tag:blogger.com,1999:blog-40453215126268375992023-06-20T06:27:00.548-07:00ratNetw0rkBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comBlogger190125tag:blogger.com,1999:blog-4045321512626837599.post-9524933453373519822013-10-22T08:24:00.000-07:002013-10-22T08:26:32.482-07:00Google´s Digital Attack Map Informiert über laufende DDoS Attacken<br />
<br />
<iframe frameborder="0" height="480" scrolling="no" src="http://digitalattackmap.com/embed#anim=1&color=0&country=ALL&time=16000&view=map" width="640"></iframe>
<br />
<br />
<a href="http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&time=16000&view=map">http://www.digitalattackmap.com</a>
<br />
<br />
mfg Bl4ck r47
<br />
22.10.2013 17:23 UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-88334479226387750612013-10-04T07:19:00.001-07:002013-10-04T07:19:22.530-07:00Symantec gelingt Schlag gegen das Botnet ZeroAccessSymantec gelang es über eine Schwachstelle die Kontrolle von über 500.000 Dronen des Botnets ZeroAccess zu übernehmen.
ZeroAccess basiertauf einer Peer-to-Peer-Architektur und wird in erster Linie für Klick-Betrug und die Generierung von Bitcoins verwendet.
Nach Angaben von Computerworld, fand Symantec Anfang des Jahres eine Möglichkeit, Dronen mittels eines bekannten Fehlers im Peer-to-Peer-Mechanismus herauszulösen.Was für eine Schwachstelle ausgenutzt wurde, erklärte Symantec nicht,erläutert aber dass das Abschalten eines Bots durchschnittlich fünf Minuten gedauert hätte.Die ganze Aktion habe nur wenige Tage gedauert. Man arbeite nun mit anderen Firmen und Organsiationen gemeinsam daran, die<br />
infizierten Computer zu ermitteln und zu bereinigen<br />
<br />
<a href="http://i42.tinypic.com/33as5j8.jpg"><img height="500" src="http://i42.tinypic.com/33as5j8.jpg" width="200" /></a><br />
<br />
Der Energieverbrauch des Botnet soll pro Tag rund 560.887 US-Dollar kosten. Mit dieser Rechenpower sollen die Botnetzbetreiber pro Tag mehrere Tausend US-Dollar errechnet haben.
Symantec hat zudem ISPs außerdem Traffic-Signaturen zur Verfügung gestellt, damit sie die verbliebenen ZeroAccess-Bots in ihren Netzen aufspüren und Maßnahmen gegen sie einleiten können.<br />
<br />
mfg Bl4ck r47<br />
04.10.2013 16:18 UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-7321150681575656222013-10-04T03:22:00.003-07:002013-10-04T03:23:31.753-07:00Silk Road abgeschaltetDem FBI ist es offenbar gelungen, den Betreiber Ross William Ulbricht aka Dread Pirate Roberts der Handelsplattform Silk Road ausfindig zu machen und festzunehmen.Die Platform wurde als sogenannter Hidden Service im Tor-Netzwerk betrieben und hatte angeblich rund eine Million registrierte Mitglieder.<br />
<br />
<a href="http://i44.tinypic.com/332xwes.jpg"><img height="300" src="http://i44.tinypic.com/332xwes.jpg" width="400" /></a><br />
Bildquelle: Wikipedia<br />
<br />
Das FBI geht davon aus, dass auf der Platform illegale Güter in einem Umfang von 9,5 Millionen Bitcoin gehandelt wurden, dies entspricht ungefähr einer Milliarde Euro.Nach dem ein Nutzer von Silk Road damit gedroht haben soll, die Identität von Händlern aufzudecken habe Ross W. U.eine Person mit einen Mord beauftragt und dafür 1,670 Bitcoins (etwa 100.000 Euro) bezahlt.<br />
Nach Angaben des Auftragsmörders wurde die Zielperson in Kanada getötet,allerdings konnte nach Angaben des FBI noch keine Leiche gefunden werden,somit ist noch unklar ob der Mord stattgefunden hat.<br />
<br />
<a href="http://i42.tinypic.com/23rl98n.jpg"><img height="300" src="http://i42.tinypic.com/23rl98n.jpg" width="400" /></a><br />
<br />
<br />
Den Betreiber konnte das FBI ausfindig machen nachdem Kanadische Grenzbehörden ein Paket mit gefälschten Ausweisdokumenten fanden, das an Ross W. U. adressiert war.Die Ermittlungsakten enthalten keine Hinweise darauf, dass das FBI die Sicherheit von Tor selbst kompromittieren konnte.<br />
<br />
Bei der Suche nach einer Alternativen werden es die Kunden von Silk Road etwas schwer haben da die ähnlich ausgerichtete Seite Atlantis Marketplace vor zwei Wochen ebenfalls geschlossen wurde. Die Gründe hierfür sind noch unbekannt.<br />
<br />
mfg Bl4ck r47<br />
04.10.2013 12:31 Uhr<br />
<br />Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-29680042559352850682013-09-27T03:58:00.001-07:002013-09-27T03:58:24.975-07:00Beta Bot the New Underground toys<span style="background-color: white; font-family: Verdana, Arial, Helvetica, sans-serif; font-size: 13px; line-height: 18px;">Cyberkriminelle haben unter dem Namen "Beta Bot" einen neuen Schädling entwickelt, der für den Aufbau eines Botnetzes eine raffinierte Methode anwendet: </span><span style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: x-small;"><span style="line-height: 18px;">Nach dem Download der Malware überprüft der Bot ob einer von 30 AVs auf dem Zielsystem Installiert ist um sich dann per Social Engineering Admin rechte zu erschleichen und seinen Schadecode im System zu platzieren.</span></span><br />
<span style="font-family: Verdana, Arial, Helvetica, sans-serif; font-size: x-small;"><span style="line-height: 18px;"><br /></span></span>
<br />
<a href="http://i40.tinypic.com/314pgqv.jpg"><img height="200" src="http://i40.tinypic.com/314pgqv.jpg" width="400" /></a><br />
[Bildquelle: <a href="http://blog.gdatasoftware.com/">http://blog.gdatasoftware.com</a> ]<br />
<br />
Schauen wir uns aber die Details dieses UAC-Dialogs an, stellen wir fest, dass cmd.exe den eigentlichen Beta Bot starten soll und sich Beta Bot im System verstecken möchte<br />
<br />
<a href="http://i39.tinypic.com/t66w7s.jpg"><img height="200" src="http://i39.tinypic.com/t66w7s.jpg" width="500" /></a><br />
