ratNetw0rk Statistik

Freitag, 30. April 2010

Erkennen von Botnet Command and Control Servern

Hier habe ich ein Whitepaper gefunden welches zeigt wie man C&C Server an Hand des Netzwerktraffics finden kann. http://www.cs.purdue.edu/homes/bertino/426Fall2009/17_botsniffer_detecting_botnet.pdf

01.05.2010 08:38 Uhr

Mittwoch, 28. April 2010

Storm Worm is back

Der seit langem tot geglaubte Storm Worm ist zurück und füllt die Email Postfächer vieler User mit Viagra und anderen Spam.Seinen Namen erhielt der Sturm-Wurm, der strenggenommen gar kein Wurm, sondern ein Trojan-Downloader ist, durch infizierte Mails zu Sensationsmeldungen rund um den Orkan Kyrill.Es wurde spekuliert das die Betreiber des Botnetzes die Architektur überarbeiten wollen da viele Vierenspezialisten dem Bot mit Analysen zu sehr auf die Pelle rückten.

Möglicherweisen wurden die Storm Betreiber aber auch von anderen Botnetzbetreibern wie (Srizbi, Mega-D, Rustock, Pushdo und Sinowal) vom Markt verdrängt.Eine Analyse vom HoneyPot Project zeigt das die neue Version Unterschiede zum Original aufweist.So soll die Verbindung zwischen Bot und Server komplett über HTTP laufen und Peer-to-Peer garnicht mehr verwendet wird.

Nach Meinung einiger Forscher könnte der Originalcode weiterverkauft worden sein, was bedeuten würde das die neue Version einen neuen Betreiber haben könnte.

28.04.2010 15:15 Uhr

Dienstag, 27. April 2010

Zeiten ändern sich…

Mal etwas lustiges was ich bei Panda gefunden habe ^^



27.04.2010 20:29 uhr

Buffer Overflow im Poison-Ivy RAT

Andrzej Dereszowski hat in einem präparierten PDF-Dokument die frei verfügbaren "Remote Administration Software" Poison Ivy entdeckt.

Bei der Analysen der Command&Control-Software fand er einen Buffer Overflow, der sich ausnutzen läst, um Code für einen eigenen Backdoor einzuschleusen und zu starten.



Andrzej Dereszowski, Targeted attacks: From being a victim to counter attacking

27.04.2010 20:24 Uhr

Montag, 26. April 2010

SpyEye vs ZeUs

Symantec hat in einem früheren Blogeintrag über die Kill-Funktion von SpyEye berichtet und demonstriert diese nun in einem Video.Die Analyse hat gezeigt, dass die Kill-Funktion für Zeus bis auf eine wenig begrenzte Anzahl von Zeus Versionen zu funktionieren scheint.

Das folgende Video zeigt, was passiert, wenn ein Computer von Trojan.Zbot kompromittiert und anschließend mit Trojan.Spyeye und der Zeus Kill-Funktion infiziert wird (wenn sie richtig funktioniert).




26.04.2010 20:47 Uhr

Donnerstag, 22. April 2010

Firefox im Visier von Zeus

Zeus ist ein Malware-Baukasten, der in der aktuellen Version für 1000 Euro angeboten wird.Zusatzmodule für erweiterte Funktionen wie VNC (Remote Desktop) kosten bis zu 10.000 Euro.Bislang waren lediglich Benutzer des Internet Explorer leichte Beute für den Datenspion. Doch Trusteer meint, Zeus könne nun auch die Schutzmaßnahmen von Firefox knacken, um Benutzereingaben abfangen und manipulieren zu können.



Der Zeus-Programmierer hat offenbar einen Weg gefunden Anmeldedaten für Online-Dienste auch von Firefox-Nutzern zu stehlen.Trusteer meldet, es habe Zeus-Malware auf jedem 3000sten Rechner in Großbritannien und den USA gefunden.Trusteer ist Sicherheitsdienstleister für Banken und bietet deren Kunden eine speziell gesicherte Version von Firefox an. Ein Plug-in soll Online-Banking durch Bank-spezifische Verschlüsselung sicherer machen als mit der Standardversion von Firefox.

Symantec hat im Jahr 2009 etwa 90.000 verschiedene Zeus-Varianten gefunden. Trusteer meint, die Erkennungsrate von Antivirusprogrammen für Zeus-Malware liege nur bei etwa 23 Prozent.Wer Online-Banking nutzt, sollte besondere Vorsichtsmaßnahmen ergreifen. Das kann zum Beispiel eine nur für diesen Zweck verwendete virtuelle Maschine sein oder eine spezielle Boot-CD, etwa eine Linux-Live-CD, die auch auf einem verseuchten PC sicheres Online-Banking ermöglicht.

