ratNetw0rk Statistik

Mittwoch, 30. Juni 2010

Virus.Win32.Virut.ce

Kaspersky hat eine Analyse veröffentlicht,die sich mit dem polymorphen Computervirus "Virus.Win32.Virut.ce" beschäftigt.Die Version ".ce" gehört mit zu den Populärsten Schädlinge im Internet. Virus.Win32.Virut.ce nistet sich in Ausführbare Dateien ein und benutzt dabei modernste Techniken um eine Erkennung und Identifizierung so schwer wie möglich zu machen.


Die Programmierer des Virus verwenden Anti-Emulation und Anti-Debugging Techniken,was eine Erkennung möglichst schwer macht. Dabei wird eine Delta-Berechnung verwendet, die mit Hilfe einer Serie von rdtsc-Instruktionen und API-Funktionen GetTickCount erhalten wird. Zudem wird der wiederholte Aufruf „Fake” von API-Funktionen eingesetzt.

Top 20 der entdeckten Viren von Januar 2009 bis Mai 2010


Aktuell ist Virut der einzige Schädling, der einmal pro Woche verändert wird.Damit wollen die Entwickler eine Entdeckung ihres Schädlings verhindern. Interessant dabei ist, dass die neusten Version mit Hilfe infizierter HTML-Dateien ausgeführt wird.

Zum Artikel
Virus.Win32.Virut.ce – ein Abriss

30.06.2010 17:06 Uhr

Dienstag, 22. Juni 2010

Exploit-Kits voller Lücken

Cyberkriminelle investieren Stunden manchmal sogar Tage um Sicherheitslücken in bekannter und weit verbreiteter Software zu finden oder bereits bekannte Exploit-Code für ihre Zwecke zu missbrauchen.Weniger Mühe geben sie sich offenbar mit ihrer eigenen Software, die im Untergrund zu hohen Preisen angeboten wird.

Forscher des französischen Sicherheitsunternehmens Tehtri Security haben einige Exploit-Kits wie "Eleonore", "LuckySploit" oder "Yes Exploit" analysiert und darin insgesamt 13 ausnutzbare Schwachstellen entdeckt.Die Schwachstellen reichen von XSS-Lücken bis hin zur SQL-Injection-Angriffen auf die Datenbank.

Ermittlungsbehörden können in die Kommandozentrale eines laufenden Exploit-Kits vordringen und mehr über die Täter erfahren, eventuell sogar Spuren aufnehmen, die zur Ergreifung der Betreiber führen.

22.06.2010 21:19 Uhr

Donnerstag, 17. Juni 2010

ICQ-Verkauf würde die Verfolgung von Strafverfolgungs Behörden erschweren

AOL plant den Verkauf von ICQ an das russische Unternehmen Digital Sky Technologies (DST),dieses würde laut Financial Times die Strafverfolgung im Internet erschweren.
Durch den Verkauf und der Verlagerung der ICQ-Server nach Russland würden entzögen sich die Server dem Zugriff der US-Ermittler entziehen.

Noch stehen die ICQ-Server in der israelischen Zentrale, wo US-Ermittler in manchen Fällen Zugriff auf Chat-Skripte Verdächtiger haben sollen.Besondere in Russland ist ICQ ein sehr beliebter Dienst: Von 42 Millionen Nutzern sollen allein 19 Million in Russland zu finden sein.ICQ ist besonders bei Internet-Kriminellen ein bevorzugtes Kommunikationsmittel,nach Angaben eines Ermittlers benutzte "Jeder bekannte Kriminelle (dieser Welt) ICQ".

Die Einwände der US-Ermittler sollen dem Committee on Foreign Investment in the US (CFIUS) vorliegen, das Empfehlungen gegen Verkäufe von US-Firmen an ausländische Unternehmen aussprechen kann.

17.06.2010 18:53 Uhr

Mittwoch, 16. Juni 2010

Weniger Malware-Server in China

China neue Richtlinien zur Registrierung chinesischer Domains (.cn) zur Domain-Registrierung zeigen bereits jetzt schon Wirkung. Wen man das vierte Quartals 2009 mit dem ersten Quartal 2010 Vergleicht ist eine Deutlicher Rückgang an Malware-Servern in China zu beobachten.