[Bildquelle: <a href="http://blog.gdatasoftware.com/">http://blog.gdatasoftware.com</a> ]<br />
<br />
Viele Benutzer werden misstrauisch wenn eine UAC-Meldung aus heiterem Himmel auf ihrem Bildschirm auftaucht,um dieses Problem‘ zu lösen, ist der Beta Bot jedoch vorbereitet und präsentiert dem Benutzer noch vor dem UAC-Dialog eine gefälschte Fehlermeldung über angeblich beschädigte Dateien im Ordner Eigene Dokumente des aktuellen Benutzers und einen kritischen Festplattenfehler.<br />
<br />
<a href="http://i41.tinypic.com/dnhypu.jpg"><img height="300" src="http://i41.tinypic.com/dnhypu.jpg" width="400" /></a><br />
[Bildquelle: <a href="http://blog.gdatasoftware.com/">http://blog.gdatasoftware.com</a> ]<br />
<br />
Der Bot ist mit einem Verkaufspreis von unter 500€ relativ günstig und mit einer vielzahl von Funktionen ausgestattet wie DoS-Attacken, Möglichkeiten für Fernversteuerung, Eingabefelder auslesen und andere Möglichkeiten zum Informationsdiebstahl.<br />
<br />
<h1 class="yt" id="watch-headline-title" style="border: 0px; color: #222222; font-family: arial, sans-serif; font-size: 24px; font-weight: normal; margin: 0px 0px 13px; overflow: hidden; padding: 0px; text-overflow: ellipsis; white-space: nowrap; word-wrap: normal;">
<span class="watch-title long-title yt-uix-expander-head" dir="ltr" id="eow-title" style="-webkit-user-select: auto; border: 0px; color: rgb(51, 51, 51) !important; cursor: pointer; font-size: 0.9em; letter-spacing: -0.05em; margin: 0px; padding: 0px;" title="[Untouched] Beta Bot HTTP Bot Latest Version Download">[Untouched] Beta Bot HTTP Bot (Latest Version)</span></h1>
<object height="315" width="560"><param name="movie" value="//www.youtube-nocookie.com/v/_zEE854xbTA?version=3&hl=de_DE&rel=0"></param>
<param name="allowFullScreen" value="true"></param>
<param name="allowscriptaccess" value="always"></param>
<embed src="//www.youtube-nocookie.com/v/_zEE854xbTA?version=3&hl=de_DE&rel=0" type="application/x-shockwave-flash" width="560" height="315" allowscriptaccess="always" allowfullscreen="true"></embed></object>
<br />
<br />
Nachdem sich der Beta Bot auf dem Rechner eingenistet hat, beginnt seine eigentliche Arbeit: Neben DDoS-Attacken erlaubt er seinen Autoren auch den Fernzugriff auf den PC des Opfers.<br />
<br />
<b><span style="font-size: large;">Beta Bot entfernen </span></b><br />
<object height="315" width="420"><param name="movie" value="//www.youtube-nocookie.com/v/XM9Foxr01Cc?hl=de_DE&version=3&rel=0"></param>
<param name="allowFullScreen" value="true"></param>
<param name="allowscriptaccess" value="always"></param>
<embed src="//www.youtube-nocookie.com/v/XM9Foxr01Cc?hl=de_DE&version=3&rel=0" type="application/x-shockwave-flash" width="420" height="315" allowscriptaccess="always" allowfullscreen="true"></embed></object>
<b><br /></b>
<br />
<br />
<object height="315" width="420"><param name="movie" value="//www.youtube-nocookie.com/v/I8LbLPIwaaQ?version=3&hl=de_DE&rel=0"></param>
<param name="allowFullScreen" value="true"></param>
<param name="allowscriptaccess" value="always"></param>
<embed src="//www.youtube-nocookie.com/v/I8LbLPIwaaQ?version=3&hl=de_DE&rel=0" type="application/x-shockwave-flash" width="420" height="315" allowscriptaccess="always" allowfullscreen="true"></embed></object>
<br />
<br />
mfg Bl4ck r47<br />
27.09.2013 12:54 Uhr<br />
<br />
<br />Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-70083686378170831562013-06-27T04:10:00.000-07:002013-06-27T04:19:51.224-07:00Carberp "Der Olymp ist gefallen"Zeus wurde besiegt und jetzt auch das mächtige Reich der Götter,der wohl Fortschrittlichste aller Banking-Trojaner Carberp wurde der Quellcode der Öffentlichkeit frei zugänglich gemacht.Eine Gigantische Zip File von 1,9GB steht auf der Plattform von KimDotCom zum Download frei zugänglich für jeden kleinen Cyberkriminellen und dem Organisiertem verbrechen bereit.Mit diesem Leak steht der Cybercrime eine mächtige Waffe frei zur Verfügung um die Konten anderer Menschen zu erleichtern und das eigene zu füllen.<br />
<br />
<a href="http://i44.tinypic.com/qotysi.jpg"><img height="300" src="http://i44.tinypic.com/qotysi.jpg" width="400" /></a>
<br />
<br />
Ende 2012 verlangten die Entwickler von Carberp noch 40.000 US-Dollar für einen Vollzugriff auf ihre Schöpfung.Wollte man den Schädling mieten, betrug die Summen zwischen 2000 und 10.000 US-Dollar pro Monat.<br />
<br />
Das Archiv enthält einen schon Fertig Kompillierten BotBuilder so wie eine Vielzahl von Plugins wie RDP,DDoS,VNC uvm.<br />
<br />
BotBuilder:<br />
<a href="http://i41.tinypic.com/s1kbc2.jpg"><img height="300" src="http://i41.tinypic.com/s1kbc2.jpg" width="400" /></a><br />
<br />
Plugins:<br />
<a href="http://i43.tinypic.com/33vkht0.jpg"><img height="300" src="http://i43.tinypic.com/33vkht0.jpg" width="400" /></a>
<br />
<br />
Das wohl gefährlichste aller Module ist das Bootkit (W32/Rovnix).Dieses infiziert den Master Boot Record (MBR) von Windows XP, Windows 7, Windows 8 und unterläuft damit jede gängige Antivirensoftware.<br />
<a href="http://i42.tinypic.com/2yyt55i.jpg"><img height="300" src="http://i42.tinypic.com/2yyt55i.jpg" width="400" /></a>
<br />
<br />
Malware-Experten gehen davon aus, dass durch den Leak des Sourcecodes neue Varianten auftauchen werden wie es bei Zeus schon der Fall war mit ICE IX,Aldi Bot und Game Over.<br />
<br />
mfg Bl4ck r47<br />
27.06.2013 13:07UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-1204057154348059982013-03-29T01:53:00.002-07:002013-03-29T05:55:47.309-07:00Der Bunker im Bunker und eine Mega DDoS<br />
