des Servers zu überprüfen.
Eine weitere Funktion ist der AV Checker der überprüft in wie weit das Exploit Kit von Antivirus Firmen erkannt wird.
Yes Exploit System ähnelt nicht nur einem herkömmlichen Business Schema, sondern wurde ausschließlich für kriminelle Zwecke entwickelt um auf einfachste weise möglichst viele ahnungslose User mit Malware zu Infizieren.
Quelle: http://malwareint.blogspot.com
12..07.2010 14:35 Uhr
Freitag, 9. Juli 2010
Montag, 5. Juli 2010
BOMBA Botnet
MalwareIntelligence hat ein neues Botnet das den Namen Bomba trägt entdeckt.
Der Server des Botnetzes liegt in Lettland obwohl die Administrativen Datensätze in Moskau,Russland des AS6851 (Autonomes System) verweisen, welches unter dem Netzwerk BKCNET "SIA" Izzie bekannt ist.
Unter diesem ASN wurden zahlreiche Exploitkits wie YES System Exploit und Botnetze wie Waledac,Zeus und auch Koobface gehostet.
Bomba nutzt Sicherheitslücken in Java (Java Deployment Toolkit), Internet Explorer, Adobe Reader und dem klassischem MDAC aus.
Quelle: http://malwareint.blogspot.com
05.07.2010 12:43 Uhr
Der Server des Botnetzes liegt in Lettland obwohl die Administrativen Datensätze in Moskau,Russland des AS6851 (Autonomes System) verweisen, welches unter dem Netzwerk BKCNET "SIA" Izzie bekannt ist.
Unter diesem ASN wurden zahlreiche Exploitkits wie YES System Exploit und Botnetze wie Waledac,Zeus und auch Koobface gehostet.
Bomba nutzt Sicherheitslücken in Java (Java Deployment Toolkit), Internet Explorer, Adobe Reader und dem klassischem MDAC aus.
Quelle: http://malwareint.blogspot.com
05.07.2010 12:43 Uhr
Abonnieren
Posts (Atom)
