Scareware-Bande Angeklagt

Die Scareware-Bande die für die Verteilung von Gefälschter Software wie "Malware Alarm", "Antivirus 2008" und "VirusRemover 2008" bekannt ist, wurde nun vom FBI gefasst und Angeklagt. Die 3 Männer haben rund 100 Millionen US Dollar in mehr als 60 Ländern mit ihrer Software illegal einnehmen können. Bereits 2008 wurde der Betrug durch die FTC (Federal Trade Commission) gestoppt als diese vor einem US-Gericht den Herstellern den Verkauf ihrer Software untersagte.



Die 3 Angeklagten verbreiteten ihre Software überwiegend aus der USA und Ukraine von Firmen wie "Byte Hosting Internet Services" und "Innovative Marketing". Scareware hat rund 15 Prozent Anteil am gesamten im Web registrierten Malware-Volumen welches immer wieder durch Botnetze wie Koobface und andere verteilt werden. Heise.de hat einen Artikel verfasst wie man Scareware erkennt und sich dagegen schützen kann. "Scharlatane und Hochstapler".

30.05.2010 13:17 Uhr

Die Evolution von Koobface: Das Web 2.0 Botnet

Das dass Koobface Botnetz kontinuierlich weiterentwickelt wird um Gewinn für die Täter zu erzielen ist allgemein bekannt. Trend Micro hat sich Bemüht das Verhalten und die neuesten Entwicklungen aus dem Koobface Botnet zu überwachen und dabei auch Veränderungen festgestellt.

(Bildquellen: Web 2.0 Botnet Evolution: Koobface Revisited)

1. Das Benutzten von Proxys zum Schutz des command-and-Control Server´s (Fast-Flux)


2. Verschlüsseln der C&C-Kommunikation zum schutz der Gang-Mitglieder
3. Banning IP-Adressen aus wiederholtem Zugriff von Koobface-kontrollierten Websites
4. Die Einführung neuer binären Komponenten


5. Der Einsatz mehrerer Schichten zum binären Schutz mit komplexen Packern


Diese Änderungen stellen eine größere Herausforderung für die Forscher da als gedacht um die Gang-Mitglieder zu Überwachen und sie dahin zu bringen wo sie hingehören-hinter Gittern.Für weitere Informationen über die jüngsten Entwicklungen vom Koobface Botnetz und die neuesten Erkenntnissen von Trend Micro gibt es eine PDF "Web 2.0 Botnet Evolution: Koobface Revisited"


25.05.2010 21:12 Uhr

PandaTV #43 - Lost und Iron Man2 Köder, Key-Generatoren infiziert, Bestnoten Malwarefront

21.05.2010 12:00 Uhr

Botnet-Provider vom Netz getrennt

Ein US-Bundesgericht hat den Provider 3FN/Pricewert den Stecker gezogen, der Online-Kriminelle unterstützte in dem er ihnen Unterschlupf für ihre Botnetze gab.Die US-Handelsaufsicht FTC (Federal Trade Commission) meldet die Schließung eines Web-Providers, den sie schon or einem knappen Jahr schließen ließ.Pricewert LLC, auch bekannt als 3FN, APS Telecom und APX Telecom gewährte Botnet-Herdern die möglichkeit ihre Netzte dort zu Hosten.

Bildquelle: PcWelt.de


Ein Bundesrichter in San Jose Kalifornien hat angeordnet, dass die technische Ausrüstung von 3FN von einem gerichtlich bestellten Treuhänder verkauft werden sollen, des Weiteren soll 3FN mehr als eine Million US-Dollar an FTC zahlen das sie durch illegale Geschäfte erwirtschaften konnten.

3FN hatte nur wenige legitime Kunden und in einschlägigen Undergroundforen für neue Kunden geworben. Dazu soll der Geschäftsleiter und auch Techniker der in der Ukraine Lebt selbst Botnetze gesteuert sowie Spam und andere Malware verbreitet haben, welches aus einem Chat-Protokoll hervorgeht das dem Gericht vorliegt.