Nahezu unbemerkt von der Öffentlichkeit wurde Spamhaus.org opfer einer der grösten Distributed-DoS-Attacke in der Geschichte des Internet.<br />
<br />
Spamhaus hatte IP-Adressblöcke des sehr Spammer-freundlich bekannten Hosters Cyberbunker.com auf seine Blacklist gesetzt.Was dazu führte das Cyberbunker-Kunden plötzlich kaum noch Mails absetzen konnten.<br />
<br />
Nur wenig später startete eine zunächst gemäßigte, dann stark ansteigende DDoS-Attacke auf die Server von Spamhaus.Nach Angaben von Akamai erreichte die Attacke eine Stärke von bis zu 300 GBit/s.Nur wenige Stunden später hat Spamhaus das Security-Unternehmen Cloudflare mit der Abwehr beauftragt.Ein großteils des Traffic´s erzeugten die Angreifer mit einer "DNS Amplification Attack" was zu gleich zeigt dass es tausende offene DNS-Server gibt,die auf jede Anfrage ungeprüft reagieren.<br />
<br />
Jede Anfrage etwa 36 Byte lang,angefragt wurde aber nur ein DNS-Zonen-File von rund 3000 Zeichen Länge,was jede Anfrage von den DNS-Serverm um den Faktor 100 verstärkt.Cloudflare habe mindestens 30.000 anfragende DNS-Server registriert, erläutert Matthew Prince Chef von Cloudflare in einem Blog Eintrag.<br />
<br />
Demzufolge haben die Angreifer nur 750 MBit/s abgehende Bandbreite benötigt, um einen durchschnittlichen Traffic von 75 GBit/s bei Spamhaus zu erzeugen.<br />
<br />
<a href="http://i48.tinypic.com/153o8ig.jpg"><img height="300" src="http://i48.tinypic.com/153o8ig.jpg" width="500" /></a>
<br />
Bildquelle: http://securitytnt.com<br />
<br />
<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">Akamai habe erhebliche Auswirkungen auf die weltweite Netzauslastung durch den Angriff beobachtet.</span><br />
<br />
Cyberbunker.com ist ein Hoster der von Kriminellen jeglicher art genutzt wird,hier finden sich child pornography,Foren verschiedener Terrorister Vereinigungen wie auch Malware.Dem Namen nacht der Hoster sich alle ehere darin das er seine Server so wie Büro´s wirklich in einem Bunker aus dem Kaltenkrieg angesiedelt hat.<br />
<br />
<a href="http://i46.tinypic.com/1ovaef.jpg"><img height="300" src="http://i46.tinypic.com/1ovaef.jpg" width="500" /></a>
<br />
Bildquelle: Wikipedia<br />
<br />
mfg Bl4ck r47<br />
29.03.2013 09:52 Uhr<br />
<br />
<br />
<br />
<br />
<br />Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-14605152553591698932013-02-12T12:29:00.001-08:002013-02-12T12:29:39.993-08:00Brian Krebs on the login pageDer Author von Honeypots (exposedbotnets.com) hat einen Interessanten Fund gemacht.<br />
<br />
<h3 class="post-title entry-title" itemprop="name" style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 22px; font-weight: normal; margin: 0.75em 0px 0px; position: relative;">
hfgfr56745fg.com (Betabot http botnet hosted by ecatel.net)</h3>
<div class="post-header" style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 11px; line-height: 1.6; margin: 0px 0px 1.5em;">
<div class="post-header-line-1">
</div>
</div>
<div class="post-body entry-content" id="post-body-1667824774230912982" itemprop="description articleBody" style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 1.4; position: relative; width: 520px;">
Resolved hfgfr56745fg.com to 80.82.66.204<br />
<br />
Server: hfgfr56745fg.com<br />
Gate file: /rem/order.php</div>
<a href="http://i47.tinypic.com/116rfaf.jpg"><img height="500" src="http://i47.tinypic.com/116rfaf.jpg" width="500" /></a><br />
<br />
<br />
mfg Bl4ck r47<br />
12.02.2013 21:28 Uhr<br />
<br />
<br />Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-15281761868765527442013-02-07T23:00:00.001-08:002013-02-07T23:03:23.869-08:00Der Wilde Wilde WestenEine schöne Liste von Exploit Kits,erstellt von kahusecurity.com<br />
<br />
<a href="http://i49.tinypic.com/2weymo9.jpg"><img height="1500" src="http://i49.tinypic.com/2weymo9.jpg" width="400" /></a>
<br />
<br />
<br />
mfg Bl4ck r47<br />
08.02.2013 08:00 UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-55418109514385967102013-02-07T02:11:00.001-08:002013-02-07T02:11:19.706-08:00Bye bye Bamital<br />
Microsoft und Symantec haben gemeinsam die Schließung eines weiteren Botnetzes erreicht.Nach zwei Jahren Arbeit konnten Microsoft und Symantec in einer gemeinsamen Aktion das Botnetz Bamital übernommen und abschalten lassen.18 Personen weltweit sollen Bamital aufgebaut und an deren Betrieb beteiligt gewesen sein.<br />
<br />
Bamital leitete Benutzer unter anderem nach Suchanfragen auf Webseiten um, die sie gar nicht besuchen wollten.Bamital ist das Sechste Botnet, gegen das Microsoft seit 2010 per Gerichtsbeschluss vorgegangen ist und das zweite Mal, dass der Konzern dabei mit Symantec zusammengearbeitet hat.<br />
<br />
<a href="http://i50.tinypic.com/11ukhmc.jpg"><img height="500" src="http://i50.tinypic.com/11ukhmc.jpg" width="400" /></a>
<br />
<br />
Sobald über einen Suchdienst wie die von Google, Microsoft und Yahoo angebotenen Webseiten eine Anfrage gestellt wird,lies Bamital nicht die richtigen Suchergebnisse angezeigen,<br />
<br />
Die Anfragen werden auf einen Command & Control Server des Botnetzes umgeleitet, der dann Werbung und gefälschte Suchergebnisse anzeigt.Klickt der mit bamital Infizierte Anwender auf dieser Seite dann auf einen Link, landet er bei einer Webseite, die der Suchanfrage in etwa entspricht,aber auch von Bamital verbreitete Werbung enthält.<br />
<br />
Microsoft und SymantecSchätzungen,das die Betreiber durch die Werbung mindestens eine Million US-Dollar pro Jahr zu erzielen konnten,vielleicht sogar das Dreifache.Bamital leitete jeden Tag Drei Millionen Besucher allein auf einen einzigen ihrer Server um.In den letzten zwei Jahren sollen rund 8 Millionen Computer unter der Kontrolle der herder gestnden haben.<br />
