ratNetw0rk Statistik

Freitag, 26. Februar 2010

Spam by Spambot und Aktivität

Gerade bekomme ich die neuen Spam Aktivitäten von m86security per RSS Feed zu sehen und Rustock hat seinen Spamanteil von 32% auf 52% gesteigert.

Image and video hosting by TinyPic

Pushdo ist von 23% auf 8,3% gesunken,hält sich aber noch an zweiter Stelle.





Weiterhin ist der Größte Anteil an Spam den Rustock verteilt auf Viagra bezogen.


Quelle: m86security


Rustock rages on

Mit einer MITM nach Malware suchen

Ich habe für die Community Hackerboard.de ein Tutorial verfast welchen zeigt wie man mit einer Man in the Middle Attack nach Malware im Netzwerk suchen kann und dieses als ständige überwachung nutzen kann.

In dem Tutorial werden die Sniffer Ettercap,Wireshark und Cain & Able gezeigt.Es wird auch erklärt wie man sich gegen eine Man in the Middle schützen kann.

Ich hatte die Man in the Middle immer auf einen Notebook mit Debian laufen und somit eine ständige Überwachung meines Netzwerkverkehrs.

>>>Mit einer MITM nach Malware suchen<<<

Wikipedia Artikel über Fast-Flux

Ich habe mal den Wikipedia Artikel über Fast-Flux erneuert da er im Augenblick nur 2 Sätze hat und diese einfach nicht aussagekräftig genug sind über die Technik und Funktionen.

Artikel
Entwurf

Es ist noch ein Entwurf der von einem Wiki Mitglied überprüft werden muss und dann freigeschaltet wird.

Donnerstag, 25. Februar 2010

Microsoft geht juristisch gegen Botnet vor

Der US-amerikanische Softwarehersteller Microsoft hat von einem US-Bundesgericht im Bundesstaat Virginia die Erlaubnis erhalten, gegen das Botnet Waledac vorzugehen. Dafür sollen 277 Internet-Adressen vom Netz genommen werden, teilte Microsoft mit. Microsoft hatte dazu am Montag eine Klageschrift (PDF-Datei) gegen 27 Unbekannte eingereicht.


Grafische Darstellung von Microsofts Strategie gegen Waledac
Bild: Microsoft

Laut Anordnung des Richters muss VeriSign, Betreiber der Top Level Domain .com, von Microsoft ermittelte verdächtige Internetadressen vorübergehend vom Netz nehmen. Diese würden vermutlich von Kriminellen genutzt, um den Datenverkehr des Botnetzes zu lenken. Microsoft habe die Besitzer der Domains seit Dienstag über die Anordnung informiert, berichtet das Wall Street Journal. Hinter allen betroffenen Domains würden Kontaktadressen in China stehen.

Waldedac besteht laut Microsoft aus einem Netz von schätzungsweise Hunderttausenden infizierten Computern weltweit. Es sei in der Lage, täglich 1,5 Milliarden Spam-Mails täglich zu verschicken. Der Softwarekonzern hat herausgefunden, dass im Zeitraum 3. bis 21. Dezember rund 651 Millionen Spam-Mails über Waledac allein an Hotmail-Accounts geschickt wurden.

News-Meldung vom 25.02.2010 12:23


//edit hier nochmal die Waledac Worldmap

Quelle: Microsoft

Hacker blamiert Banken und wird Volksheld

Image and video hosting by TinyPic

Ist das erst der Anfang? Eine Hacker-Gruppierung namens »Fourth Awakening Peoples Army« schickte einen Mann los. Sein Name: Neo. Sein Ziel: Die Verschwörung zwischen Regierung und Banken in Lettland aufdecken.

Nicht nur war Neo (ja, wie der Hackerheld aus Matrix) überaus erfolgreich, binnen Tagen stieg er in Lettland zum umjubelten Robin-Hood-Verschnitt auf, da er die Regierung und die Banken demaskierte. Die gefundenen kompromittierenden Daten veröffentlicht er stückchenweise via Twitter. Auf diese Art versorgte er auch einen lettischen TV-Sender mit den Perlen der Verfehlungen der Finanz- und Staatsmacht. Demnach haben die Banken sich fröhlich die Rettungsgelder einverleibt, aber die gegenüber dem Staat zugesagten Eingeständnisse keinen Millimeter Ernst genommen oder erfüllt. Neo veröffentlichte die echten Managergehälter, die über die Buchhaltung der jeweiligen Institute liefen. Siehe da: In den meisten Fällen wurden die versprochenen Gehaltskürzungen nicht vorgenommen. Im Gegenteil, heimliche Dividenden und Bonuszahlungen tauchten auf, die ebenfalls laut Rettungspaket untersagt waren. Die Regierung verletzte ihre Aufsichtspflicht und ließ der Finanzbranche alles durchgehen. Nun gerät sie unter öffentliches Protestfeuer.

Als Motiv gab Neo an, dem Volk klar machen zu wollen, wer sich bewusst an der Rezession in Lettland bereichert. Die lettische Kampagne sei noch nicht beendet, denn jede Woche sollen weitere Details folgen.

Man vermutet übrigens, dass der Hacker und vielleicht auch die ganze Bewegung in Großbritannien ansässig sind. Übrigens warnt die Gruppe, bereits die Daten von über 1.000 Finanzinstituten und insgesamt über sieben Millionen geheime Dokumente, auch aus Regierungskreisen, gesammelt zu haben. Das dürfte sich also hochwahrscheinlich um eine europaweite Kampagne handeln, bei der auch noch andere Banken, Institute und Regierungen demaskiert werden sollen. Da hilft nur eins: Selbstanzeige. (Quelle: TheInquirer.de)

Donnerstag, 25 Februar 2010 2:22

Dienstag, 23. Februar 2010

Comodo Dragon - sicherer als Chrome?

Mit einem auf Google Chrome basierenden Browser namens Dragon will Comodo Internet-Nutzer besser vor Risiken im Web schützen. Auch die Privatsphäre soll besser gewahrt bleiben als beim Original.



