ratNetw0rk Statistik

Mittwoch, 28. Juli 2010

Zeus verbreitet sich über LNK-Lücke

Das Zeus-Botnetz nutzt die bereits bekannte Lücke (CVE-2010-2568) im Iconhandler von Windows aus um sich zu verbreiten. Dazu verschickt das Netzwerk nach Angaben von Trend Micro und F-Secure gepackte Dateien in dennen sich eine Verknüpfung befindet und das bloße Betrachten reicht um das System zu Infizieren.

Unter dem Vorwand das diese E-Mail von Microsoft stamme und mit einem Passwort geschützt sei wird der Ahnungslose User dazu aufgefordert den Anhang Herunter zu Laden und zu öffnen. Damit ist der Angriff gefährlicher als typische Angriffe mit gepackten Dateien, die ein Anklicken des Inhalts erfordern. Der ein oder andere Nutzer wird möglicherweise glauben, dass das reine Entpacken zur Kontrolle keinen Schaden auslösen kann.

Das Zeus-Netzwerk zählt zu den größten Botnetzen Weltweit und kann sich über die LNK-Lücke Problemlos über USB-Sticks und SD-Karten weiterverbreiten. Ein Patch von Microsoft ist in Arbeit, allerdings ist noch nicht bekannt, wann dieser erscheint.

28.07.2010 18:09 Uhr

Neue Verhaftungen im Fall Mariposa

Anfang des Jahres konnte Panda Security gemeinsam mit Defense Intelligence, dem FBI und der spanischen Polizei vor einigen Monaten das bis dahin größte Botnetz , mit dem Namen “Mariposa”, vom Netz nehmen. Dabei wurden auch die Betreiber verhaftet.Nun gelang es der weitere Hintermänner in Slowenien ausfindig zu machen und zu verhaften, darunter befindet sich auch der Entwickler des Butterfly Bots der unter dem Firmennamen “Butterfly Network Solutions” sein Produkt verkaufte.



Laut einer slowenischen Zeitung, verkaufte der Entwickler den Butterfly Bot für 40.000 € an die Anfang des Jahres verhafteten Betreiber. Da der slowenische Programmierer sein Dienste mehreren Kunden anbot ist der Fall „Mariposa“ noch längst nicht abgeschlossen.

28.07.2010 17:03 Uhr

Dienstag, 27. Juli 2010

Facebook-Crawler

Ron Bowes hat auf seinem Blog skullsecurity.org ein in Ruby geschriebenes Script veröffentlicht welches Daten von Facebook Usern sammelt. Dadurch haben es Spammer und Phisher leichter Mitglieder des Sozialen-Netzwerkes mit Unerwünschten Emails zu Bombadieren. Mit dem Crawler wurden von seinem Entwickler offenbar testweise US-Konten gesammelt - der laut seinem Blogs Nordamerikaner ist.

Die zum Download angebotene Datei bringt es mit 170 Millionen Accounts auf 10 GByte. Es gibt weitere Dateien, in denen die Vor- und Nachnamen nach Häufigkeit sortiert sind und in denen einmalige Namen aufgelistet werden. Es dürfte kein Problem sein, mit einem leicht geänderten Crawler auch deutsche Facebook-Konten zu sammeln.

Um auch die Kontakte der Nutzer auszulesen, müssten deutlich mehr Daten verarbeitet werden, wozu der Entwickler des Crawlers derzeit keine Möglichkeiten hat. Pläne hat er trotzdem: "Ich würde das in der Zukunft angehen, wenn also irgendjemand Bandbreite zur Verfügung hat und spenden will, brauche ich nur einen ssh-Account und ein installiertes Nmap", so Bowes.

Es ist nicht das erste Mal, dass Nutzerdaten von Facebook und Co. ausgelesen werde. Soziale Netzwerke können sich gegen Sammelaktionen von öffentlichen Daten kaum schützen - vor allem dann nicht, wenn sie - wie Facebook - auch mit Suchmaschinenbetreibern wie etwa Google zusammen arbeiten.Beim Schutz der nicht-öffentlichen Daten hat sich etwa Facebook-Konkurrent VZ Netzwerke (StudiVZ, SchülerVZ, MeinVZ) mehr ins Zeug gelegt als Facebook. Dennoch kann es seinen Nutzern nicht versprechen, dass sie komplett geschützt sind.