23.04.2010 07:50 Uhr

Zbot jetzt mit Datei-Infektions Techniken

Eine kürzlich entdeckte Variante des Zeus-Bot´s sucht nach ausführbaren Dateien und injiziert die Dateien mit 512 Byte-Code. Dann ändert Zeus den entry point so dass er an der Spitze des injizierten Code ist.

Der eingeschleuste Code ist einfach und führt folgenden Aktionen aus:
Downloads a file from a URL embedded in the code.
Executes the downloaded file.
Executes the original code.

Ein Teil eines injizierten Codes
Image and video hosting by TinyPic

Obwohl Antivirus-Produkte die Hauptkomponente des Trojaners löschen können bleibt der Code in der infizierte Datei, so dass der Trojaner weitere Updates herunterladen kann um das System erneut zu Infizieren.

Dies ist nicht das erste Mal dass diese Methode benutzt wird,bereit´s Trojan.Downexec verwendete die gleiche Methode um Dateien zu infizieren. Unabhängig davon ist es offensichtlich dass Trojan.Zbot noch nicht fertig entwickelt ist und Nutzer weiterhin auf der Hut sein müssen um sich gegen eine Infektion zu schützen.

22.04.2010 13:43 Uhr

Mittwoch, 21. April 2010

Deutschland das Land der Infizierten Computer

Symantec hat ihren Jährlichen Internet Security Threat Report veröffentlicht,in dem die Gefahren aufgelistet sind denen Internet-Nutzer ausgesetzt sind.Aus dem Bericht geht hervor, dass in Deutschland die meisten mit Bots verseuchten Rechner der gesamten EMEA-Region stehen.Rund fünf Millionen Deutsche Computer werden von den zehn größten Botnetzen gesteuert.



Etwa zwölf Prozent der Malware-Aktivitäten in Europa entfallen auf Deutschland, weltweit betrachtet sind es fünf Prozent.Im Bereich Botnetze führt Deutschland sogar die gesamte EMEA-Region ((Europa, Mittlerer Osten) an.Weltweit gesehen ist Deutschland aber nur mit 7% der von Botnetzen gesteuerten Computer dabei.Ein Viertel der in Europa angesiedelten Kontroll-Server für Botnetze steht in Deutschland.

Die Anzahl neuer Schädlingsvarianten hat sich 2009 gegenüber 2008 auf über 240 Millionen verdoppelt.Oft handelt es sich um komplexe Malware-Pakete, die Mischformen oder mehrere Schädlinge enthalten, kommen in der Summe weit mehr als 100 Prozent heraus.Wer meint, er habe noch nie mit Malware zu tun gehabt und könne daher auf Antivirus-Software verzichten,stellt eine Gefahr für alle anderen darstellen.

21.04.2010 19:52 Uhr

Another look at Koobface

Koobface macht mal wider die runde durch Facebook und Tricks mit ausgefeilten Social Engineering Taktien die User aus.


HINWEIS: Der Ton ist nicht vollständig mit den Maßnahmen in dem Video synchronisiert.

Weitere Informationen über die Koobface gibt es hier "What is Koobface?" sowie diese Beschreibungen von früheren Versionen des Wurms aus dem ESET Threat Encyclopedia: Win32/Koobface.NBH und Win32/Koobface.NCF

21.04.2010 09:56 Uhr

Dienstag, 20. April 2010

The State of the Internet von Akamai

Akamai hat ihren Report für das 4 Quartal 2009 veröffentlicht in dem sie mal wieder die Lage des Internets deutlich machen.Russland bleib dabei mit 13% auf Platz 1 der Cyberkriminalität.Auf Platz 2 liegen die USA mit 12% und China auf Platz 3 mit 7,5%.


Der häufigsten attackierte Port ist 445

Die PDF steht hier zum Download bereit.


20.04.2010 16:20 Uhr

Freitag, 16. April 2010

Y - Das Magazin der Bundeswehr

Punkt 2 hat mich fast vom Stuhl gehauen :-)



16.04.2010 16:12 Uhr

Gilde der Cyberkriminellen greift World of Warcraft-Spieler an

In meinem E-Mail Postfach habe ich vor ein paar Tagen eine E-Mail gefunden die auf Spieler des Online Rollenspielt World of Warcraft zielt.

Inhalt der Mail


Hinter dem Link http://www.worldofwarcraft.com verbirgt sich eine weitere Adresse http://www.worldofwarcraft-foget.info. Versucht man mit Opera und Firefox die Seite zu besuchen schlägt gleich der Integrierte Betrugsschutz des Browsers an und verbietet den Zugriff.