20.05.2010 17:09 Uhr

Update 21.05.2010 14:18 Uhr

Bei 3FN sollen mehr als 4500 Botnetze lokalisiert worden sein, für die regelmäßige Aufforderungen zum entfernen von illegalen Inhalten ignoriert oder die entsprechenden Steuerungzentren auf andere Adressen verschoben wurden.

Kampf zweier konkurrierender Hackergruppen mit Kolateralschaden

Das Carding-Forum Carders.cc viel einem Angriff zum Opfer bei dem es dem es den Angreifern gelang das IP-Logging des Forum zu Aktivieren ohne das die Admins Wind davon bekamen und die Datenbank im Internet Public gemacht wurde.Diese Datenbank, die im Netz zum Download verfügbar ist, hat es in sich. Sie enthält nicht nur sämtliche Postings, Umfragen, Private Messages und ähnliches. Daneben gibt es unter Anderem auch eine Benutzerliste mit PW-Hashes plus der beim Berechnen des Hashes verwendeten Pseudozufallszahl ("Salt"). Aus beiden Informationen ließe sich das Passwort berechnen - gefährlich bei Benutzern, die das selbe Passwort für mehrere Accounts benutzen, was, wie die Vergangenheit gezeigt hat, alles andere als selten ist.

In dem Forum wurde mit Kreditkarten,Bots,Online Gaming Accounts und Waffen gehandelt.Bei den Eindringlingen handelt es sich vermutlich um die gleiche Gruppe, die Ende des letzten Jahres bereits das Untergrund-Forum 1337-crew gehackt und kopierte Daten veröffentlicht hatte worauf es kurze Zeit später zahlreiche Hausdurchsuchungen gab.

Diesmal haben die Hacker Schritte ihres Einbruchs als eine Art Magazin veröffentlicht.Das gesamte System – inklusive /root – hatte die rechte 777 und war somit für jederman lesbar und als Besitzer aller Dateien das Webserver-Konto angelegt.In einer Stellungnahme entschuldigen sich die Betreiber des Forums für die Fehler bei ihren Membern.Man erwarte, dass von den nun folgenden Ermittlungen durch die Behörden aber nur das Team betroffen sei.

19.05.2010 19:21 Uhr

Neue Meldung von der Koobface-Gang

Der Sicherheits Spezialist Dancho Danchev hatte im Februar mit dem Artikel 10 things you didn't know about the Koobface gang mehrere Vermutungen zur Arbeitsweise der Betreiber des Koobface (Anagramm zu Facebook) Botnetzes gemacht und diese haben darauf mit einer Nachricht im HTML-Quellcode zur Verteilung präparierter Videocodecs reagiert.

Bild Quelle: http://ddanchev.blogspot.com


Nach Angaben von Danchev bestünde eine mögliche Zusammenarbeit zwischen dem Koobface-Botnetz und dem Click-Fraud-Botnetz Bahama.Der Anführer der Koobface-Gang Ali Baba verneinte dies mit "No connection".Ali Baba widerspricht zudem der Vermutung von Danchevs, dass Koobface mit den infizierten Werbebanner auf dem Online-Auftritt der New York Times im September 2009 in Verbindung stand.

Danchev hatte sich zudem darüber geäußert, dass die Gang für die Erstellung eines Screenshots zum Einbetten in eine gefälschte Youtube-Seite eine nicht registrierte Version von Hypersnap benutzte würde,wobei doch Genug Geld vorhanden sei aufgrund der stetigen Geldflüsse.Darauf Antwortete Ali Baba: what´s readon to buy software just for one screenshot?

Die Gruppe gibt allerdings zu, im Rahmen einer Scareware-Kampagne im vergangenen Jahr an der Manipulation mehrerer hunderttausender Sites beteiligt gewesen zu sein.Die Antwort auf die Spekulation von Danchevs, dass die Koobface-Gang Erlöse aus dem Scareware-Netzwerk "Crusade Affiliates" bezieht, fällt überraschend aus: "maybe.not 100% sure."