27.07.2010 21:14 Uhr

Freitag, 23. Juli 2010

Qualys BrowserCheck

Web-Browser und ihre Plug-ins sind heute Hauptangriffsziele für Malware aller Art. Damit der Browser nur das tut, stellt das Sicherheitsunternehmen Qualys eine Browser-Prüfung bereit der ein dem Mozilla Plugin Check ähnelt, aber anders arbeitet.



Qualys BrowserCheck funktioniert als Kombination aus Website und Browser-Plug-in, das der Benutzer zunächst installieren muss. Qualys unterstützt derzeit den Internet Explorer (ab Version 6), Firefox 3.x und Google Chrome 4 und 5. Als Betriebssystem wird Windows von 2000 bis 7 voraus gesetzt.Der Qualys prüft die Aktualität einiger Plug-inswie Adobe Reader, Flash Player,Shockwave Player sowie Quicktime, Silverlight, Windows Media Player, Real Player und Java. Dazu erkennt der Checker, ob die Windows-Version noch von Microsoft unterstützt wird und ob der Browser selbst aktuell ist.

Ist eine Plugin nicht mehr aktuell oder weist gar Sicherheitslücken auf, zeigt der Qualys BrowserCheck dies durch ein Ampelsystem an und bietet Links zur Update-Seite des jeweiligen Herstellers an.

Quelle: http://www.pcwelt.de

23.07.2010 13:21 Uhr

Samstag, 17. Juli 2010

Lab Matters - AV-Test Results: Just how reliable are they?



17.07.2010 20:06 Uhr

Koobface Going for Broke? and More Koobface URLs Plague Users

McAfee Labs-Forscher haben einen spürbaren Anstieg der URLs von Koobface beobachtet. (Koobface ist ein Anagramm für Facebook.) Die neuesten, unerwartete Koobface Kampagne versucht User von Facebook einen Link mit ausführbaren Dateien unter zu schieben.

Image and video hosting by TinyPic

Alle Dateien haben den gleichen MD5 Hash: 9cac65b88d2288fb16f8a356c3563604

Image and video hosting by TinyPic

Einen Schutzt kann der McAfee SiteAdvisor und McAfee TrustedSource™ bieten.


Das Koobface Botnet ist zu einer der Top Bedrohungen für die Nutzer von Facebook geworden.Koobface ist sehr vielfältig in seiner Nutzung,so wurde z.b die Installation von Passwort-Stealern beobachtet oder forderte User zu eienr CAPTCHA eingabe auf.

Vor einigen Wochen hat Koobface den Zugriff auf Security-Websites blockiert.Seitdem haben die Autoren einen Riesenschritt in Richtung Invasivität mit der Installation von ihren gefälschten Anti-Virus Trojan getroffen.Etwa 10 Minuten nach der ersten Infektion bekommen Nutzer eine Meldung über einen gefälschte Scan und Infektionen.

Image and video hosting by TinyPic

Image and video hosting by TinyPic

Der Trojaner fungiert als HTTP-Proxy im Internet Explorer und blockiert den Zugriff auf andere andere Webseiten außer die des FakeAv´s.

Image and video hosting by TinyPic

Die Malware blockiert auch fast jede ausführbare datei, wodurch das System ziemlich nutzlos für die meisten Anwender wird.

Image and video hosting by TinyPic

Vielleicht versucht die Bande eine letzten großen Auszahlung und will so viele Nutzer wie möglich dazu bringen einen "AV Security Suite" von $49.95-$69,95 zu registrieren. Die überwiegende Mehrzahl der Infizierten Systeme des Koobface Botnetzes kommen von Benutzern, die auf die Social-Engineering Taktiken der Bande hereingefallen und nun ein teil ihres Botnetzes sind.

Quelle: http://www.avertlabs.com/research/blog/

17.07.2010 13:01 Uhr

Freitag, 16. Juli 2010

Zeus-Malware zielt auf deutsche Banken

Der Zeus Banking Trojaner ist der am weitesten verbreitete Malwarebaukasten für Cyberkriminelle Online-Aktivitäten. Die aktuelle Version ist jetzt noch besser geschützt um die Analysen der Antivirusfirmen zu erschweren und erhält nur noch die jeweils notwendigen Informationen.

Das Verhalten einer Zeus-Variante wird durch eine Konfigurationsdatei festgelegt, die auf einem Kommando-Server liegt. Die Konfigurationsdateien der älteren Zeus-Versionen enthalten stets alle Ziele (Web-Adressen) von Banken und Online-Diensten. Während die neuere Version 3 des Trojaners fokussierter arbeitet.