Das Sicherheitsunternehmen Comodo, bislang eher bekannt für Tools wie die kostenlose Comodo Firewall, hat nun auch einen Gratis-Browser im Angebot. Comodo Dragon basiert auf Google Chrome und damit auf dem derzeit schnellsten Browser. Comodo hat ein paar Sicherheitsfunktionen hinzu gefügt. Außerdem soll der Drache die Privatsphäre seiner Benutzer besser schützen.

Der Browser setzt auf Googles Open-Source-Projekt Chromium auf. Allerdings basiert Dragon 1.0.0.5 noch auf Chrome 3, während Google bereits die Version 4 ausliefert und im Beta-Channel sogar Version 5 verfügbar ist. Optisch fallen denn auch wenig Unterschiede zu Chrome auf. In den Optionen fehlt allerdings das Kästchen, um festzulegen, ob Absturzberichte an Google gesendet werden oder nicht. Dragon sendet sie nicht, um Sicherheit und Privatsphäre seiner Benutzer zu bewahren.



Eine Zusatzfunktion von Comodo Dragon sind ausführlichere Informationen über von einer Website für verschlüsselte Verbindungen verwendete digitale Zertifikate. Damit sollen Benutzer besser einschätzen können, ob die Verbindung sicher genug ist.
Insgesamt bietet Comodo Dragon gegenüber dem aktuellen Google Chrome bislang noch zu wenig Mehrwert. Comodo Dragon läuft unter Windows XP, Vista sowie Windows 7 und ist in deutscher Sprache erhältlich. Der kostenlose Download umfasst 21 MB.

23.02.2010, 15:26 Uhr

BLADE soll Drive-by Downloads verhindern

Eine Forschergruppe will ein Gratis-Tool namens BLADE veröffentlichen, das die Infektion von Windows-Rechnern mit Malware über Drive-by Downloads verhindern soll.



Angriffe im Web erfolgen häufig über so genannte Drive-by Downloads, ohne dass die Benutzer etwas davon bemerken. US-Forscher entwickeln derzeit mit Fördermitteln ihrer Regierung ein Tool namens BLADE (Block All Drive-by download Exploits), das Benutzer vor solchen Angriffen schützen soll. Es soll verhindern, dass Malware auf die Festplatte geschrieben werden kann.

Bislang erkunden die Entwickler noch den Stand der von BLADE gebotenen Schutzwirkung. Sie haben eine Reihe virtueller Maschinen ins Web gehängt, die mit Blade geschützt sind. Laut ihrer eigenen Statistik hat es bislang kein Exploit-Code in präparierten Web-Seiten geschafft, schädliche Software auf die Festplatten der Testrechner zu schmuggeln.

Die Forscher des Blade-Projekts haben bislang mehr als 5500 Angriffsversuche von über 1300 verschiedenen Web-Seiten gezählt. Die Mehrzahl der Angriffe gilt dem Internet Explorer, vor allem der veralteten Version 6. Die Angriffsziele verschieben sich jedoch in Richtung installierter Zusatzanwendungen, etwa Browser-Erweiterungen wie Adobe Reader, Flash oder Java. Hier machen Exploits für Sicherheitslücken in anfälligen Versionen des Adobe Reader mehr als die Hälfte der von den Blade-Forscher gefundenen Angriffe aus.

Die Forscher laden die gefundene Malware ferner bei Virus Total hoch, um die Erkennung durch Antivirusprogramme zu prüfen. Die Erkennungsrate liegt dabei wenig über einem Viertel der überprüften Schädlinge.

Das in absehbarer Zeit zur Veröffentlichung vorgesehene BLADE-Tool soll eine Art Sandbox für die Festplatte bilden. Es schützt jedoch nicht vor Angriffen, bei denen die Opfer unter einem Vorwand aufgefordert werden, ein Programm herunter zu laden und zu installieren. Hier sind weiterhin die Anwender gefragt, nicht auf die üblichen Maschen auf der Trickkiste des Social Engineering herein zu fallen. BLADE kann (und soll) also nur eine weitere Schutzschicht zwischen den Online-Kriminellen und den Rechnern der Internet-Nutzer darstellen.

23.02.2010, 16:34 Uhr

Samstag, 20. Februar 2010

Modems als Spamschleudern

Rund 106 Mio. Malware-verseuchte Geräte und Riesen-Botnets im Umfang von über 100.000 Rechnern treiben laut einer aktuellen Schätzung von Trend Micro derzeit im Web ihr Unwesen.

"Angesichts derartiger Zahlen plädiere ich dafür, endlich die Internet Service Provider stärker in die Pflicht zu nehmen", fordert Trend-Micro-Sicherheitsexperte Dave Rand im Interview mit pressetext. "Von Userseite her ist das Problem heute nicht mehr in den Griff zu bekommen", so Rand. Dass die Angriffsmethoden der Cyberkriminellen immer ausgefallener werden, ist hinlänglich bekannt. Als jüngster Trend zeichnet sich nun das Szenario ab, dass Rechner und die dazugehörigen IP-Adressen über kompromittierte Modems für Botnetze gekapert werden können. "Als User hat man in so einem Fall überhaupt keine Chance, da ja nicht der eigene Computer, sondern die vom Internetanbieter zur Verfügung gestellte Hardware und deren Netzwerk betroffen ist. Modems werden über adaptierte Firmware einfach zu Instrumenten der Cyberkriminellen umfunktioniert", erklärt Rand.