Auf dem Blog von Bitdefender gibt es zu einer ähnlichen E-Mail weitere News und Infos.

16.04.2010 13:05 Uhr

DDoS-Angriff auf Optus

Der Australische ISP Optus wurde gestern Opfer einer DDoS-Attacke aus China.Die Attacke legte gestern mehrere Server lahm so das viele Kunden nicht auf Websites oder ihre E-Mails zugreifen konnten.Mittlerweile ist die Internet-Störung ist behoben erklärte Optus-Tochter Uecomm in einem Internet-Forum (Whirlpool) gegenüber eines Nutzers.Netzwerk- und Upstream-Provider haben den Verkehr gefiltert, um den Datenfluss wiederherzustellen.

Die Störung begann gegen 13:10 Uhr Ortszeit (5.10 Uhr MESZ) und wurde gegen 15:25 Uhr beseitigt laut Optus.Es sei ein "technisches Problem" mit einer internationalen Datenleitung aufgetreten, die Optus mit den USA verbinde. Grund dafür sei ein DDoS-Angriff gewesen.Über die Herkunft wollte Optus keine Angaben machen und hüllt sich im Mantel des Schweigens.

16.04.2010 13:26 Uhr

Donnerstag, 15. April 2010

Die düsteren Geheimnisse der Technik-Branche

Auf PcWelt gibt es seit heute eine liste von Geheimnissen der Technik-Branche.
In einem der Artikel wird davon berichtet das es Hackern möglich sei die kontrolle über einen Defibrillator zu erlangen um damit ein gefährliches Kammerflimmern beim Patienten zu erzeugen.

1 Die düsteren Geheimnisse der Technik-Branche
2 Handys bringen keine Flugzeuge zum Absturz
3 Von wegen "Private Browsing"...
4 Viel zu teure Druckertinte
5 Wenn Google Sie verpfeift...
6 Der Feind in Ihrem Körper
7 Ihr PC könnte Sie umbringen
8 Ihr Virenprogramm beschützt Sie nicht
9 Ihr Handy: Der geliebte Peilsender
10 Subventioniert heißt nicht immer günstig
11 Ihre Webcam weiß, was Sie letzten Sommer getan haben
12 Überwachung am Arbeitsplatz
13 Soziale Netzwerke vergessen nie
14 Facebook wirft ein Auge auf Sie

Hier der Link zum Bericht.

15.04.2010 18:13 Uhr

Fake Antivirus manipuliert Task Manager

Kaspersky hat heute in ihrem Blog einen Bericht veröffentlicht der zeigt wie gefährlich Falsche Antivirensoftware ist und welche Taktiken sie verwenden. Vor wenigen Tagen ist ein Guter Freund von mir auch beim Surfen durch das WWW auf einen solchen Fake AV hereingefallen.

Besonders Menschen die sich mit so was nicht auskennen wie Mama, Papa und Schwesterchen fallen oft auf die Falschen Meldungen der Fake AV´s herein.Die Falsche Antivirensfotware die sich auf dem Pc meines Kumpels eingenistet hat verhindert den Start und die Ausführung von echten Antivirenprogrammen so wie von einigen Securitytools von Windows Sysinternals.


15.04.2010 17:56 Uhr

Sonntag, 11. April 2010

Pay Per Install - Das Neue Malware Distribution Network

Malware wird nicht mehr geschrieben um Ruhm und Berühmtheit zu erlangen. Es geht um Geld das durch ein großes Geschäftsmodell abgedeckt wird. Die Malware Verteilungstechniken haben eine grundlegende Veränderung im Laufe der Jahre durchgemacht. Während bekannte Würmer wie Lsasser oder RPC-Dcom noch durch Sicherheitslücken im System ohne eine Interaktion des Nutzers verbreiteten gibt es heut zu Tage clientseitige Angriffe die sich auf Schwachstellen in Anwendungen von Browsern und Plug-ins beschränken. Dabei müssen die Ahnungslosen Opfer durch Social Engineering Tricks gebracht werden eine Dubiose Webseite zu besuchen oder aber einen E-Mail Anhang zu öffnen.

Um dieses Problem zu lösen, haben Malware-Autoren sich ein neues Geschäftsmodel einfallen lassen “pay-per-install.”Das ist kein neues Online-Konzept und hat seine Wurzeln in der Online-Werbung und Porno Branchen.