Der Sichererheits Experte Zarestel Ferrer im CA Security Advisor Research Blog berichtet,nutzt die Version 3 des Zeus Bots eine Konfigurationsdatei, die sich nicht mehr so einfach von Sicherheitsfachleuten untersuchen lässt. Bei bei älteren Fassungen des Bots konnten die Analytiker dem Server einen Zbot vorgaukeln, um die komplette Konfigurationsdatei auszulesen, die sie dann analysieren.
In der Dritten Version des Bank Trojaners ist diese Datei durch eingeschränkte Zugriffsrechte besser geschützt. Der Bot kann nur noch auf die Ressourcen zugreifen, die er für seine Aufgabe benötigt.

Das bedeutet, dass nur noch die Web-Adressen von Banken aus den USA, Großbritannien, Deutschland und Spanien verfügbar sind. Im ersten Halbjahr 2010 waren diese vier Länder die Top-Ziele der Zeus-Malware, besonders Spanien war sehr betroffen. Die vier Länder werden nur paarweise aufgeführt - USA und Großbritannien sowie Deutschland und Spanien. Der Bot kann also nur auf Daten für zwei Länder zugreifen.



Zu den deutschen Zielen der Malware gehören nach Angaben von Ferrer etwa die Commerzbank,Deutsche Bank sowie die Dienstleister Fuducia und GAD, die für Genossenschaftsbanken wie die Volksbanken tätig sind. Die Kommando-Server der Botnetze sind meist in Russland angesiedelt.

Online-Kriminelle können zu Preisen von mehreren tausend Euro einen Zeus Bot erwerben, deren Eigenschaften sie sich nach Bedarf modular zusammen stellen können. Der Preis hängt von Art und Anzahl der Module ab.

16.07.2010 10:19 Uhr

Montag, 12. Juli 2010

YES Exploit System und CaaS

Das ausgestorbene Yes Exploit System ist in der Version 3.0 wider auferstanden und wird auch gleich als CaaS (Crimeware-as-a-Service) angeboten.Beim CaaS handelt es sich um ein kleines Gegenstück zum Cloud Computing,der Käufer bekommt Zugang zu einem Server mit dem Exploit System und muss sich dabei um keine Serverrelevanten Dinge wie Updates oder Konfiguration kümmern.

Dieses Geschäftsmodell der Cybercrime macht es auch Anfängern sehr leicht Botnetze oder Spam zu verteilen ohne Technisches Now How zu besietzen.



Yes Exploit verfügt auch über einen Domain Checker und überprüft ob die Adresse des Servers in bekannten listen wie ZeuS Tracker, MDL (MalwareDomainList), SiteAdvisor, Norton List und anderen auftaucht um so den Bekanntheitsgrad des Servers zu überprüfen.

Eine weitere Funktion ist der AV Checker der überprüft in wie weit das Exploit Kit von Antivirus Firmen erkannt wird.



Yes Exploit System ähnelt nicht nur einem herkömmlichen Business Schema, sondern wurde ausschließlich für kriminelle Zwecke entwickelt um auf einfachste weise möglichst viele ahnungslose User mit Malware zu Infizieren.

Quelle: http://malwareint.blogspot.com

12..07.2010 14:35 Uhr

Montag, 5. Juli 2010

BOMBA Botnet

MalwareIntelligence hat ein neues Botnet das den Namen Bomba trägt entdeckt.



Der Server des Botnetzes liegt in Lettland obwohl die Administrativen Datensätze in Moskau,Russland des AS6851 (Autonomes System) verweisen, welches unter dem Netzwerk BKCNET "SIA" Izzie bekannt ist.
Unter diesem ASN wurden zahlreiche Exploitkits wie YES System Exploit und Botnetze wie Waledac,Zeus und auch Koobface gehostet.



Bomba nutzt Sicherheitslücken in Java (Java Deployment Toolkit), Internet Explorer, Adobe Reader und dem klassischem MDAC aus.



Quelle: http://malwareint.blogspot.com

05.07.2010 12:43 Uhr

Freitag, 2. Juli 2010

Chaosradio Express 155 Malware und Botnets

Ich höre mir gerade die 155 Folge vom CCC an,der Titel sagt es schon es geht um das Thema Botnetze.Das ganze wird sehr sehr gut von Tim Pritlove und Thorsten Holz dem Betreiber vom http://honeyblog.org erklärt.Die beiden wandern wirklich vom Anfang des ersten Virus 1985 bis ins Jahre 2010 und erklären dabei deren Funktionen und Entwicklung.

http://chaosradio.ccc.de

Chaosradio Express 155 Malware und Botnets

02.07.2010 11:49