Die mithilfe derartiger Methoden erschaffenen Botnetze zeichnen unter anderem für die ungebremste Spam-Flut verantwortlich. Bereits 95 Prozent aller versendeten Mails werden als Spam ausgefiltert, rechnet die Europäische Sicherheitsagentur ENISA in ihrem jüngst veröffentlichten Spambericht 2009 vor. Ungeachtet mehrerer Maßnahmen wie etwa der Verwendung von sogenannten Blacklists wird die Spambekämpfung von den ISPs weiterhin nicht als kritischer Geschäftsfaktor gesehen, kritisiert die ENISA.
"Spam bleibt eine unnötige, zeitaufwändige und teure Bürde für Europa. Provider sollten das Spam-Monitoring verbessern. Die Anstrengungen im Kampf gegen Spam müssen definitiv erhöht werden", kommentiert ENISA-Direktor Udo Helmbrecht die Situation. Für eine effektive Spam-Bekämpfung müssten sich aber die verantwortlichen Politiker und Regulierungsbehörden über die rechtlichen Grundlagen und damit zusammenhängenden Fragen rund um den Datenschutz einig werden.

"Mit einem entsprechenden europaweiten Gesetz könnten wir den aus der EU kommenden Spam über Nacht auslöschen", glaubt auch Sicherheitsexperte Rand, der auf entsprechende Initiativen in Holland verweist. Dass die ISPs hier eine zentrale Rolle spielen, zeige auch das Beispiel der türkischen Telekom, welche die Anzahl von infizierten PCs in ihrem Netzwerk von 1,7 Mio. Geräten auf nur mehr 30.000 drücken konnte. "Das Problem ist vielerorts, dass die ISPs, aber auch andere Service-Anbieter Probleme eher zu vertuschen versuchen, als ihren Kunden reinen Wein einzuschenken", so Rand.

Diese Gefahr sei auch beim Thema Cloud Computing gegeben. So musste Rand in einem Selbstversuch erleben, wie von acht privaten Cloud-Anbietern gerade einmal zwei für die notwendige Datensicherheit sorgen konnten. Bei vier der Anbieter wurde Rands Account bzw. sein geheimes Passwort durch eine Lücke der Anbieter gehackt, zwei weitere mussten ihre Dienste einstellen, der Verbleib der gespeicherten Daten blieb unbekannt.

"Als Kunde muss man höchstmögliche Transparenz einfordern und Druck auf die Service Provider ausüben, was derartige Sicherheitsprobleme betrifft. Wenn alles nichts hilft, werden wir um entsprechende Gesetze allerdings nicht herumkommen", meint Rand im pressetext-Interview.

20.02.2010, 15:16 Uhr

Freitag, 19. Februar 2010

IRC Botnet gefunden

Komplett ausgestorben sind sie noch nicht die IRC Botnetze,das merkte ich als ich dieses Botnet zugesicht bekammt das nach eine Analyse besonders viele Proxys in den A-Records aufwies und einen Hoster in den Niederlande nutzt.Es zeigt sehr gut wie die Cybercrime arbeitet da sogar freie DNS Anbieter wie everyDNS.net benutzt werden um Kosten zu sparen.



Der freie DNS Anbieter everyDNS.net wurde mit einer sehr kurzen TTL eingestellt um einen schnellen wechsel der A-Records zu ermöglichen.



Im Channel tummeln sich die Betreiber und schissen eingeschäft nach dem anderen ab.Hier wird mit Bankdaten und Online Konten gehandelt die vom Bot ausgespäht werden.



Botnetze können heut zu Tage sehr schnell und einfach erworben werden und einen Immensen Schaden anrichten.Der Gewinn aus Botnetzen kann mehere Hunderte Euro betragen.

Weltweites Botnetz aufgespürt

Täter sollen aus Osteuropa und China stammen

Ein US-Sicherheitsunternehmen ist einem Botnetz auf die Spur gekommen, dem über 74.000 Rechner in knapp 200 Ländern angehören. Die infizierten Computern stehen unter anderem in Großunternehmen und Regierungsbehörden. Die Urheber hätten über die Malware Zugangsdaten zu Profilen in sozialen Netze und Bankkonten sowie vertrauliche Unternehmensdokumente ausspähen können.

Malware-Anwendern ist es gelungen, in die Computersysteme von mehreren tausend Unternehmen und Behörden in knapp 200 Ländern einzudringen und vertrauliche Daten zu stehlen. Die Täter seien in China und Osteuropa ansässig. Der Ausgangspunkt der Attacke soll in Deutschland gewesen sein.

Entdeckt bei Routinekontrolle

Entdeckt worden war der Angriff Ende Januar 2010 vom US-Sicherheitsunternehmen Netwitness, das 2007 von Amit Yoran gegründet wurde. Yoran war von 2003 bis 2004 Leiter der National Cyber Security Division (NCSD), die beim US-Heimatschutzministerium angesiedelt ist. Die Experten entdeckten bei der Überprüfung der Computersysteme eines Kunden einen infizierten Rechner. Darüber seien sie einem Botnetz, das aus über 74.000 Computern besteht, auf die Spur gekommen. Sie konnten nach eigenen Angaben über 74 Gigabyte an gestohlenen Daten sammeln und analysieren.

Ende 2008 hätten die Täter begonnen, ihr Botnetz aufzubauen. Sie brachten die Mitarbeiter von Unternehmen und Behörden dazu, mit Malware präparierte Websites zu besuchen, auf E-Mail-Anhänge oder Werbebanner zu klicken. So schmuggelten sie die Botnetz-Software Zeus auf die Computer. Zeus ist die derzeit am zweithäufigsten eingesetzte Botnetz-Software. Zudem seien mehr als die Hälfte der Computer zusätzlich noch mit der Botnetz-Software Waledac infiziert gewesen. Nach der E-Mail-Adresse, unter der mehrere der präparierten Websites registriert wurden, nannten die Entdecker das Botnetz Kneber.

Zugang zu vertraulichen Daten

Die Software Zeus macht sich eine Sicherheitslücke in Windows-Betriebssystemen zunutze und sammelt beispielsweise die Zugangsdaten zum Onlinebanking, zum E-Mail-Konto oder zu Nutzerkonten bei sozialen Netzen. Darüber hätten sich die Angreifer Zugang zu Profilen in sozialen Netzen, Bankkonten und in über 100 Fällen zu Unternehmensservern verschafft, auf denen vertrauliche Geschäftsdaten, die E-Mails der Mitarbeiter und sogar noch nicht veröffentlichte Versionen von Software gespeichert waren. In einem Fall drangen die Täter in einen Server ein, über den Kreditkartenzahlungen abgewickelt werden.