Bildquelle: PcWelt.de


Yury Namestnikov von Kaspersky Labs untersuchte die Entwicklungen im Malware-Sektor im ersten Quartal dieses Jahres und konnte bobachten wie die Malware-Server von Chinesischen auf russiche Domains wechselten.Chinesischen Domains hatt3en im vierten Quartal 2009 einen Anteil von 32,8 Prozent,wobei der russische Anteil weniger als acht Prozent betrug.

Im ersten Quartal 2010 ist der Anteil chinesischer Domains auf unter 13 Prozent gefallen und der von russischen auf 22,6 Prozent Angestiegen.Auf dem vierten Platz liegen die Niederlande, dicht gefolgt von Spanien und Deutschland.Für das zweite Quartal 2010 erwartet man eine erneute Verschiebung der Verhältnisse und dann wird sich zeigen, ob die neuen russischen Registrierungsbedingungen eine ähnliche Wirkung zeigen wie die chinesischen.

16.06.2010 10:20 Uhr

Dienstag, 15. Juni 2010

Pushdo verwendet Weltcup zur Verbreitung von Malware

M86 Security konnte in den letzten paar Tagen zahlreiche Spam-Kampagnen aus dem Pushdo-Botnet beobachten. Die Kampagnen verfügen über eine HTML-Datei als Anhang und einer Betreffzeilen die die FIFA Fussball-Weltmeisterschaft erwähnt um unvorsichtige Empfänger zu täuschen.

Ein paar der Betreffzeilen:
FIFA World Cup South Africa… bad news
[Recipient Domain] account Information
[Random Email Address] has sent you a birthday ecard.
Reset your Twitter password



Die HTML-Dateianlage enthält folgendes JavaScript:



M86 Security hat verschiedene Varianten dieses Skript entdeckt,aber alles haben die selbe Funktion.



Wenn die Anlage in einem Browser mit aktiviertem JavaScript geöffnet wird, leitet die z.htm unbemerkt auf einen anderen Webserver um.



Diese Seite wartet drei Sekunden und dann leitet der Browser auf eine Canadian Pharmacy Website. Während des Wartens, wird ein versteckter IFrame geladen.M86 Security einige der Verschleierung entfernt, um das Skript in diesem IFrame lesbarer zu machen:



Dieses Skript überprüft jedes Browser-Plugins auf die Wörter "Adobe Acrobat" oder "Adobe PDF".Bei erfolgreichem Fund führt der IFRAME eine bösartige PDF-Datei aus. Desweiteren überprüft das Script ob Java (Sun Microsystems Java, JavaScript) aktiviert ist und versucht über eine Lücke das Opfer mit der game.exe zu Infizieren.

15.06.2010 10:15 Uhr

Sonntag, 13. Juni 2010

UnrealIRCD mit Backdoor

Der früher bei Botnet Herdern beliebte UnrealIRCD ist seit Monaten mit einem Backdoor Infiziert. Betroffen ist die Datei Unreal3.2.8.1.tar.gz, die Datei wurde auf der Projekt-Server durch eine Version mit einem Backdoor ausgetauscht wurde. Die Hintertür erlaubt es Angreifern Kommandos mit den rechten des IRCD Benutzters auf dem Server auszuführen.

Nach einer Mitteilung soll die Datei schon seit November 2009 auf dem Servern ausgetauscht wurde. Nicht betroffen sind die Windows Versionen.Damit sich der Vorfall nicht wiederholt, wollen die Entwickler ihre Releases wieder mit PGP/GPG signieren.

14.06.2010 08:38 Uhr

Mittwoch, 9. Juni 2010

Bye, Bye Tequila Botnet

Letzte Woche berichtete Trend Micro über das Tequila Botnet welches Mexikanische User mit einer Email über ein Vermistes Mädchen in die Falle lockte.Trend Micro entdeckte ein Botnet (Mariachi Botnet) welches wohl vom selben Betreiber stammt wie das Tequila Botnet.Mariachi ist nicht so weit Entwickelt wie das Tequila-Botnet,aber kann denn noch dazu genutzt werden um Phishing Angriffe damit durchführen zu können.