Pay-Per-Install (Bezahlung pro Installation) ist ein Vergütungsmodell aus dem Bereich Affiliate-Marketing und wird gelegentlich auch dem Pay per Lead Modell zugeordnet. In diesem Fall wird die Installation von Software auf einem Computer an denjenigen vergütet, der die Installationsdatei mit seinem Identifikationscode versehen und zum Download angeboten hat. Üblich sind fixe Provisionen von 0,10 € bis 1,50 €.

Unten sehen sie die wohl bekanntesten Dienste für Pay-Per-Install.




In einschlägigen Foren werden die Besten dieser Dienste angeboten.


Symantec hat dazu ein neues Whitepaper zum Download bereit gestellt in dem sie zeigen wie dieses neue Geschäftsmodel funktioniert Pay Per Install – The New Malware Distribution Network.

11.04.2010 20:32 Uhr

Freitag, 9. April 2010

Neu im Archiv

Ich habe neue Tools im Downloadbereich Hinzugefügt.

1. Malzilla: Malware hunting tool und Jode

In meiner Toolliste habe ich die Seite http://jsunpack.jeek.org/dec/go hinzugefügt.

09.04.2010 15:15 Uhr

PandaTV #40 - Quartalsbericht 2010, Top 3 AV Software, Newsletter-Aktion

Donnerstag, 8. April 2010

Neue Entschlüsselungstaktik bei Bank-Trojanern in Brasilien

Dmitry Bestuzhev von Kaspersky hat vor einiger Zeit einen Artikel darüber geschrieben wie die Bank-Trojaner in Brasilien funktionieren.Nun versuchen die Programmiere ihr Techniken mit neuen Entschlüsselungstaktiken zu verbessern.Dmitry Bestuzhev hat dazu ein Sample bearbeitet welches zeigt das der Underground seine Fähigkeiten zu verbessern und die Komplexität ihrer Methoden zur Infizierung von Computern permanent erhöht.

Der Ansatz ist noch der gleiche.

Versenden einer betrügerischen E-Mail mit einem Link zu einer infizierten Webseite ----> Download und Ausführen des ersten Trojaner-Downloader ----> Download und Installation der Bank-Trojaner

Die Brasilianischen Programmierer verbergen den Download-Link unter Verwendung mehrerer Techniken und andererseits entschlüsseln sie nun auch den Bank-Trojaner, der auf das System geladen werden soll.

Erkennt der Anwender den betrügerischen Link und versucht den dahinterliegenden Trojaner herunterzuladen,bekommt er folgendes Bild zu sehen.



Hier handelt es sich um eine Speziell entschlüsselte PE-Datei.Die Programmierer aus Brasilien wollen damit einer automatisierten Malware-Analyse durch AV-Unternehmen umgehen.Das vom Server heruntergeladene Sample funktioniert solange nicht bis es vom ersten Trojaner-Downloader mit dem Entschlüsselungs-mechanismus Entschlüsselt wird.



Nach der Entschlüsselung ist der Bank-Trojaner als Ausführungsprogramm (PE-Datei) zu erkennen und kann das System Infizieren.



Kaspersky Antivirus erkannte das Sample als Trojan-Banker.Win32.Banker.aumz und konzentriert seine Angriffe auf die Kunden der drei größten Banken Brasiliens.

Quelle: http://www.viruslist.com

08.04.2010 15:21 Uhr

Mittwoch, 7. April 2010

Panda Cloud Antivirus

"Panda Cloud Antivirus" ist ein innovativer Virenscanner, der auf Cloud-Computing setzt.

Image and video hosting by TinyPic

Nicht nur Hacker setzen auf die immer größere Verbreitung Cloud-basierter Dienste. Während Angreifer sich durch das dezentrale Hosting von Malware versprechen einfacher Spam und Schadcode zu verteilen, setzen Entwickler von Sicherheitstools auf vorteilhafte Abwehrmechanismen.

So sollen dank der "Collective Intelligence" deutlich mehr schädliche Programme erkannt und trotzdem nur rund ein Zehntel der bisher üblichen System-Ressourcen verbraucht werden. Panda setzt damit wohl auf die immer größere Anzahl von Netbook-Nutzern, die häufig im Internet unterwegs sind.


Quelle: Panda Security
Quelle: chip.de

PandaTV #39 Schutz vor Speicherkarten, Spam-Analyse 2010, CloudAntivirus ICSA-zertifiziert



07.04.2010 14:09 Uhr

Was ist Cloud und wie Funktioniert es

Das neu gefundene GhostNet 2.0 verwendet Cloud Technologie und dazu habe ich hier mal ein paar Informationen wie Cloud funktioniert.

Link: Was ist Cloud-Technologie?