Zu den Geschädigten gehören eine Reihe von Großunternehmen sowie mindestens zehn US-Regierungsstellen. Fünf Prozent der Betroffenen seien in Deutschland beheimatet. Darunter ist auch das Pharmaunternehmen Merck. Weitere bekannte Unternehmen sollen das Filmunternehmen Paramount und der Netzwerkausrüster Juniper Networks sein. Die meisten befallenen Computer stehen in Ägypten, Mexiko, Saudi-Arabien, in der Türkei und den USA.

Kneber ist noch aktiv

Das Botnetz sei immer noch unter der Kontrolle seiner Urheber und noch aktiv, sagte Netwitness-Technikchef Tim Belcher dem britischen Nachrichtenangebot The Register. Allein im vergangenen Monat seien die infizierten Rechner gut ein halbes Dutzend Mal auf neue Arten von Daten angesetzt worden. Netwitness hat nach eigenen Angaben das FBI sowie die betroffenen Unternehmen informiert.

Es gebe Hinweise, dass die Täter auch an einer Cyberattacke beteiligt seien, die das US-Heimatschutzministerium vor knapp zwei Wochen gemeldet hat, berichtet des Wall Street Journal.

Mit 75.000 infizierten Computern ist das Kneber-Botnetz noch vergleichsweise klein: Ende 2007 verhaftete die Polizei in Neuseeland einen damals 18-Jährigen, der ein Botnetz mit bis zu 1,3 Millionen Computern weltweit aufgebaut hatte. Er hatte das Netz unter anderem an Spammer vermietet.

18.02.2010 / 22:00

Donnerstag, 18. Februar 2010

Hacker knacken 74 000 Computer

Image and video hosting by TinyPic
Sie starteten ihren Angriff von Deutschland aus

Eine Welle von Hacker-Angriffen rast um die Welt! 74 000 Computer wurden bereits geknackt, darunter die Rechner großer Unternehmen und zehn amerikanischer Regierungs-Stellen.

Offenbar wurde der Angriff bereits vor 18 Monaten von Deutschland aus gestartet! Und er dauert noch an...

Das berichtet das „Wall Street Journal“ (WSJ) und bezieht sich dabei auf das Cyber-Sicherheitsunternehmen „NetWitness“.

Demnach haben die Angreifer, mutmaßlich Osteuropäer, soziale Netzwerke missbraucht, um gefährliche Angebote zum Herunterladen angeblicher Sicherheitsprogramme zu verbreiten und ihre Opfer auf gefälschte Internetseiten zu locken.

So gelang es ihnen, über Schadprogramme auf fremde Computer zuzugreifen. In mehr als 100 Fällen hatten die Hacker laut „WSJ“ Zugang zu Firmenservern mit vertraulichen Informationen, Datenbanken und gespeicherten E-Mails. In einem Fall knackten sie einen Server, über den Kreditkarten-Zahlungen abgewickelt wurden. In anderen konnten die Kriminellen Präsentationen, Verträge und unveröffentlichte Software einsehen.

Von dem Angriff waren nach bisherigen Informationen 2400 Firmen und Organisationen in 196 Ländern betroffen. Als konkrete Opfer werden in dem Zeitungsbericht das Pharma-Unternehmen Merck und die Filmstudios Paramount genannt.

18.02.2010 - 13:41 UHR

Der nächste Botnet-Krieg

Ein neues Botnet ist entdeckt worden, das die Erwartung eines neuen Botnet-Kriegs nährt. Die Macher von Eyebot haben Funktionen eingebaut, die sich direkt gegen den Konkurrenten Zbot richten.



Botnets sind nicht nur ein lukratives Geschäftsmodell der Online-Kriminalität, die gekaperten Rechner sind auch unter rivalisierenden Gruppen heiß umkämpft. Es hat immer wieder Schädlinge gegeben, die versucht haben andere Bots aus einem PC zu verdrängen, um ihn selbst zu übernehmen. Die nächste Runde wird jetzt offenbar vom Neuling Eyebot eingeläutet, der den Platzhirschen Zbot angreift.

Die Malware-Forscher von Trend Micro haben einen neuen Bot entdeckt, den sie "TSPY_EYEBOT.A" nennen. Wie Roland Dela Paz im Malware Blog des Antivirusherstellers berichtet, weist Eyebot einige Ähnlichkeiten mit Zbot (Alias: Zeus) auf. Eyebot benutzt wie Zbot Rootkit-Techniken, um sich im System zu tarnen. Eyebot spioniert Zugangsdaten wie Passwörter aus, indem es einen Key-Logger installiert. Wie Zbot überwacht es den Browser auf bekannte Web-Adressen von Banken.

Im Unterschied zu Zbot bietet Eyebot auch Backdoor-Funktionalität. Während Zbot weitgehend selbsttätig auf verseuchten Rechnern agiert, erwartet Eyebot Befehle, die aus der Ferne über eine grafische Oberfläche eingegeben werden können.
Doch Eyebot enthält auch Funktionen, die sich direkt gegen Zbot richten. Ist dieser bereits auf einem PC vorhanden, auf dem sich Eyebot einnisten will, versucht der Neuling Zbot-Prozesse zu finden und zu beenden. Er überwacht dem Speicher, um Prozesse mit einem Mutex wie "_AVIRA_" oder "_SYSTEM_" zu entdecken, die typisch für Zbot sind.

Falls die Zbot-Entwickler sich darauf einlassen und mit entsprechenden Gegenmaßnahmen reagieren, kann es zu einem neuen Botnet-Krieg kommen.