An diesem Montag dem 7. Juni gingen das Mariachi und Tequila Botnets offline.Der Mariachi C&C-Server scheint von seinem Hosting Provider Bluehost down genommen worden zu sein.

(Bildquelle Trend Micro Blog)


Kurz danach ging der Tequila C&C auch offline.



Trend Micro konnte seitdem keine neuen Aktivitäten vom Tequila und Mariachi Botnet feststellen können.

10.06.2010 09:00 Uhr

Montag, 7. Juni 2010

Skimming Hardware schon ab $1500

Der Underground schläft nicht und verkauft seine Skimming Hardware schon ab $1500 mit SMS funktion so das der Skimmer kein zweites mal zum Geldautomaten zurück müssen.



Nach Angaben des von Brian Krebs steckt hinter dieses Setes keine funktionierende Hardware und Betrüger versuchen damit kleinkriminelle Abzuzocken.Der Preis für echte Skimming-Hardware mit GSM für Geldautomaten von NCR liegt bei $8000.Für die GSM-Funktion wird ein zerlegtes Handys mit größeren Akku verwendet.

07.06.2010 20:05 Uhr

Samstag, 5. Juni 2010

CVE Exploit Kit list

Ich habe mir mal die Mühe gemacht eine Tabelle mit Exploit Kits und deren Lücken zu basteln,dabei habe ich mich an einer Vorgabe vom McAfee Blog orientiert.

Die Liste ist auch hier an der Seite unter Drive by Downloads verlinkt. >> CVE Exploit Kit list <<

05.06.2010 17:15 Uhr

Freitag, 4. Juni 2010

PandaTV WM Special 2010



04.06.2010 12:13 Uhr

Mittwoch, 2. Juni 2010

Tequila Botnet

Trenmicro hat vor kurzem einen Bericht mit eine neue Phishing-Attacke erhalten, die aus Mexiko stammt. Die Attacke nutzt die umstrittene Nachrichten über ein angeblich fehlendes Vier-jähriges Mädchen, Paulette Gebara Farah, die später tot in ihrem Zimmer aufgefunden wurde. Die Untersuchung ergab, dass dieser Angriff von einem mexikanischen Botnet kam und versucht, Bankdaten und finanzielle Informationen von Nutzern zu stehlen.

Online-Banking ist in Lateinamerika weit verbreitet und die Attacke ist ein weiteres Beispiel wie Cyberkriminelle gezielt versuchen von der Online-Banking-Community Geld und vertrauliche Finanzdaten zu erpressen.

Benutzer die im Anschluss den folgenden Link http://www.knijo.{BLOCKED}0.net/fotografias-al-desnudo-de-la-mama-de-paulette.htm besuchten wurden über eine Dialogbox aufgefordert den Adobe Falsh Player Herunter zu laden und im Anschluss zu Installieren.

(Bildquellen Trend Micro Blog)



Mit einem Klick führt wird die Datei video-de-la-mama-de-paulette.exe Heruntergeladen, Trend Micro erkennt diese als TSPY_MEXBANK.A.

Wärend der Untersuchung gelang es Trend Micro sich zugang zum Command & Control Server zu verschaffen und sich ein Bild von der Funktionsweise des Bots zu machen.



Das Webpanel zeigt alle Dronen mit einer ID-Nummer so wie Funktionen wie Netcat zu starten oder zu Deaktivieren.

Das neu entdeckte Botnetz hat ein ziemlich umfangreiches Feature-Set und verschiedene Module wie Pharming und Adsense die der Herder alle einzeln Konfigurieren kann.Abgesehen davon, kann der Bot dateien via HTTP oder FTP von anderen Servern Herunterladen.

Ein weiteres Future des Tequila Botnet´s ist sich per USB und MSN Messenger über ein weiteres Modul zu verbreiten.



Zur Zeit ist der C&C nicht mehr erreichbar was daran liegen kann das die Betreiber genug Geld gemacht haben oder weitere Module für ihr Spielzeug entwickeln.


02.06.2010 16:48 Uhr