Auch Wikipedia hat dazu etwas zu sagen Cloud Computing

Dienstag, 6. April 2010

Ghostnet 2.0: Spionagenetz nutzt Dienste in der Cloud

Ich selber habe noch keine eigenen Quellen und Information zu diesem Botnet und verweise mal auf den Text von heise Security.

Das vor rund einem Jahr aufgedeckte Spionagenetzwerk Ghostnet ist einer weitergehenden Untersuchung zufolge noch viel größer und ausgefeilter als bislang angenommen. Das berichten das Munk Centre for International Studies, der Information Warfare Monitor, die SecDevGroup und die Shadowserver Foundation in einer am heutigen Dienstag veröffentlichten Studie "Shadows in the Cloud". Im Wesentlichen handelt es sich bei Ghostnet um ein Botnetz, über das Malware zur Spionage verteilt und gesteuert wird.

Wissenschafter des in Toronto ansässigen Munk Centre for International Studies hatten Ende März 2009 bei einer Überprüfung des Rechnersystems der in Indien residierenden tibetischen Exil-Regierung des Dalai Lama das bislang größte computergesteuerte Spionage-Netzwerk entdeckt. Das von ihnen als Ghostnet bezeichnete Netzwerk wurde von fast ausschließlich in China stationierten Rechnern kontrolliert und hatte in zwei Jahren 1295 Rechner in 103 Ländern infiltriert.

Den neuen Analysen zufolge zielten die Spionageangriffe hauptsächlich auf Indien, die tibetische Exilregierung und die Vereinten Nationen. Bei der Verfolgung der Spuren sei man auf als geheim und vertraulich eingestufte Dokumente der indischen Regierung gestoßen, in denen es unter anderem um die Sicherheitslage in indischen Bundesstaaten oder Beziehungen Indiens zu anderen Ländern gegangen sei. Aus dem Büro des Dalai Lama seien 1500 E-Mails aus der Zeit zwischen Januar und November 2009 ausgekundschaftet worden.

Die Angreifer nutzen laut Bericht zur Kontrolle des Botnetzes mittlerweile Cloud-Techniken wie Googles AppEngine, um die Spionagedrohnen zu steuern und ihre Infrastruktur so zuverlässig wie möglich zu machen. Zudem setzen sie zur Kommunikation auch Plattformen für soziale Netze, wie Twitter, Google Groups und Blogs. Die Spuren der Angreifer sollen in die Hauptstadt der chinesischen Provinz Sichuan in Südwestchina Chengdu führen. Die chinesische Regierung wies den Vorwurf einer möglichen Verwicklung unterdessen umgehend zurück. Die Sprecherin des Außenministeriums, Jiang Yu, sagte vor der Presse in Peking, China lehne Cyber-Verbrechen entschieden ab und gehe gegen Hacker vor. Solche Attacken seien ein internationales Problem.