18.02.2010, 15:47 Uhr

Mittwoch, 17. Februar 2010

Pwn2Own 2010: 100.000 Dollar Kopfgeld für Browser- und Handy-Lücken

Der von TippingPoint ausgeschriebene Pwn2own-Wettbewerb lobt insgesamt 100.000 US-Dollar für gefundene Sicherheitslücken in Browsern und Mobilfunkgeräten aus, wenn sich darüber Schadcode einschleusen und starten lässt.

Der bereits im vierten Jahr stattfindende Wettbewerb startet am 24. März wieder auf der CanSecWest in Vancouver und erstreckt sich über drei Tage. Dabei sollen die Teilnehmer versuchen, den Internet Explorer 7 und 8, Firefox 3 und Chrome 4 auf Windows 7, Vista und XP zum Einbruch in einen PC zu missbrauchen. Die dafür erforderlichen Exploits sollen ohne oder nur mit sehr wenig Nutzerinteraktion funktionieren. Zudem geht es Apples iPhone 3GS, RIMs Blackberry Bold 9700, Nokia-Geräten mit Symbian S60 und Motorola-Geräten mit Android an den Kragen. Für Lücken in Mobilfunkgeräten gibt es jeweils 15.000 US-Dollar, während Hacker für Browser-Lücken nur 10.000 US-Dollar erhalten.

Im Vorjahr wurden Safari, IE8 und Firefox bereits am ersten Tag gekapert. Hacks für das iPhone, Blackberry & Co gab es jedoch keine. Für Aufsehen sorgte ein bis dahin völlig unbekannter 25-jähriger Student aus Oldenburg, der sich sein Studium zum Teil durch das Auffinden und Verkaufen von Sicherheitslücken finanzierte. Er übernahm im Handstreich alle drei großen Browser. Im Anschluss an den Wettbewerb war er sich zudem mit den Sicherheitsexperten Charlie Miller und Dino Dai Zovi einig: "Das Schreiben von Exploits auf dem Mac macht Spaß. Auf Windows ist es harte Arbeit."

News-Meldung vom 17.02.2010 11:31

Steganos stellt Antrag auf Insolvenz

Der Verschlüsselungsspezialist Steganos hat am Mittwoch vor dem Frankfurter Amtsgericht einen Antrag auf Eröffnung eines Insolvenzverfahrens eingereicht. Der Geschäftsbetrieb wird fortgeführt, wie das Unternehmen betont.

"Insgesamt übersteigen die Verbindlichkeiten des Unternehmens die Einnahmen, so dass drohende Zahlungsunfähigkeit vorliegt", heißt es in einer Mitteilung von Steganos. Das Insolvenzgericht hat die Rechtsanwältin Hildegard A. Hövel zur vorläufigen Insolvenzverwalterin ernannt.

Derzeit wird geprüft, welche Vermögenswerte das 1996 gegründeten Unternehmens Steganos vorhanden sind. Ziel sei eine Veräußerung des Unternehmens und laut Steganos werde bereits mit Interessanten über eine Übernahme aus der Insolvenz verhandelt.

Alle Softwareprodukte des Unternehmens Steganos bleiben weiterhin im Handel verfügbar. "Auch der Support wird zuverlässig weiter geführt und ist wie gewohnt per Telefon sowie über die Website erreichbar", verspricht Steganos.
Als Grund für die Insolvenz nennt Steganos-Geschäftsführerin Katja Pryss den verschärften Wettbewerb im Verschlüsselungsmarkt und die damit verbundenen Mehrinvestitionen in Marketingmaßnahmen. Die Anstrengungen und Einsparungen in der vergangenen Zeit hätten nicht ausgereicht, um "das Ruder aus eigener Kraft herumzureißen".

"Mit dem Antrag auf Insolvenz kann jetzt ein Neubeginn stattfinden - frei von allen Altlasten. Denn davon bin ich fest überzeugt: Datenschutz gehört zu den wichtigsten Themen moderner Kommunikation. Und wir haben die Lösung, das Know-how und die Manpower, wie man diese Daten schützen kann", so Katja Pryss.

17.02.2010, 11:55 Uhr

Dienstag, 16. Februar 2010

Neue Wege beim Virenschutz

Das Internet Storm Center (ISC) hat sich die Mühe gemacht, Hash-Werte von rund 40 Millionen Programmen der National Software Reference Library (NSRL) in einer Datenbank so zusammenzustellen, dass man sie über ein Web-Frontend anfragen kann. Damit rückt eine Abkehr vom reinen Suchen nach allen möglichen Bösartigkeiten in greifbare Nähe.

Das US-amerikanische NIST pflegt eine umfangreiche Sammlung bekannter Programme und erstellt die Hash-Werte der enthaltenen Dateien. Über die lassen sich die Dateien eindeutig identifizieren. Dies wird derzeit vor allem dazu genutzt, um bei forensischen Untersuchungen Standarddateien ausblenden zu können. Genau so gut könnte man sie aber einsetzen, um etwa Fehlalarme für Standarddateien zu vermeiden.

Image and video hosting by TinyPic

Hätten Avira, Kaspersky, F-Secure & Co am Montag eine derartige Datenbank befragt, bevor sie Alarm schlugen, dann hätten sie gewusst, dass die Datei AcSignApply.exe mit dem MD5-Hash 5A3DA649CBBB4502559AA24972E0F302 vom NIST als bekannte AutoCAD-Datei geführt wird. Das heißt zwar noch nicht zwangsläufig, dass die Datei nicht doch eine Hintertür enthält. Aber zumindest einen Fehlalarm auf Grund sehr schwacher Verdachtsmomente, wie er offenbar vorlag, hätte man damit ohne weiteres vermeiden können.

Darüber hinaus sieht Johannes B. Ullrich vom ISC auch durchaus Potenzial, dass ein solches "Whitelisting" insbesondere im kontrollierten Firmenumfeld traditionelle Antiviren-Konzepte ablösen könnte. Aktuelle AV-Konzepte beruhen darauf, alle Eventualitäten einer möglichen Schädigung ("enumerating badness") abzudecken, was aber immer schwieriger wird. Da erscheint ein Whitelisting-Ansatz, der nur erlaubte Applikationen zulässt, natürlich attraktiv.