<br />
<br />
Bessere Gesetze und die Zusammenarbeit von Firmen macht es den Botnet Herdern schwerer, ihrer Ziele zu erreichen.<br />
<br />
Je häufiger solche Operationen durchführen werden, desto offensichtlicher wird es den Kriminellen, dass man hinter ihnen her ist, sagte Richard Boscovich, Assistant General Counsel von Microsofts Digital Crimes Unit in einer Telefonkonferenz mit Itespresso.<br />
<br />
Betroffen sind nur Anwender, die keinen oder veraltete Virenscanner einsetzen. Die Engines aller namhaften Antiviren Hersteller erkennen Bamital seit Jahren.<br />
<br />
<br />
<br />
<h1 style="background-color: #ebebeb; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 24px; margin: 0px; padding: 0px;">
Trojan.Bamital</h1>
<div class="colTwoMain unit" style="background-color: #ebebeb; color: #444444; float: left; font-family: arial, helvetica, sans-serif; font-size: 12px; line-height: 15px; margin: 0px; padding: 0px; width: 760px;">
<div class="bckBrdr bckGry" style="background-color: rgba(142, 144, 143, 0.2); background-position: initial initial; background-repeat: initial initial; margin: 0px; padding: 7px;">
<div class="bckPadSmall introTxt1" style="color: black; font-size: 16px; margin: 0px; padding: 7px;">
<h2 style="color: #444444; font-size: 16px; margin: 0px; padding: 0px;">
Risk Level 1: Very Low</h2>
</div>
</div>
</div>
<br />
<br />
<br />
<dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;"><strong>Discovered: </strong>July 1, 2010</dd>
<dt class="unit mrgnRgtXSM" style="background-color: white; color: #444444; float: left; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px 3px 0px 0px; padding: 0px;"><strong>Updated:</strong></dt>
<dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;">February 6, 2013 9:24:55 PM</dd>
<dt class="unit mrgnRgtXSM" style="background-color: white; color: #444444; float: left; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px 3px 0px 0px; padding: 0px;"><strong>Also Known As:</strong></dt>
<dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;">Troj/Mdrop-CSK [Sophos], Troj/Agent-OCF [Sophos]</dd>
<dt class="unit mrgnRgtXSM" style="background-color: white; color: #444444; float: left; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px 3px 0px 0px; padding: 0px;"><strong>Type:</strong></dt>
<dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;">Trojan</dd>
<dt class="unit mrgnRgtXSM" style="background-color: white; color: #444444; float: left; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px 3px 0px 0px; padding: 0px;"><strong>Infection Length:</strong></dt>
<dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;">Varies</dd>
<dt class="unit mrgnRgtXSM" style="background-color: white; color: #444444; float: left; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px 3px 0px 0px; padding: 0px;"><strong>Systems Affected:</strong></dt>
<dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;">Windows 2000, Windows 7, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP</dd><dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;"><br /></dd><dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;"><b>Quelle:</b> Symantec</dd><dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;"><br /></dd><dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;">mfg Bl4ck r47</dd><dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;">07.02.2013 11:11</dd><dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;"><br /></dd><dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;"><br /></dd><dd style="background-color: white; color: #444444; font-family: arial, helvetica, sans-serif; font-size: 14px; line-height: 18px; margin: 0px; padding: 0px;"><br /></dd><br />
<br />
<br />
<br />
<br />Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-736775253795215762013-01-24T11:06:00.001-08:002013-01-24T11:06:15.390-08:00Programmiere des Gozi Trojaners Angeklagt<a href="http://i45.tinypic.com/16auwsw.jpg"><img height="200" src="http://i45.tinypic.com/16auwsw.jpg" width="500" /></a><br />
Der Gozi-Trojaner aka Snatch 2 soll weltweit mehr als eine Million Computer infiziert und Schäden in Höhe von mehreren zehn Millionen US-Dollar verursacht haben.
2007 tauchte der Trojaner auf und besorgte den Verantwortlichen Rumänen Mihai P,Denis C. aus Lettland und dem seid Mai 2011 inhaftiertem Russen Nikita K. mehreren zehn Millionen US-Dollar von Hunderttausende private Computer so wie NASA und Regierungsbehörden.<br />
<br />
Der Händer Gozi bot den Trojaner in Foren und IRC Channels zum Kauf an.<br />
<a href="http://i47.tinypic.com/2wp1bap.jpg"><img height="131" src="http://i47.tinypic.com/2wp1bap.jpg" width="400" /></a><br />
Looking for sources (Quelle: secureworks.com)<br />
<br />
Verkauft wurde der Trojaner zwischen $1000 und $2000 (USD).
<a href="http://i50.tinypic.com/2ryqzwh.jpg"><img height="300" src="http://i50.tinypic.com/2ryqzwh.jpg" width="500" /></a><br />
Snatch is advertised on the author's home page (Quelle: secureworks.com)<br />
<br />
Der fertige Trojaner wurde dann gegen eine wöchentliche Gebühr auf der Online Plattform 76Service.com zur Verfügung gestellt.<br />
<a href="http://i45.tinypic.com/jq26vo.jpg"><img height="150" src="http://i45.tinypic.com/jq26vo.jpg" width="400" /></a><br />
(Quelle: secureworks.com)<br />
<br />
Die Kunden konnten selbst bestimmen, welche Ziele angegriffen werden und die gestohlenen Daten wurden für sie gespeichert.
