ratNetw0rk Statistik

Montag, 30. August 2010

30 Pushdo Server abgeschaltet

M86Security kündigt in ihrem Blog eine abnahme des Spams von Pushdo (Cutwail) an.



Also, was ist der Grund für diesen plötzlichen Rückgang? Es stellt sich heraus, dass 30 der C&C Server abgeschaltet wurden wie man bei TLLOD erfahren kann.

Trotzdem ist dieses mit Vorsicht zu genießen. Frühere Erfahrungen haben gezeigt, dass die Abschaltung der C&C Server nur von kurzer Dauer sein können. Es ist höchst wahrscheinlich, dass neue Server in die Infrastruktur des Botnetzes eingebaut werden. In der Zwischenzeit können wir uns ein paar Tage über weniger Spam freuen.

30.08.2010 18:35 Uhr

Donnerstag, 26. August 2010

Botnetz Rustock verliert an Reichweite

Nach angaben von MessageLabs Intelligence hat das Botnetzwerk Rustock nur noch 1,3 Millionen ferngesteuerte Dronen während es im April noch 2,5 Millionen waren. Rustock ist für 41 Prozent aller verschickten Spam-Mails verantwortlich, während der Anteil vor vier Monaten noch auf 32 Prozent betrug.

Image and video hosting by TinyPic

Rustock kontrolliert zwar weniger Bots als vorher,konnte aber dennoch die Anzahl der verschickten Spammails pro Bot und Minute fast verdoppeln.Im Resultat ist die Zahl der Spam-E-Mails, die Rustock pro Tag verschickt, um sechs Prozent gestiegen meint Paul Wood, der MessageLabs Intelligence Senior Analyst bei Symantec Hosted Service.



Grund dafür warum Rustock seinen Spam-Versand verstärken konnte, ist weil das Botnetz keine TLS-Verschlüsselung mehr nutzt wodurch die e-Mail-Verbindungen beschleunigt werden konnten. Im März hatten noch 30 Prozent der Spam-Mails eine TLS-Verschlüsselung aufgewiesen. Wobei sich bei Rustock der Anteil verschlüsselter Mails auf beeindruckende 70 Prozent belief.



TLS bremst den Versand von E-Mail-Verbindungen aus, weil das Verschlüsselung der Mails zusätzliche Rechnerkapazitäten in Beschlag nimmt. Dies könnte einer der Gründe sein warum die Hintermänner von Rustock zu der Überzeugung gekommen sind, dass ein Rückgriff auf diese Technik ihre Fähigkeit zur massenweisen Verbreitung von Werbe-Mails einschränkt.

Die TLS-Verschlüsselung hat aber nun an Bedeutung verloren weshalb nur noch 0,5 Prozent der gesamten Spam-Mails verschlüsselt sind. Die Zahl seiner verschickten Spam-Mails konnte Rustock von 96 auf 192 Mails pro Bot und Minute verzweifachen.

Quelle: http://www.virenschutz.info
Quelle: http://www.m86security.com

26.08.2010 12:45 Uhr

Dienstag, 24. August 2010

AV-Test Product Review and Certification Report - 2010/Q2

AV-Test.org hat ihre Liste für das 2 Quartal 2010 mit getesteten Antivirenprogrammen veröffentlicht. Die ersten 3 Plätze werden von Panda, Symantec und Kaspersky angeführt.
Am schlechtesten schnitt Norman: Security Suite 8.0 mit 2,0 bei der Protection ab. Im Bereich Repair bekam McAfee: Internet Security 2010 die schlechteste Bewertung.



Quelle: Certification Report - 2010/Q2

24.08.2010 20:50 Uhr

Montag, 23. August 2010

Hausdurchsuchung bei Perfect Privacy

Der oftmals von Cyberkriminellen genutzte VPN Anbieter Perfect Privacy hatte am Freitag morgen eine Hausdurchsuchung.Perfect Privacy ist ein Zusammenschluss von Privatpersonen aus aller Welt, die VPN-Server betreiben und ihre Dienste unter einer gemeinschaftlichen Oberfläche anbieten.Es wurden fünf PCs samt Speichermedien beschlagnahmt, wodurch ein Schaden in Höhe von 6000 bis 6500 Euro entstanden sein soll. Rechner, die in Verbindung mit dem VPN-Dienst genutzt wurden, seien "allesamt vollverschlüsselt", betont das Unternehmen.Der Betreiber will jetzt mit anwaltlicher Unterstützung Akteneinsicht beantragen.

23.08.2010 15:09 Uhr

PandaTV #30 - Jugend, Testergebnisse, Facebook Weihnachtsbotschaften



23.08.2010 11:47 Uhr

Sonntag, 22. August 2010

Phoenix Exploit Kit Statistik

Dieser Beitrag zeigt eine Reihe von Daten über die verschiedenen Versionen des Phoenix Exploit-Kit.

Phoenix Exploit’s Kit v2.3r
Phoenix Exploit’s Kit v2.3
Phoenix Exploit’s Kit v2.21
Phoenix Exploit’s Kit v2.2
Phoenix Exploit’s Kit v2.1
Phoenix Exploit’s Kit v2.0
Phoenix Exploit’s Kit v1.4
Phoenix Exploit’s Kit v1.31
Phoenix Exploit’s Kit v1.3
Phoenix Exploit’s Kit v1.2
Phoenix Exploit’s Kit v1.1
Phoenix Exploit’s Kit v1.0
Phoenix Exploit’s Kit v1.0beta

PDF (Englisch)

Quelle: http://malwareint.blogspot.com

23.08.2010 08:02 Uhr

Donnerstag, 12. August 2010

dd_ssh Botnet

Der Bot dd_ssh sorgt laut dem ISC (Internet Storm Center) derzeit für eine erhöhte Anzahl von Brute-Force-Angriffen auf SSH-Zugänge. Die Betreiber des Botnetzes schleusen das Script vermutlich über eine phpMyAdmin-Lücke in das System ein und nutzen das Eroberte System dann für SSH-Attacken. Die Lücke ist bereits ein Jahr alt und betrifft folgende phpMyAdmin-Versionen 2.11.x vor 2.11.9.5 sowie 3.x vor 3.1.3.1.