Allerdings hat er mit dem Problem zu kämpfen, dass selbst Administratoren meist nicht so genau wissen, welche Software auf einem System laufen sollte und welche nicht. Sich durch Updates ändernde Programme kommen als weitere Erschwernis hinzu, ergänzt Ullrich. Ein abgeschwächtes Whitelisting etwa auf Basis der NSRL-Datenbank, ergänzt um eigene Hashes, könnte jedoch den Pfad zu wirklich praktikablen Lösungen ebnen.

Die Datenbank des ISC erlaubt Anfragen zu Hash-Werten oder Dateinamen. Allerdings sind derzeit noch keine Dateien aus Windows 7 enthalten. Im Laufe der Zeit sollen zusätzliche Informationen aus weiteren vertrauenswürdigen Quellen hinzukommen, die dann klar als solche gekennzeichnet werden. Schon jetzt liefert das ISC auch eventuelle Treffer in der Malware Hash Registry von Team Cymru. Eine Abfrage via DNS-Lookup wird bereits diskutiert.

News-Meldung vom 16.02.2010 19:20

Hardware-Antivirus soll Festplatte schützen

Der Antivirushersteller Kaspersky Lab hat sich eine Hardware-basierte Lösung patentieren lassen, die Festplatten vor Rootkits und anderer Malware schützen soll. Der Schutz ist unabhängig vom Betriebssystem.

Image and video hosting by TinyPic

Viren, Würmer und insbesondere Rootkits haben immer wieder demonstriert, dass es möglich ist laufende Antivirusprogramme auszutricksen oder gar zu deaktivieren. Der russische Antivirushersteller Kaspersky Lab meldet nun die Erteilung eines US-Patents auf eine Hardware-basierte Schutzlösung, die Schreibzugriffe auf die Festplatte überwachen soll.

Es handelt sich um ein Gerät, das zwischen der Festplatte (oder anderen Speichermedien) und der Recheneinheit (Prozessor und Arbeitsspeicher) residiert und mit dem System-Bus verbunden ist. Es kann auch als logische Einheit im Festplatten-Controller untergebracht werden. Alle Schreibzugriffe auf die Festplatte müssen hier durch und können auf Malware überprüft werden. Das System soll somit unabhängig vom verwendeten Betriebssystem sein.

Eine optionale Software kann in Dialog mit dem Anwender treten und ihn etwa über schädliche Zugriffe informieren. Das Gerät verfügt über einen eigenen Prozessor und Arbeitsspeicher, wodurch es keine Systemressourcen verbraucht. Eine separate Stromversorgung könnte bei Bedarf angeschlossen werden. Die Technik soll sich zum Beispiel auch für den Schutz von Geldautomaten und anderen spezialisierten Rechnern eignen.

Die im Gerät gespeicherte Virendatenbank kann in einem zwei-stufigen Prozess aktualisiert werden. Zunächst lädt eine kryptografisch gesicherte Anwendung die Updates in einen dafür vorgesehenen, isolierten Bereich des Geräts. Dieses verifiziert dann die Integrität der Updates und aktualisiert dann seine Datenbank.
Die von Oleg Zaitsev entwickelte Technik (US-Patent Nr. 7657941) hat noch keinen offiziellen Namen und ein konkretes Produkt hat Kaspersky Lab noch nicht angekündigt.

16.02.2010, 15:31 Uhr

Wurm installiert Browser-Erweiterung

Ein Wurm, der sich per Mail und über P2P-Netze verbreitet, installiert eine Erweiterung in Firefox und Google Chrome, die Suchanfragen abfängt und umleitet.

Image and video hosting by TinyPic

Schädlinge, die sich als BHO (Browser Helper Object) im Internet einnisten, sind schon seit Jahren bekannt. Solche, die ein Add-on in Firefox oder Chrome installieren, haben eher noch Seltenheitswert. Der Wurm Spybot.AKB ist ein Beispiel für einen derartigen Schädling. Er verbreitet sich per Mail und über P2P-Netze.

Luis Corrons berichtet im Blog des spanischen Antivirusherstellers Panda Security über den Wurm, der Mails mit einen vorgeblichen Twitter-Einladung verschickt. Mails mit einem Betreff wie "Your friend invited you to Twitter!" enthalten einen Anhang namens "Invitation Card.zip". Darin steckt eine EXE-Datei, die auf den ersten Blick als JPG-Bild erscheint. Nach dem ersten Namensteil "document.jpg" folgen etliche Leerzeichen und erst dahinter die entscheidende Endung ".exe", die eine ausführbare Datei kennzeichnet.

Wird die Datei geöffnet und ausgeführt, installiert sie eine Browser-Erweiterung in Firefox und Google Chrome. Bei Firefox heißt sie "Firefox security 2.0" und leitet bestimmte Suchanfragen auf Websites um, die weitere Malware enthalten können. Die Liste der Suchbegriffe reicht von Airlines und Antivirus bis Wallpaper und Weather. Diese Websites sind inzwischen nicht mehr erreichbar. Bei Chrome gibt es sich als Google Buzz aus, Googles neuer Twitter-Konkurrent.

Die Verbreitung über P2P-Netze erfolgt, indem sich W32/Spybot.AKB.worm unter diversen Dateinamen in die jeweiligen Download-Verzeichnisse von P2P-Programmen wie eMule, LimeWire, Morpheus oder Kazaa kopiert. Die Dateinamen sollen den Wurm als harmlose Software tarnen, sie lauten zum Beispiel "Adobe Photoshop CS4 crack.exe", "GoogleUpdates.exe" oder "Windows 7 Ultimate keygen.exe", um Benutzer zum Download zu bewegen.

Der Schädling deaktiviert die Benutzerkontensteuerung (UAC) von Windows 7 und Vista und das Ereignisprotokoll. Er trägt sich in der Registry zum automatischen Laden bei jedem Windows-Start ein und in der Firewall-Konfiguration als freigegebenes Programm. Bei Sophos ist der Schädling als W32/Zuggie-A bekannt.