19.05.2010 09:36 Uhr

"Avalanche" - Bande

Die 126.000 registrierten Phishing-Angriffe während des zweiten Halbjahres 2009 gehen auf das Konto der "Avalanche"-Bande bei der es sich um einen direkten Nachfolger der "Rock Phish Gang" handelt.

Die Rock Phish Gang benutzte ein Toolkit welches als Erstes Fast-Flux-Netze unterstützte bei denen der Domain-Name konstant bleibt, während die IP-Adressen sich ständig ändern und auf Infizierte Heim-Pcs zeigen.Nach Angaben von APWG nutzten die Pisher genau aus diesem Grund mehrere hunderte Domains und registrieren diese am liebsten bei Registraren die auf hinweise von Ermittlungsbehörden langsam oder garnicht reagieren.

Durch die Zusammenarbeit von Registraren,Banken und Dienstleistern gelang es die Angrieffe der Avalanche-Bande schnell einzudämmen.Aufgrund der immer schneller ergreifenden Gegenmaßnahmen gegen die Bande sind deren Angriffe nun auch versiegt.Mit 924 unterschiedlichen Domainnamen im Oktober letzten Jahres erreichten sie ihren Höhepunkt,während im April 2010 keine Aktivitäten mehr beobachtet wurden.

Die beliebtesten TLDs (Top-Level-Domains) der Gruppe waren:
.eu 33%
.com 23%

Andere Banden bevorzugten im Vergleich:
.com 47%
.net 7%

APWG beobachtet Bobachtete bislang nur sehr wenige Homograph Spoofing Attacks im Zusammenhang mit der Unterstützung des International Domain Name (IDN).Dadurch sehen Zeichen in einer URL richtig aus,sind es aber nicht.So kann ein kyrillisches a und ein lateinisches a von den meisten Zeichensätzen grafisch gleich dargestellt werden, obwohl es sich um unterschiedliche Zeichen handelt.Dieses können sich Phisher bei Adressen zur nutzte machen um eine Falsche Domain als Original auszugeben.


18.05.2010 14:32 Uhr

Twitter Botnet sagt Hallo

Symantec berichtet in ihrem Blog über ein neues Trojaner Botnet-Creator-Tool namens "TwitterNet Builder."Der Bot nimmt direkt über einen twitter Account seine befehle entgegen.Ein Nachteil ist nur das die befehle nciht verschlüsselt übermittelt werden,was es nciht schwer macht ihn Ausfindig zu machen um den Account zu sperren.



Trojan.Twebot hat eine Reihe der üblichen Befehle wie "Download", um zusätzliche Dateien auf das System zu laden. DDOS" zum Durchführung eines Distributed-Denial-of-Service Angriffs. Allerdings hat er auch einen interessante Befehl. "SAY". Dieser Befehl erlaubt es einem Angreifer mit einem gehackten Computer Text-to-Speech-Funktion zu verwenden.

Wie immer, empfiehlt Symantec, dass Sie Ihre Virendefinitionen auf dem Laufenden halten, um einen Schutz gegen neue Bedrohungen zu gewährleisten.

14.05.2010 21:22 Uhr

Fake-AV imitiert Kaspersky Antivirus

Scareware imitieren Avira Antivir und Microsoft Security Essentials.
Dmitry Bestuzhev von Kaspersky berichtet im Blog des Antivirusherstellers Kaspersky Lab über einen Web-Server, auf dem gleich eine ganze Sammlung solcher Imitate zu finden ist.Welches Design gerade angeboten wird ist zufallsgesteuert. Der Server beheimatet eine Reihe von Domains, die alle das gleiche Ziel verfolgen - Internet-Nutzern das Geld aus der Tasche zu ziehen.



Die von Antivirusfirmen auch als "Fake-AV" oder "Rogue AV" bezeichneten Programme werden über Suchmaschinenoptimierung vorbereiteter Web-Seiten verbreitet oder auch von anderen Schädlingen mit installiert.



Die Opfer werden mit vorgetäuschten Virenbefunden zum Kauf einer ebenso teuren wie nutzlosen Vollversion reingelegt.Hat man die Scareware gekauft und installiert,bringt der Fake-Av keine Meldungen mehr über ein befallenes System.Dazu läst sich die Software ohne Probleme Deinstallieren.