Quelle: http://www.heise.de

Sonntag, 4. April 2010

Phishing Database V

Financial and banking institutions
HSBC (http://www.hsbc.com)
http://www.ellerencontre.com//forum/add/verify/HSBCINTEGRATIONCAM10jsessionid=00001DwpIt0wIyX1arHd6K8mQB6URL=hsbc.MyHSBCpib/hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://www.mygrowshop.com/GiantSolutions/includes/hsbc.co.uk/HSBCINTEGRATIONCAM10;js/Register%20forInternetBanking/IBlogin.html
http://www.wings-of-germany.de/language/IBlogin.html
http://www.sugardaddy-match.com/wages/IBlogin.html
http://stalamsink.carpfun.nl/upgrade/IBlogin.html
http://www.taosmotors.net/wages/IBlogin.html
http://werlondik.com/brhsbc.co.uk/1/index.php
http://werlondik.com/security.hsbc.co.uk/1/index.php
http://holetyx.com/hssbc.co.uk/1/index.php
http://ballmeon.com/hhsbc.co.uk/1/index.php
http://derbysik.com/brhsbc.co.uk/1/index.php
http://www.janefrancesphotography.net/images/large/families/IBlogin.html
http://www.academy-uk.net/academy/teacher/images/IBlogin.html
http://lamourencouleurs.fr/emailimages/eefs/verify/HSBCINTEGRATIONCAM10jsessionid=00001DwpIt0wIyX1arHd6K8mQB6URL=hsbc.MyHSBCpib/hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://hsbc-online.etvx.info/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://palizada.org/images/hsbc/1.php?jsessionid=CAM10:jsessionid=0000RcSVT4vYF7HNB8AsppR8HRo:11j71fovq?IDV_URL=hsbc.MyHSBC_pib
http://www.mytime-jewelry.com//administrator/components/com_virtuemart/IBlogin.html
http://www.beavertonletip.com/IBlogin.html
http://www.diningonthego.com/wages/IBlogin.html
http://www.webseomarketing.com/wages/IBlogin.html
http://werlondik.com/brhsbc.co.uk/1/index.php
http://werlondik.com/security.hsbc.co.uk/1/index.php
http://holetyx.com/security.hsbc.co.uk/1/index.php
http://teachers-corner.co.uk/wp-includes/images/smilies/_notes/IBlogin.html
http://ynzal.com/catalog/images/gds/hsbc=HSBCINTEGRATION;jsessionid=0000BZUYYF_dAUw4Iqqlvb4F3RR/index.php
http://www.artbyonlineoriginals.com/images/mail/IBlogin.htm
http://online-credit-repair-info.com/images/IBlogin.html
http://hsbc-online.at-le-bar.com/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://www.londontaxis.info/wages/IBlogin.html
http://iomtt.com.ar/hsbc-online//1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://hsbc.gaadi.eu/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://hsbc.mobilenew.co.uk/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://hsbc-online.fitnessage.com.sg/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://hsbc-online.urtava.com/1/2/HSBCINTEGRATION/CAM10;jsessionid=0000tva9NQkofu4NIM7pUel5Tvn11j5bfvduIDV_URL=hsbc.MyHSBC_pib/index.html
http://johnbarresi.com.au//proeye/proeye2/hsbcbankuk/index.html
http://aspiration.centrale.free.fr/custom/include/index.html
http://lloydsite.org/ib/CAM10-jsessionid=000026MQ7KnXUxsKmiYKszFUkGJ12c58ti63.htm
http://www.oranaarts.com/files/hsbc.onlinebanki/index.htm
http://www.sueoverton.com//mambots/editors/tinymce/jscripts/tiny_mce/editorial.html
http://leverx.ru/hsbcbankuk/index.html
http://gcitizen.org/wp-includes/images/crystal/IBlogin.html
http://jeanjacquesestager.free.fr/_private/IBlogin.php
http://brabantbusinessclub.be/uploads/images/employees/IBlogin.html



ICICI Bank (www.icicibank.com)
http://mrquibble.com/sqladmin/themes/original/img/onlineverification.do/indexx.html



Banco Do Brasil (www.bb.com.br)
http://www.portalbancodobrasilnet.com/portalbb/aapf/login/index.bb



Bradesco (www.bradesco.com.br)
http://www.badminton.hr/logs/bradescorecadastramento.com.br/?http://www.bradesco.com.br
http://www.sodagri.net/Bradesco.com.br/scripts/ib2k1.dll/LOGIN.php
http://www.neetbankingg.com/desco/log/site/
http://simbrasegu.dominiotemporario.com/Bradesco/LOGIN.php

NAB - National Australia Bank (www.nab.com.au)
http://www.jbngems.com/editors/nab/

BBVA (www.bbva.com)
http://74.54.17.82/~lalampar/provincial.com/tlvz/index.html
http://81.4.128.110:8011/www.bbva.es/TLBS/tlbs/esp/segmento/particulares/index.htm
http://www.servicio-bbva.es.frostmaster.com/TBLS/segmento/particulares/index.htm

Bank of America (http://www.bankofamerica.com)
http://www.flagontheplay.co.uk/classifieds/yellow_images/update.bankofamerica.com/update.bankofamerica.com/securedspot/verify/cmThkRqcUe5qBbIUMLTMUxjVXHuoiRBMC8Qg1BHav4pYFzembFoENcG1gf3H4PaiYU4h/securedpage/
platinum.tritoncore.com/~grafix90/bnkofamericasitykeybknofamerica/signon.php?section=signinpage&update=&cookiecheck=yes&destination=nba/signin
http://www.atcn.com.ng/boa/ibc1/www.boa.com/boa.online/onlinebankingofamerica.com/index.htm
http://www.jeondae.es.kr/images/IRS/Bofa/index.htm

Wells Fargo (www.wellsfargo.com)
http://www.jeondae.es.kr/images/IRS/Wellsfargo/index.html

ING Direct (www.ingdirect.com)
http://www.jeondae.es.kr/images/IRS/INGDirect/index.html

KeyBank (https://www.key.com)
http://www.jeondae.es.kr/images/IRS/Key/index.html

MasterCard (www.mastercard.com)
http://www.mitraogan.co.id/mo24/email/secure.mastercard384912/index.php