16.02.2010, 16:14 Uhr

Der Zeus-Trojaner meldet sich zurück

Der aus seiner digitalen Versenkung wieder aufgetauchte Datenräuber wurde ursprünglich entworfen, um Bankdaten zu rauben. Nun habe es der Trojaner auf Behörden und den Militärsektor abgesehen.

Die Warnung haben gerade die Sicherheitsbeobachter von Websense ausgegeben. Sie unterstellen Zeus nicht nur ein vereinzeltes Auftauchen, sondern sehen seit Monatsanfang eine ganze Welle von Attacken auf Regierungs- und Militärangehörige. Der Zeus Trojaner, auch Zbot genannt, sammele wie gehabt am liebsten vertrauliche Informationen ein.

Die Malware werde durch gefälschte E-Mails verbreitet, in denen ein respektierter Mitarbeiter der Central Intelligence Agency vor russischen Phishing-Attacken warnt. Ziel sind daher in erster Linie englischsprachige Länder. Die Mail fordert den Empfänger auf, den eingebetteten Link zu klicken, um ein Windows-Update zu installieren. Jenes würde gegen Zeus-Attacken schützen. Die pure Ironie.

Wer so blöd war, sich den Zeus-Bot einzufangen, handelt sich ein Rootkit ein, welches auch gleich noch den Command&Control-Server kontaktiert und veranlasst, eine Konfigurationsdatei zu laden. In der Folge sammelt der Bot Daten und Infos ein, um sie auf einen FTP-Server abzuladen.

16.02.2010 18:32 MSK

Spam-Welle: Schadsoftware tarnt sich als Facebook-Anwendung

Panda warnt vor einer Flut von Spam-E-Mails, deren vermeintlicher Absender Facebook ist. Die E-Mail-Empfänger werden aufgefordert, neuen Nutzungsbedingungen für ihr Facebook-Konto zuzustimmen. Geschehe das nicht in der vorgegebenen Zeit, werde das Facebook-Konto eingeschränkt.

Ihre Zustimmung sollen die Facebook-Nutzer durch das Ausführen einer der E-Mail beiliegenden Anwendung namens agreement.exe erteilen. Wer die Datei ausführt, installiert dadurch eine gefälschte Antiviren-Software auf seinem Rechner und darf sich in Zukunft auf Fantasie-Virenwarnungen gefasst machen, die sich erst durch den Kauf einer "Vollversion" wieder abstellen lassen.

Es ist nicht unwahrscheinlich, dass etliche der Empfänger überhaupt kein Facebook-Konto benutzen. Für Betrüger lohnt sich die Verwendung des großen Namens aber auf jeden Fall - immerhin sind Facebook zufolge weltweit 400 Millionen Nutzer auf Facebook aktiv, da ist die Chance, mit einer solchen Spam-Kampagne eine signifikante Zahl von Opfern zu erreichen, ausgesprochen groß.

[dbo] 16.02.2010

lost+found: Lob, Rückzug, Mudge, Terrorabwehr, Testamente

Lob und Schelte vom Virenautor. Trend Micro hat in einer neuen Version des Zeus-Bots eine Nachricht an die Antivirenhersteller entdeckt. Darin bedankt sich der Autor bei Kasperksy und Avira für neue Herausforderungen und kanzelt Symantec AV und NOD32 als dumm ab.

Nachdem sich nicht bestätigt hat, dass chinesische Spione Hintertüren in Googles E-Mail-Dienst Gmail ausgenutzt haben, um Mails von Dissidenten auszuspähen, distanziert sich auch Bruce Schneier von der Behauptung. Schneier hatte Ende Januar behauptet, die für die US-Regierung eingebauten Hintertüren in Internet-Diensten ermöglichten nicht nur die Terrorabwehr durch die Behörden, sondern öffneten auch Kriminellen die Tore für Spionage und Spam.

Peter Zatko, vielen auch als Mudge von L0pht – der legendären Hackergruppe – bekannt, fängt bei der Defense Advanced Research Projects Agency (DARPA) an, dem offiziellen Forschungs- und Entwicklungszweig des US-Verteidungsministeriums.

Apples Anteil an der Terrorabwehr: Der Hersteller untersagt iTunes-Nutzern, heruntergeladene Anwendungen oder Inhalte für die Entwicklung oder Herstellung nuklearer, chemischer oder biologischer Waffen zu missbrauchen.

Offenbar ist vielen Anwendern in P2P-Netzen nicht klar, dass sie auch selbst auf der eigenen Festplatte abgelegte Daten zum Download anbieten. In einem Test war es zwei Sicherheitsaktivisten möglich, Testamente, private Dokumente und Steuerformulare mit vertraulichen Daten von anderen Anwendern herunterzuladen.

News-Meldung vom 15.02.2010 14:00

Große Sicherheitsumfrage plus Gewinnspiel

Im Rahmen unseres BitDefender-Specials haben wir für Sie eine Umfrage rund um das Thema IT-Sicherheit vorbereitet. Verraten Sie uns, wie Sie es mit der Sicherheit am PC halten. Im Anschluss an die Umfrage bekommen Sie die Chance an einem Gewinnspiel teilzunehmen, bei dem Sie BitDefender Total Security 2010 Family Edition gewinnen können.

Welche Virenlösung setzen Sie ein? War Ihr PC schon einmal verseucht und wenn ja, wie lange ist das her? Zwei von sechs Fragen rund um das Thema IT-Sicherheit, die wir Ihnen im Rahmen unseres BitDefender-Specials stellen. Als Dankeschön haben alle Teilnehmer der Umfrage die Chance, eine von 10 Einjahreslizenzen für BitDefender Total Security 2010 Family Edition im Wert von je 69,95 Euro zu gewinnen. Einsendeschluss ist der 14.3.2010.