Über BulletProof Hoster sei nicht nur Gozi, sondern auch Zeus und SpyEye von Mihai P. verbreitet worden sein.Sollten die Angeklagten schuldig gesprochen werden, drohen ihnen Höchststrafen von 60 und 95 Jahren Gefängnis.
mfg Bl4ck r47
24.01.2013 20:05 UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-54291731428726307702013-01-19T11:30:00.002-08:002013-01-19T11:30:12.731-08:00Virut belebt Waledac wieder<br />
Nach Angaben von Symantec sollen mit W32.Virut infizierte Systeme den aus dem verkehrgezogenen Bot W32.Waledac.D oder auch Kelihos bekannt gewordene Botnet nachladen.Waledac galt nach Gegenmaßnahmen von Microsoft als tot, wird aber wohl auf diese Weise offenbar zurück ins Leben gerufen<br />
.<br />
<a href="http://i50.tinypic.com/2hdd340.jpg"><img src="http://i50.tinypic.com/2hdd340.jpg" height="300" width="500" /></a>
<br />
Bild: Symantec<br />
<br />
<br />
Nach Angaben von Symantec soll ein beobachtetes System 2000 Spambotschaften pro Stunde verschicken.<br />
Der Sicherheitsbotschafter rechnet nun mit mehreren Milliarden unerwünschten Werbemails pro Tag,von etwa 308.000 mit Virut infizierten Systemen von dennen ein Viertel Waledac nachläd.Das von Symantec vorgelegten Modellgehen geht von 1,2 bis 3,6 Milliarden Spambotschaften pro Tag aus.<br />
<br />
<br />
<a href="http://i47.tinypic.com/ra96v4.jpg"><img src="http://i47.tinypic.com/ra96v4.jpg" height="300" width="400" /></a>
<br />
Bild: Symantec<br />
<br />
Der bisherige versand von unerwünschten Emails über das wiederauferstandene Waledac Botznet versand den großteil seines Spams an die USA. In Europa ist Frankreich am stärksten betroffen. Es handelte sich größtenteils soll es sich um bekannte Werbebotschaften handeln wie eine Online-Apotheke aus Kanada und leistungssteigernde Medikamente.<br />
<br />
Der Fall zeige dass sich solche Botnetze nicht gegenseitig behindern müssen und es ein Zeichen für verstärkter Zusammenarbeit unter Cyberkriminellen währe.<br />
<br />
Microsoft hatte großen Anteil an der Schließung von Waledac im Jahre 2010 so wie dem Nachfolger Kelihos 2011.Außerdem beantragte Microsoft eine richterliche Verfügungen, um die Command & Control-Server von Waledac abschalten abschalten zu lassen und so zu verhindern, dass neue Module auf den Dronen nachinstalliert werden können.<br />
<br />
mfg Black r47<br />
19.01.2013 20:29<br />
<br />
<br />Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-61144760207081689452013-01-17T22:54:00.002-08:002013-01-17T23:09:25.472-08:00Kim.com/MegaDie Uhr macht TickTackTickTack und ich selber bin gespannt darauf was passieren wird.<br />
<br />
Bigger,Better,Faster,Stronger and Safer,das ist der neue Werbeslogan von Kimdotcom seinem neuen Filehoster.<br />
<a href="http://i47.tinypic.com/epjj9t.jpg"><img src="http://i47.tinypic.com/epjj9t.jpg" height="400" width="500" /></a><br />
<br />
Aber wird er auch genau so Erfolgreich sein wie Megaupload und ob der Filehoster morgen an den Start geht bleibt abzuwarten.Eines ist klar,ein zweites mal werden dem FBI keine Fehler unterlaufen.<br />
<br />
18.01.2013 07:54 Uhr<br />
mfg Bl4ck r47Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-39661763275266662092013-01-15T04:27:00.001-08:002013-01-15T04:27:10.851-08:00bx1 auf der DurchreiseSchon am <a href="http://www.zdnet.de/41561174/microsoft-laesst-zwei-zeus-botnetze-abschalten/">26. März 2012 (Zdnet.de)</a> hatte Microsoft zwei Zeus Botnetze abschalten lassen und eine Klage gegen 39 Beschuldigte eingereicht die bislang nur unter Nicknamen wie Slavik, zebra7753, iceIX, Veggi Roma, susanneon, JabberZeus Crew und h4xOrdz bekannt sind.<br />
<br />
<iframe allowfullscreen="allowfullscreen" frameborder="0" height="315" src="https://www.youtube-nocookie.com/embed/hqPmrWHkeTQ" width="560"></iframe>
<br />
<br />
Jetzt ist es der Thailändischen Polizei<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;"> gelungen </span>Hamza Bendelladj aka bx1 zu fassen als er<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;"> einen Zwischen stop in </span><span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">Bangkok </span><span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">machte.</span><span style="color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif;"><span style="font-size: 14px; line-height: 19px;">Seit drei Jahren fahndete das FBI nach Hamza Bendelladj,weil er private Bankkonten bei mindestens 217 Banken weltweit geknackt und zum Teil leer geräumt haben soll. </span></span><br />
<span style="color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif;"><span style="font-size: 14px; line-height: 19px;"><br /></span></span>
<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">Kaspersky </span><span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">veranschlagt den von Bendelladj verursachten Schaden laut </span><span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">Blog </span><a href="https://threatpost.com/en_us/blogs/alleged-zeus-botmaster-arrested-stealing-100-million-us-banks-011013" rel="noreferrer" style="background-color: white; color: #666666; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">Threatpost</a> auf <span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">100 Millionen US-Dollar.</span><br />
<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;"><br /></span>
<a href="http://i47.tinypic.com/r9fseh.jpg"><img height="300" src="http://i47.tinypic.com/r9fseh.jpg" width="300" /></a><br />
Bildquelle: KrebsonSecurity.com
<br />
<br />
Unter der Domain <a href="http://www.zeuslegalnotice.com/">http://www.zeuslegalnotice.com</a> liegt ein Anklageschreiben aller verdächtigen vor.<br />
<a href="http://i46.tinypic.com/1z5t27n.jpg"><img height="400" src="http://i46.tinypic.com/1z5t27n.jpg" width="300" /></a>
<br />
<br />
15.01.2013 13:26 Uhr<br />
mfg Bl4ck r47<br />
<br />
<br />Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-13765939705362088772012-12-10T09:38:00.002-08:002012-12-10T09:52:09.564-08:00Das Botnet im Tor Netzwerk<a href="https://community.rapid7.com/community/infosec/blog/2012/12/06/skynet-a-tor-powered-botnet-straight-from-reddit" rel="noreferrer" style="background-color: white; color: #666666; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">Security-Street-Blog</a><span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;"> und viele weitere treffen immer mehr auf Botnetze deren Kommunikation mit</span><br />