NedBank (www.nedbank.co.za)
http://www.abcidealpartners.com/SARS/SARS/SARS/Nedbank/index.html
http://www.design-daisy.com/images/NedBank/NedBank/Internet-Banking.html



FNB - Fist National Bank (www.fnb.co.za)
The same website contains another phishing package but oriented to another bank in South Africa: FNB.



http://www.abcidealpartners.com/SARS/SARS/SARS/FNB/index.html
http://eugenechang.com/2008/05/index.html

Standard Bank (www.standardbank.com)
http://www.abcidealpartners.com/SARS/SARS/SARS/Standard/index.html

Poste Italiane (www.poste.it)
http://muflexx.com/folder/1.php?logon=myposte
http://youeme.com/_server/https/www.poste.it/bancoposta/online/_private/bpol/CARTEPRE/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid=
http://www.ccllbb.org/bancopostaonline.poste.it/bpol/CARTEPRE/index.php?MfcISAPICommand=SignInFPP&UsingSSL=1&email=&userid=
http://www.opensourcedeal.com/images/poste/login.html

CartaSI (www.cartasi.it)
http://titolaricartasi.myvnc.com/portale.carta.it/
http://https.universal.pay.secure.code.international.electronic-product.net/titolari.carlasi.it/portaleTitolari/login.html
http://webmail.orbit.net.pk/manual/search/.redirect.tirolari.cartasi.it.portal/index.html

Interbank (www.interbank.com.pe)
http://aditivos.com.sv/includes/fileman/includes/www.interbank.com.pe/

SunTrust (www.suntrust.com)
http://onpointservice.com/www.suntrust.com/portal/server.pt/?session=9e50b36bb2497496c6398461a2082fcc9cf45c66fcb67ddc44b04dafa0a2065399f6f9353fb42e260a8def4e4e0af2ca
http://onmgroup.org/www.suntrust.com/portal/server.pt/?session=9e50b36bb2497496c6398461a2082fcc9cf45c66fcb67ddc44b04dafa0a2065399f6f9353fb42e260a8def4e4e0af2ca

National City (www.nationalcity.com)
http://www.jeondae.es.kr/images/IRS/NationalCity/index.html

egg (http://www.egg.com)
http://rainandbeauty.com/1/images/yourmoney.html
http://www.tdfa.org.tw/19/imageinstore/aspx.html

E-Commerce
PayPal (https://www.paypal.com)
http://paypal.heart4rent.com/
http://gestion-assistance.com/images/Acti-vat-ion/Pay-PaI/web-scr_cmd-__login-submit=88d4dd2s/paypal/webscr.php?cmd=_login-run&dispatch=58fhgh80a13c0db1f998ca054efbdf2c29878a4dfg35fe3dfg24eec251dfg17984bfsdfgfg3e9efc43be68afde3b5a1f8bc51e57a603005e43be68afde3b5a1f8bc51e57a603005e
http://verifmycard.javabien.fr/paypal.fr/cgi-bin/updates-paypal/confirm-paypal/confirm.html
http://sec-ng.com/cgi-biin/confirm-info/bssdsdwdf441dsf5545dsf211s/
http://66.49.189.144/users/sunshine/paypal/cgi-bin/webscr&cmd=_login-run/?flagged&account=_login-run
http://visiotex.com/www.paypal.com/us/cgi-bin/webscr.php?cmd=_login-run&dispatchMessage-ID
http://www.lastudioart.com/recupera/details.html?cmd=_login-done&login_access=1193476743
http://fousad.limewebs.com/www.PyPaL.fr/www.PyPaL.fr/online-securise/fr_cgi-bin/webscrcmd=_login-run/webscr.htm?cmd=_login-run&dispatch=5885d80a13c0db1f1ff80d546411d7f84f1036d8f209d3d19ebb6f4eeec8bd0e600503ac90b3469c8ae903c553e3dc43600503ac90b3469c8ae903c553e3dc43
http://210.109.7.34/paypal/index.html
http://www.wishfoundation.in/images/paypal-verify/paypal-verify/de/confirm/
http://davethecomputerdoctor.com/forum/language/lang_english/email/service-web/PaYpa.L.FR.Comunication/JKLJKLGHJKLHJHJJKLJKLJKLGFKLJDFGKLJSDFKLGSDG5644654D56FG456SDG456SD4G56D4G564SDG564D56G4D56FG456DFG456DSG456DSF4G65SDF4G56D4FG56D4SFG564DSG564SD56G456SDG4DFGJKLSDGJSDFGJKDSLGJKLDSGJKLDJGKLSDJGKJDGJDKLFGJKLDSFJGLKSDJGKLSDJGKLJSDFKGJDKLGJKLDGJKLDGJLKDGJLK/service.connexion.France-Telecom.fr/

eBay (www.ebay.com)
http://budvill.hu/Images/icons/signin.ebay.com.ws.eBayISAPI.dllSignIn&UsingSSL=1&pUserId=&co_partnerId=2&siteid=0&ru=my.ebay.com2Fws2FeBayISAPI.dllFMyMessagesFolderView/