BitDefender Total Security 2010 bietet besonders hohen, proaktiven Schutz gegen alle Bedrohungen aus dem Internet und zusätzliche Tune-up und Backup-Funktionalitäten – ohne Ihren PC auszubremsen

Bestandteile und Vorteile:

* Gefahrlos Dateien von Freunden, der Familie, Kollegen und sogar völlig Fremden herunterladen, tauschen und öffnen!

* Schützen Sie Ihre Privatsphäre: Einkaufen, Online-Banking, Musik hören, Filme schauen - sicher und ungestört

* Schützen Sie Ihre Chats durch eine Top-Verschlüsselung

* Verbinden Sie sich unbesorgt mit jedem Netzwerk - ob zu Hause, im Büro oder unterwegs

* Schützen Sie Ihre Familie und deren Computer

* Sicher spielen, ungestört spielen

* Profitieren Sie von der verbesserten Leistungsfähigkeit Ihres Computers!

Die Family Edition von BitDefender Total Security 2010 kann auf maximal 3 PCs eingesetzt werden.

Zur Sicherheitsumfrage und dem Gewinnspiel

16.02.2010, 09:50 Uhr

Montag, 15. Februar 2010

Hacker als Publikumsliebling in Hollywood

Wenig Sympathie wird der agierende Cyber-Untergrund von denjenigen erfahren, welche ihr Firmennetzwerk Tag für Tag von innen und außen gegen virtuelle Angriffe wappnen muss. In den vergangenen Jahren scheint sich jedoch außerhalb dieser IT-Welt das Bild der Hackerszene „positiv“ verändert zu haben, was eine irische Studie belegt, der zu folge insgesamt 50 Filme für die Forscher untersucht wurden.

Ein Forscher der School of Computing am Dublin Institute of Technology, Damian Gordon, untersuchte für diese Studie unterschiedliche Filme aus dem Zeitraum der vergangenen vier Jahrzehnte. Darunter befanden sich auch Blockbuster wie Jurassic Park oder Matrix. Die Untersuchung kam zu interessanten Ergebnissen. Der Studie lagen insgesamt 50 Filme zugrunde, in welchen sich mindestens ein herausstreichender Charakter mit dem Thema Hacking beschäftigt.

Hierbei wurde deutlich, dass in den untersuchten Filmen rund 44 Hacker in ihren Rollen eindeutig eine positive und lediglich zehn eine negative Darstellung erhielten. Vor den Folgen warnt Gordon ohne Umschweife, denn es bestehe Gefahr, dass die stereotype Definition eines Hackers unter Umständen leicht in die Irre führen könne. Die Popkultur werde durch sie durchdrungen und könnte könne möglicherweise den Gesetzgeber von echten Gefahren im Internet ablenken. Die Untersuchung führte jedoch gleichzeitig zu dem Ergebnis, dass die Filme nicht hauptsächlich zur Vermittlung des Bildes, bei Hackern handele es sich um kleinkriminelle Teenager, beitrage.

Die Hacker, welche in den Filmen dargestellt wurden, waren meistens weit über dieses Alter hinaus. 19 Hacker-Charakter wurden insgesamt als Beschäftigte der Computerindustrie angesiedelt, zwölf waren Studenten, 17 wurden als Vollzeit-Hacker bezeichnet und zwölf stammten aus anderen Berufen.

15.02.2010 18:04 MSK

Sonntag, 14. Februar 2010

Spion gegen Spion

Das bei Kriminellen beliebte Botnetz-Toolkit ZeuS bekommt offenbar einen Konkurrenten: SpyEye. Die neueste Version des vermutlich aus Russland stammenden SpyEye Toolkits bringt laut Analyse von Symantec sogar eine Option mit, auf infizierten Windows-PCs einen eventuell vorhandenen Zeus-Banking-Trojaner zu elimineren. Das Toolkit ermöglicht dem Nutzer der Botnet-Software eine Individualisierung seiner Bots, wobei er vor einem Build-Prozess neben einem Schlüssel zur verschlüsselten Kommunikation auch den Pfad zu einem Command&Control-Server angeben kann.

Die Beschreibung von Symantec verdeutlicht, wie einfach es für Kriminelle mittlerweile ist, andere Anwender auszuspionieren. SpyEye bringt einen Formgrabber mit, der Inhalte von Webformularen ausliest – dazu gehören auch die etwa vom Browser auf bestimmten Seite automatisch eingetragenen Nutzernamen und Passswörter. SpyEye kann zudem POP3-Mail-Verkehr, FTP-Verkehr und Daten bei Logins auf Webseiten mitlesen.

Der Bot wird beispielsweise per Mails an Opfer verteilt. Der Command&Control-Server ermöglicht zudem über eine komfortable Bedienoberfläche Daten von Bots zu sammeln sowie weitere Dateien mit Schadcode auf die Bots zu laden. Zwar machen es moderne Toolkits auch dem weniger befähigten Kriminellen offenbar leicht, allerdings gibt es trotzdem Fallstricke. Mitte 2009 zerstörte sich ein 100.000 ZeuS-Bots umfassendes Netz selbst – möglicherweise aufgrund einer Fehlbedienung.

Auch preislich macht das in Untergrundforen angebotene SpyEye-Toolkit dem ZeuS-Toolkit Konkurrenz. ZeuS wird zwischen 400 und 700 US-Dollar verkauft, SpyEye ist für 500 US-Dollar zu haben. Virenautoren konkurrieren seit Längerem um die Kontrolle von Windows-PCs. Während Würmer sich erstmals 2004 bekriegten, war ein Kampf um das größte Botnetz verschiedener Virenbastler erstmals 2007 zu beobachten. Zuletzt rangelten die Bot-Herder von Srizbi, Mega-D, Rustock, Pushdo und dem Sturmwurm um die größten Stücke vom Spam-Kuchen. ZeuS und SpyEye sind hingegen reine Datendiebstahl-Bots, die nativ keine Funktionen zum Versenden von Spam enthalten.

News-Meldung vom 10.02.2010 12:20