<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">Hilfe des Tor Netzwerkes verschleiert wird.</span><br />
<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;"><br /></span>
<span style="color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif;"><span style="font-size: 14px; line-height: 19px;">Bei einer normalen Verbindung eines Botnetzes Sprechen sich Client und Server dirket an.</span></span><br />
<a href="http://i46.tinypic.com/fc8iut.jpg"><img height="131" src="http://i46.tinypic.com/fc8iut.jpg" width="400" /></a><br />
<i>Bild Gdata</i><br />
<br />
Im Tornetzwerk sieht das aber schon anders aus,die Dronen <span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">kontaktieren über das Tor-Netzwerk nur einen Dienst mit einer Pseudo-Adresse wie m</span><code style="background-color: white; color: #151515; font-family: 'Courier New', monospace; font-size: 0.9em; line-height: 19px;">4wyxqg7cfbqrwjc.onion</code><span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">, die das Tor-Netz auflöst und vermittelt.</span><br />
<a href="http://i48.tinypic.com/34njzow.jpg"><img height="250" src="http://i48.tinypic.com/34njzow.jpg" width="400" /></a>
<br />
<i>Bild Gdata</i><br />
<br />
Besonders schwer ist eine solches Netzwerk für Trojaner wie Zeus nicht gerade.<br />
<br />
<br />
<b>Example ZeuS</b><br />
1) Set up ZeuS webpanel the usual way. Webpanel will use port 80.<br />
<br />
2) On the webpanel server do:<br />
1. run sudo apt-get install tor<br />
2. edit /etc/tor/torrc:<br />
<br />
HiddenServiceDir /var/lib/tor/zeusbot<br />
HiddenServicePort 13380 127.0.0.1:80<br />
<br />
3. Restart TOR using sudo service tor restart<br />
4. run cat /var/lib/tor/zeusbot/hostname to get your *.onion domain<br />
<br />
3) Make your order:<br />
Domain: rz26346sssz553un.onion<br />
Ports: 13380<br />
<br />
4) You will recieve your own stub.exe and bridge.dat . This bridge.dat will<br />
contain your domain, ports and will only work with your unique stub.exe!<br />
<br />
5) Build your ZeusBot:<br />
<a href="http://i48.tinypic.com/bfgem9.jpg"><img height="300" src="http://i48.tinypic.com/bfgem9.jpg" width="500" /></a>
<br />
<br />
6) Upgrade your bot.exe with the Torifier and you are ready to roll!<br />
<br />
<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">Dennoch bieten </span><span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">Tor Hidden Services</span><span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;"> wie auch Tor selber im allgemeinen keine sonderlich schnell Raketenverbindung was ein ziemliches Handicaps ist, wenn man eine zuverlässige Echtzeit-Kommunikation mit tausenden Dronen benötigt.</span><span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;"> </span><br />
<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;"><br /></span>
<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;">Auch der Blogger von </span><a href="http://www.exposedbotnets.com/">http://www.exposedbotnets.com</a> hatte in den letzten Tagen über ein Botnet berichtet welches sich mit Hilfe von Tor Versteckt.<br />
<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;"><br /></span>
<span style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">Server: uy5t7cus7dptkchs.onion</span><br />
<span style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">Port: 16667</span><br />
<span style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">Channel: #5net1</span><br />
<span style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">Channel: #allin </span><br />
<span style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">* Topic for #allin is: !silence on</span><br />
<span style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">* Topic for #allin set by sudo at Thu Dec 06 15:52:55 2012</span><br />
<span style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">Nick format: [USA-W7-683960]USER</span><br />
<span style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">Oper:suda (suda@admin.invalid)</span><br />
<span style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;"> </span><br />
<span style="background-color: white; font-family: Arial, Tahoma, Helvetica, FreeSans, sans-serif; font-size: 13px; line-height: 18px;">You obviously need to set TOR as your irc proxy to connect. </span><br />
<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;"><br /></span>
<span style="background-color: white; color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif; font-size: 14px; line-height: 19px;"><br /></span>
<span style="color: #151515; font-family: Arial, Helvetica, Verdana, sans-serif;"><span style="font-size: 14px; line-height: 19px;">Quellen:</span></span><br />
<a href="http://www.exposedbotnets.com/2012/12/uy5t7cus7dptkchsonion-irc-botnet-hosted.html">http://www.exposedbotnets.com/2012/12/uy5t7cus7dptkchsonion-irc-botnet-hosted.html</a><br />
<a href="http://blog.gdatasoftware.com/blog/article/botnet-command-server-hidden-in-tor.html">http://blog.gdatasoftware.com/blog/article/botnet-command-server-hidden-in-tor.html</a><br />
<a href="http://www.heise.de/security/meldung/Botnetz-versteckt-sich-im-Tor-Netzwerk-1764791.html">http://www.heise.de/security/meldung/Botnetz-versteckt-sich-im-Tor-Netzwerk-1764791.html</a><br />
<br />
mfg Bl4ck r47 10.12.2012 18:37 UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-30007369655070754462012-11-23T23:58:00.003-08:002012-11-23T23:58:54.069-08:00Underground TakedownEs ist ein schöner Samstag Morgen und ich stöbere gerade so in meinen Daten als ich eine Liste finde die ich seit Jahren immer Aktuell halte.<br />
<br />
Ich nenne sie Underground Takedown.<br />
<br />
<br />
<a href="http://i49.tinypic.com/3011o2b.jpg"><img height="300" src="http://i49.tinypic.com/3011o2b.jpg" width="400" /></a><br />
<br />
In dieser Liste sind alle großen Botnet Herder so wie Underground Foren und Bulletproof Hoster aufgelistet die über all die Jahre Versuchten mit Illegalen Mitteln Geld zu verdienen und doch Gescheitert sind.<br />
<br />
Schaut man sich den Bereich der Botnetze genauer an so wird man feststellen das ein Botnet vom Tag seiner Entdeckung bis zum Takedown 2 Jahre Online wahr im durchschnitt.Nur Koobface schaffte es 3 Jahre Online zu bleiben.<br />
<br />