11.05.2010 20:51 Uhr

Kaspersky Internet Security 2011

Kaspersky erweitert die neue Version seiner Sicherheitssuite um neue Funktionen wie Rettungs-CD, Geo-Filter, System-Watcher & Sandbox.Überarbeitet wurde auch die Kindersicherung über die Eltern den Zugang zum Computer und bestimmte Programme wie Downloadkapazität, Chatten, Programmstarts und Übertragung persönlicher Daten einschränken können.



Nun soll auch laut Kaspersky die Installations-CD als Rettungs-CD dienen um bei einen befall das System wider zu säubern,da viele nicht erwünschte Programme die Installation eines Antivirus unterdrücken.

Im Juni 2010 soll die neue Version von Kaspersky Antivirus und Internet-Security im Laden stehn.Beide Programme sind XP, Vista und Windows 7 kompatibel. Eine Einzellizenz für den Internet Security soll 39,95 Euro, Anti-Virus soll 29,95 Euro kosten.


11.05.2010 19:30 Uhr

Polizei fasst Phishing-Bande

Die rumänische Polizei hat eine Phishing-Bande hochgehn lassen, die sich monatelang über das Internet illegal Zugang zu Bankkonten beschafft und diese ausgeräumt haben. Nach landesweiten Hausdurchsuchungen am Montag verhörte die Polizei 28 mutmaßliche Täter.

Die Bande soll sich seit Oktober 2009 durchPhishing-Angriffe sensible Daten wie Benutzernamen und Passwörter für Online-Banking und Kreditkarteninformationen von Kunden der Bank of Amerika beschafft haben. Anschließend nahmen die Verbrecher Banküberweisungen über den Finanzdienstleister Western Union vor und hoben das Geld in Wien, München, Prag sowie in Rumänien ab. Der Schaden beträgt laut DIICOT-Angaben auf 780 000 Euro.

Die meisten Verdächtigen stammen aus dem rumänischen Constanta an der Schwarzmeerküste. Der Bande sollen insgesamt 70 Mitglieder angehören.

Quelle: viruslist.com

PandaTV #42 - Mariposa-Hintermänner, Infizierte Liebesgrüße, US-Finanzministerium gehackt

08.05.2010 07:23 Uhr

Hacker haben iFrame in die Webseite des US- Finanzministeriums implementiert

Wie nun bekannt wurde, ist es Hackern gelungen in die Webseite des US-Finanzministeriums einen iFrame zu implementieren.Der Iframe soll eine der hauptsächlichen URLs des Eleonore Exploit Kit´s im Hintergrund laden. Diverse Exploits für unterschiedliche Browser oder andere populäre Anwendungen werden in dem Kit zusammen gefasst. Somit liefert das Kit beste Tools respektive Herangehensweise um eventuelle Sicherheitslücken des betreffenden Browsers in kürzester Zeit auszuspionieren. Besucher der gehackten Webseite (treas.gov, bep.gov oder moneyfactory.gov) werden von dem iFrame unbemerkt durch statistische Server und Exploit Packs umgeleitet.



Bei Herrn Luis Corrons, dem Direktor der PandaLabs, hat das Exploit Kit eine Sicherheitslücke in der Java-Funktion gefunden. Über diese Sicherheitslücke war es möglich das System von Herrn Luis Corrons zu infizieren. Herr Luis Corrons hat den Angriff auf seinem Blog ausführlich dargestellt.

04.05.2010 21:01 Uhr

Config Decrypter für ZeuS 2.0

ZeuS 2.0 Kit enthält ein paar Tricks um die Analyse seiner Konfigurationsdateien zu erschweren.

Der Trojaner nutzt jetzt mehr Schichten um die Konfigurationsdateien zu entschlüsseln.Die neuen Entschlüsselungs Schritte sind nachfolgend dargestellt:



Um die Konfigurationsdatei besser entschlüsselung zu können gibt es jetzt dieses Tool von ThreatExpert.

Quelle: http://blog.threatexpert.com

03.05.2010 17:37 Uhr