Online Games
World of Warcraft (www.worldofwarcraft.com)
http://us.betiic.net/login/login.htm?ref=https://www.worldofwarcraft.com/account/&app=wam&rhtml=true
http://www.worldofwaracraft-manage.com/
http://www.worldofwarcrazft-login.com/
http://www.account-6.com/wow.html
http://www.blizzardaccount-management.com/
http://us.battxe.net/login/login.html



Social Networks
Orkut (www.orkut.com)
http://orkut2.50webs.com/orkut%20-%20login.htm
http://kirkrjk.t35.com/orkut%20-%20login.htm
http://orkuty-cmm.50webs.com/orkut%20-%20login.htm

Facebook (www.facebook.com)
http://facebook-you.denirulz.org/
http://cassiopea.no-ip.biz/webserver/www.facebook/
http://nabsky.wen.ru/Tools/facebook.php.html

Web Mail
Windows Live (http://login.live.com)
https://signup.live.com/signup.aspx?id=258507&fl=wld2&rollrs=12&lic=1
http://agencia.pro.idoo.com//entrevistadas/login.srf.htm
http://cats.goodoolz.com/
http://login.live.com.nsatc.net/

04.04.2010 12:52 uhr

Quelle: http://malwareint.blogspot.com

Samstag, 3. April 2010

Keine Ehre unter Dieben – auch nicht in Deutschland

Vor ein paar Tagen wurde der von Till7 Programmierte und in Foren Verkaufte v0id Bot Public gemacht sammt Source-Code.Till7 begann den Bot im Februar zu Verkaufen und kurze Zeit später wurde die Verteilung von einem Partner namens “3lite” übernommen.

Der Bot selbst ist in VisualBasic.Net geschrieben.

Image and video hosting by TinyPic

Image and video hosting by TinyPic

Die C&C-Oberfläche bietet folgende Funktionen.

* Aufruf von Webseiten
* Download und Ausführen einer Datei von einer angegebenen Webseite
* E-Mail Spamming und Bombing
* Stehlen von Passwörtern (DynDNS, Filezilla und anderen)
* HTTP und UDP Flooding


Image and video hosting by TinyPic

Im März erschienen die ersten Forumseinträge über den fehlenden Support seitens des Erstellers und Partners. Ein verärgerten Kunden veröffentliche schließlich den frisch erworbene Bot. Der Kunde schrieb zu dieser Veröffentlichung, dass der Bot schlecht sei, sich der Ersteller nicht um seine Kunden kümmere und der Support letztlich nicht mehr erreichbar sei.

im März erschien dann eine Anleitung wie der Bot sich ownen läst (also wie man die Bot-Datei eines anderen verändern muss, um den Bot selbst zu steuern).

Das schlimme an diesem Fall ist, dass der Bot durch die Veröffentlichung nicht verschwand, sondern nun von jedem benutzt werden kann.Interessant an diesem Fall ist die Tatsache, dass alles in deutsch ist, was einmal mehr ein Beispiel für die Existenz eines cyberkriminellen Marktes in Deutschland ist.

03.04.2010 20:07 Uhr

Quelle: http://www.viruslist.com

Donnerstag, 1. April 2010

Schwachstelle Mensch

Auf Kasperskys Blog viruslist.com gibt es einen schönen beitrag darüber wer das schwächste Glied i nder Kette ist.Für jemanden der sich im Bereich IT auskennt wird dieser Text nichts neues sein,aber dennoch ist er nett zu lesen und doch recht Interessant.Was ich besonders gut finde ist das erklärt wird wie an sich ein sicheres Passwort erstellt und auch merken kann,dieses habe ich dieses jahr auch schon auf der Cebit 2010 an vielen Ständen zu sehn bekommen und kann dem nur zustimemn das der heimanwernder aber auch Unternehemn dabei Sensibilisiert werden müssen.Im Büro ist aber nicht nur der Mensch das Schwächste Glied wen der Admin mit dem Netzwerk schludert und auf den Windows Rechnern keine Updates gemacht werden und sie sogar teilweise aus Unseriösen Quellen stammen wie Warezseiten.

>> Schwachstelle Mensch <<

01.04.2010 13:16 Uhr