Es ist eine 50/50 Chance Identifiziert zu werden oder Unerkannt zu bleiben,auffällig ist nur das alle Betreiber eines P2P Botnetz unerkannt blieben während alle anderen lokalisiert wurden konnten.<br />
<br />
Auch den Underground Foren geht es nicht anders,sie alle versuchen sich im Schutze ihrer Hoster zu verstecken.Der bekannteste Hoster für Illegale Foren ist 2x4.ru/Wahome.Dort tummeln sich die bekanntesten und größten Foren,von Warez über Carding bis hin zu Botnetzen.Sollte dieser ISP einmal Down genommen werden ist der halbe Underground verschwunden :-D .<br />
<br />
HostExploit veröffentlicht jedes Quartal eine Liste mit Hostern die besonders viel Illegale Aktivitäten aufweisen. <a href="http://sitevet.com/hosts/">Top 50 Bad Host</a>.Auch Amazon und Google sind in der Liste zu finden da sie wegen ihrer Cloud sehr beliebt geworden sind.<br />
<br />
Es bleibt weiter abzuwarten wer als nächstes auf der Liste der Fahander vom FBI,Secret Service und dem BKA steht.sie alle sind der größte Feind der Cybercrime geworden und Arbeiten verstärkt daran das Inernet ein wenig sicherer zu machen,wen auch nicht immer mit den Richtigen Mitteln wie dem BKA Trojaner oder das FBI mit carderprofit.net.<br />
<br />
mfg Bl4ck r47<br />
24.11.2012 08:58 Uhr<br />
<br />
<br />Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-2417200033913737252012-04-29T06:25:00.003-07:002012-04-29T06:25:50.682-07:00Das OS spielt keine Rolle mehrFrüher sagte man immer Windows sei zu Unsicher im Internet und viele hatten zwei Rechner oder Arbeiteten mit Windows und einer Virtuellen Maschine.All dieses ist spielt nun keine Rolle mehr im Internet,so ist durch die Verbreitung von Exploit Kits wie das Black Hole oder Eleonore Kit jeder Rechner angreifbar.<br />
<div>
<br /></div>
<div>
<a href="http://i54.tinypic.com/68hlww.jpg"><img height="400" src="http://i54.tinypic.com/68hlww.jpg" width="400" /></a><br />
<br />
<a href="http://i41.tinypic.com/35mpi84.jpg"><img height="400" src="http://i41.tinypic.com/35mpi84.jpg" width="400" /></a><br />
<br />
Dabei spielt es heut zu Tage keine Rolle mehr ob ich mit Windows,Mac OSX oder Linux im Netz unterwegs bin. Durch den Erfolg des Flaschfake Trojaners steigt das Interesse der Cybercrime sich auf jedes Betriebsystem zu Konzentrieren und nicht nicht nur auf Windows zu versteifen.<br />
<br />
<a href="http://i48.tinypic.com/epk6qh.jpg"><img height="131" src="http://i48.tinypic.com/epk6qh.jpg" width="400" />Bild Kaspersky</a><br />
<br />
So kombinieren Kriminelle ihren Schadecode um <span style="background-color: white; color: #222222; font-family: 'Droid Serif', georgia, serif; font-size: 16px; line-height: 24px;">plattformübergreifend</span> arbeiten zu können wie der von Symantec entdeckte <span style="background-color: white; color: #222222; font-family: 'Droid Serif', georgia, serif; font-size: 16px; line-height: 24px;">Maljava.Maljava </span><span style="background-color: white; color: #222222; font-family: 'Droid Serif', georgia, serif; font-size: 16px; line-height: 24px;">macht sich den Vor- und Nachteil der plattformübergreifenden Java-Laufzeitumgebung zu eigen und </span><span style="background-color: white; color: #222222; font-family: 'Droid Serif', georgia, serif; font-size: 16px; line-height: 24px;">lädt via Drive-by Download einen Dropper herunter. Auf Macs ist dieser eine Python-Datei und auf Windows-Rechnern eine Exe-Datei.A</span><span style="background-color: white; color: #222222; font-family: 'Droid Serif', georgia, serif; font-size: 16px; line-height: 24px;">uch hier gibt es einen unterschiedlichen Code. Während sich die Windows-Exe als vermeintlich systemkritische ntshrui.dll tarnt, ist die Mac-Version mit update.py benannt.</span><br />
<span style="color: #222222; font-family: 'Droid Serif', georgia, serif;"><span style="line-height: 24px;"><br /></span></span><br />
<span style="color: #222222; font-family: 'Droid Serif', georgia, serif;"><span style="line-height: 24px;"><a href="http://i48.tinypic.com/2n8065l.jpg"><img height="400" src="http://i48.tinypic.com/2n8065l.jpg" width="400" />Bild Symantec</a></span></span><br />
<span style="color: #222222; font-family: 'Droid Serif', georgia, serif;"><span style="line-height: 24px;"><br /></span></span><br />
<span style="background-color: white; color: #222222; font-family: 'Droid Serif', georgia, serif; font-size: 16px; line-height: 24px;">So werden Prinzipiell auch Linux-Rechner angegriffen aber laut Symantec wird dann der Mac-Code-Teil ausgeführt, der auf Linux-Rechnern allerdings mangels geschriebenen Codes ins Leere läuft.So sind sich </span><span style="background-color: white; color: #222222; font-family: 'Droid Serif', georgia, serif; font-size: 16px; line-height: 24px;">Symantec und Dr. Web derzeit uneinig über die Infektionsrate des Flashfake-Trojaners. Dr. Web geht von rund </span><span style="color: blue;">570.000</span> infizierten Macs<span style="background-color: white; color: #222222; font-family: 'Droid Serif', georgia, serif; font-size: 16px; line-height: 24px;"> aus und Symantec von ungefähr </span><span style="color: blue;">200.000 </span>Infizierten Systemen<span style="color: blue;">.</span><br />
<span style="color: blue;"><br /></span><br />
mfg bl4ck r47<br />
29.04.2012 15:24 Uhr<br />
<span style="color: #222222; font-family: 'Droid Serif', georgia, serif;"><span style="line-height: 24px;"><br /></span></span><br />
<span style="color: #222222; font-family: 'Droid Serif', georgia, serif;"><span style="line-height: 24px;"><br /></span></span><br />
<br /></div>Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-36957591231515395332012-03-28T05:42:00.002-07:002012-03-28T05:42:52.763-07:00VX Heavens, old-school virus-writing website, raided by police<br />
Die Ukraineische Polizei hat die Old-School Website vx.netlux.org geschlossen.<br />
<br />
VX.Netlux.org ist eine Gruppe von Hobby Programmieren die ihr wissen niemals dafür nutzten ihr Konto durch Malware aufzustocken. "VX" steht für "Virus eXchange".<br />
<br />
<br />
Mit diesem Schlag zeigen die Behörden das Malware im 21 Jahrhundert kein Spiel mehr ist,ganz gleich ob es sich dabei um Hobbycoder oder Kriminelle handelt.<br />
<br />
<br />
<br />
<div style="background-color: #cccbbb;">
Dear friends</div>
<div style="background-color: #cccbbb;">
How you can see, the VX Heavens server is unreachable since 23.03.2012. VX Heavens' administration sincerelly apologies for the inconvenience caused to You.</div>