Durch den Einsatz eines sehr großen Botnets mit einer Vielzahl von verschiedenen IP-Adressen können die Herder sogar unter dem Radar der Filterlösungen fliegen, wenn von jeder IP eines Bots nur wenige Login-Versuche ausgehen. Dadurch wird der Schwellenwert nicht erreicht, ab dem die Filter blockieren. Schützen kann man sich am ehesten mit gemeinschaftlichen Blacklists aus der Cloud, die man mit Scripten wie DenyHosts. Die Grundvoraussetzung dafür ist allerdings ein sicheres – wenn auch unbequemes – Passwort.

12.08.2010 15:31 Uhr

Pay-per-Install through VIVA INSTALLS / HAPPY INSTALLS in BKCNET “SIA” IZZI

Eines der profitabelsten geschäfte der Cybercrime ist das Affiliate-Systeme Pay-per-Install. Bei Pay-per-Install wird die Installation von Software auf einem Computer Vergütet, beispielsweise Toolbars oder Demoversionen.

vivainstalls.net und happyinstalls.com gehöhren zu den Führenen PPI Diensten der Cybercrime und Hosten (IP-Adresse 91.188.59.51) im BKCNET "SIA" IZZI (ATECH-SAGADE) Autonomes System (AS6851). Diese Autonomes System ist für seine hohe Anonymität und betrügerischen Aktivitäten durch das Koobface Botnet bekannt.





Über das PPI System wird der Fake Av A-fast Antivirus verbreitet.



Das Affiliate system verbreitet ihre Malware über einen Link der einen Downloader enthält und die Software auf das System Installiert,hier wird Deutlich darauf hingewiesen das die Setup.exe oder exe.exe (971eab628a7aac18bb29cba8849dff61) nicht bei Freien Virenscanner wie Virustotal.com hochgeladen werden sollte.



Wie ist der Registrierungsprozess ?
Um Zugang zum Memberbereich zu bekommen benötigt man einen Aktivierungs-Code den man von einem anderen Vertrauenswürdigem Mitglied bekommt.

Wie viel kostet der Affiliate für jede erfolgreiche Installation?
USD 0.30 per installation in U.S.
USD 0.20 per installation in Canada, Australia and England.
USD 0.01 for installation in other countries.

Quelle: http://malwareint.blogspot.com

12.08.2010 15:08 Uhr

Donnerstag, 5. August 2010

Phoenix Exploit Kit 2.0

Phoenix Exploit-Kit 2.0 ist eine aktualisierte Version der Phoenix-Toolkit, das ursprünglich von M86 Security Labs Mitte 2009 entdeckt wurde.Die GUI des Admin-Panel hat sich nicht wesentlich von der vorherigen Version geändert, aber zusätzlich werden neue Technik zur Verschleierung verwendet.



Das Exploit-Kit beinhaltet folgenden Schwachstellen:

Flash exploits
Adobe Flash Integer Overflow in AVM2 - CVE-2009-1869
Adobe Flash Integer Overflow in Flash Player CVE-2007-0071


PDF exploits
Adobe Reader CollectEmailInfo Vulnerability CVE-2007-5659
Adobe Reader Collab GetIcon Vulnerability CVE-2009-0927
Adobe Reader LibTiff Vulnerability CVE-2010-0188
Adobe Reader newPlayer Vulnerability CVE-2009-4324
Adobe Reader util.printf Vulnerability CVE-2008-2992


Internet Explorer Exploits
IE MDAC Vulnerability CVE-2006-0003
IE SnapShot Viewer ActiveX Vulnerability CVE-2008-2463
IE iepeers Vulnerability CVE-2010-0806

Java Exploits
JAVA HsbParser.getSoundBank Vulnerability CVE-2009-3867
Java Development Kit Vulnerability CVE-2008-5353

Administrator-Panel
Wie die meisten Exploit-Kits bietet das Phoenix Exploit-Kit mit dem Adminpanel die Möglichkeit, eingehenden Datenverkehr zu analysieren und die Anzahl der infizierten Rechner zu überwachen. Darüber hinaus ermöglicht es dem Benutzer Malware hochzuladen,die dann auf den infizierten Rechnern ausgeführt wierd.



Das Phoenix Exploit-Kit bietet einen URL-Filter der dem Benutzter zeigt ob seine Domain auf den folgenden Seiten auf der blacklist steht.

Google Safe Browsing
MalwareURL
Zeus Tracker



Der Programmierer des Exploit-Kits bietet ein "Phoenix Triple System" an bei dem ein Kunde die Möglichkeit bekommt das dass Kit neu aufgesetzt wird sobald es von einer Antivirenfirma oder anderen entdeckt wurde.



Quelle: http://www.m86security.com

05.08.2010 19:20 Uhr

Dienstag, 3. August 2010

Myrte und Guave 1-5

Ich habe mir gerade mal Myrte und Guave von 1-5 durchgelesen welches sich mit dem Rootkit.Win32.Stuxnet und Trojan-Dropper.Win32.Stuxnet befasst.


Myrte und Guave: Episode 1

Myrte und Guave: Episode 2

Myrte und Guave: Episode 3

Myrte und Guave: Episode 4

Myrte und Guave: Episode 5

Wer sich für die Malware Interessiert wird hier viele Interessant Informationen finden.

03.08.2010 13:31 Uhr