<div style="background-color: #cccbbb;">
For many years we were tried hard to establish a reliable work of the site, which supplied you with a professional quality information on systems security and computer virology. We do always believed that a true research in any field (computer virology included) is only possible in the atmosphere of trust, openness and mutual assistance.</div>
<div style="background-color: #cccbbb;">
<br /></div>
<div style="background-color: #cccbbb;">
Unfortunately...</div>
<div style="background-color: #cccbbb;">
Friday, 23 March, the server has being seized by the police forces due to the criminal investigation (article 361-1 Criminal Code of Ukraine - the creation of the malicious programs with an intent to sell or spread them) based on someone's tip-off on "placement into the free access malicious software designed for the unauthorized breaking into computers, automated systems, computer networks".</div>
<div style="background-color: #cccbbb;">
<br /></div>
<div style="background-color: #cccbbb;">
The absurdity of such statement we need to prove in the court...</div>
<div style="background-color: #cccbbb;">
<br /></div>
<span style="background-color: white;"><br /></span><br />
mfg Bl4ck r47<br />
28.03.2012 14:41 Uhr<br />Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-52202387132630870162012-03-27T22:55:00.003-07:002012-03-28T04:47:34.860-07:00CyberCrime: Kriminalität und Krieg im digitalen ZeitalterWer noch ein Spannendes Buch zum Lesen braucht dem kann ich Cybercrime nur ans Herz legen.In dem Buch geht es um den Darkmarket der durch den FBI Agent J.Keith Murlaski hochgenommen wurde.<br />
<br />
Das Buch erzählt auch die verschiedenen Geschichten von Carderplanet und dem Elite Hacker Max Ray Butler alias Iceman so wie der Shadowcrew und Cardersplanet,das Heiligtum der Russischen Carderszene.<br />
<br />
<iframe frameborder="0" marginheight="0" marginwidth="0" scrolling="no" src="http://rcm-de.amazon.de/e/cm?t=ratnetwork-21&o=3&p=8&l=as1&asins=342104466X&ref=tf_til&fc1=000000&IS2=1&lt1=_blank&m=amazon&lc1=0000FF&bc1=000000&bg1=FFFFFF&f=ifr" style="height: 240px; width: 120px;"></iframe><br />
<br />
Iceman war der Hacker der dem es gelang tief in die Infrastrukturen der Server des Darkmarket einzubrechen und J.Keith Murlaski zu enttarnen.<iframe allowfullscreen="" frameborder="0" height="315" src="https://www.youtube.com/embed/LTVJ9rpwiFQ?rel=0" width="560"></iframe><br />
<br />
Das Buch ist auch als PDF für Kindle erhältlich.<br />
<br />
<iframe frameborder="0" marginheight="0" marginwidth="0" scrolling="no" src="http://rcm-de.amazon.de/e/cm?t=ratnetwork-21&o=3&p=8&l=as1&asins=B007A589GA&ref=tf_til&fc1=000000&IS2=1&lt1=_blank&m=amazon&lc1=0000FF&bc1=000000&bg1=FFFFFF&f=ifr" style="height: 240px; width: 120px;"></iframe><br />
<br />
<span style="font-weight: bold;">Kurzbeschreibung von Amazon</span><br />
Die Kriminalität im Netz explodiert – jeder ist betroffen<br />
<br />
Längst hat sich im Cyberspace eine neue Unterwelt gebildet, die sich im Netz über Tricks und Techniken austauscht, Zubehör für das Auslesen von Kreditkarten verkauft und rund um den Globus gestohlene Daten verschiebt. Die anonymen Weiten der digitalen Welt bieten Kreditkartenbetrügern und Industriespionen beste Voraussetzungen für ihre Attacken und Raubzüge, während die Strafverfolger Mühe haben, die Menschen hinter den Netzadressen zu fassen.<br />
<br />
Misha Glenny, der bekannte Experte für das internationale organisierte Verbrechen, recherchierte zwei Jahre lang in der Szene der Cyberkriminellen. Seine Erkenntnisse aus zahlreichen Gesprächen mit Hackern, Betrügern, Opfern, Cyberpolizisten und Sicherheitsexperten auf der ganzen Welt hat Glenny zu einer spannenden Erzählung verdichtet, die einem die Augen öffnet für die beinahe grenzenlosen kriminellen Möglichkeiten im Netz. Ein Muss für alle Computernutzer.<br />
<br />
<br />
mfg Bl4ck r47<br />
28.03.2012 08:20 UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-79515172650804396612012-03-06T10:43:00.001-08:002012-03-06T10:53:28.267-08:00Adobe SWF InvestigatorAdobe hat eine Sandbox für Flash-Dateien zum Download bereit gestellt.Der Adobe SWF Investigator ermöglicht einen Blick unter die Haube von Flash-Dateien. Es spielt keine Rolle, ob man als Sicherheitsexperte einen Exploit untersucht oder als Entwickler eigene Projekte debuggen möchte. Mit Hilfe der Tool-Sammlung kann man SWF-Dateien etwa dekompilieren, um anschließend den ActionScript-Quellcode zu durchstöbern.<br /><br /><a href="http://i42.tinypic.com/9qb4i1.jpg"><img src="http://i42.tinypic.com/9qb4i1.jpg" height="400" width="400"/></a><br /><br />Desweiteren ist ein XSS Fuzzer enthalten, mit dem man die Dateien auf Cross-Site-Scripting-Lücken (XSS) hin untersuchen kann. Auch ein HEX-Editor zur Modifizierung der Dateien ist an Bord. Der SWF Investigator läuft unter Windows und Mac OS X. Der Quellcode des in Adobe Air realisierten Tools steht auch zum Download bereit.<br /><br />Download now: <a href="http://labs.adobe.com/technologies/swfinvestigator/">Adobe SWF Investigator</a><br /><br />mfg Bl4ck r47<br />06.03.2012 19:52 UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-74945141916895950692012-02-07T10:27:00.000-08:002012-02-07T22:17:14.097-08:00Die drei NetzeDas Internet bietet uns alles viele Möglichkeiten und es ist in aller Munde weit verbreitet,nur ist das Internet nicht allein. Hinter den Augen der Bevölkerung gibt es noch zwei andere Netze und eines davon ist viel größer als das Internet.<br /><br /><span style="font-weight:bold;">Was bezeichnen wir als Internet:</span><br />Das Internet ist all das was uns die Suchmaschinen bei unserer Eingabe in ihr Suchfeld ausgeben.Um ein vielfaches ist das Deep Web oder auch Hidden Web,es umfast all die Informationen die uns Google und co bei einer Anfrage nicht ausgibt weil die Informationen nicht gefunden werden sollen.Das Deep Web besteht meist aus themenspezifischen Fachdatenbanken und Webseiten, die erst durch Anfragen dynamisch aus Datenbanken generiert werden.<br /><br /><a href="http://i40.tinypic.com/3483upc.jpg"><img src="http://i40.tinypic.com/3483upc.jpg" height="400" width="400"/></a><br /><br />So kann die Größe des Deep Web kann nur geschätzt werden.Nach einer Studie (Bergmann 2001) der Firma BrightPlanet sei die Datenmenge des Deep Web etwa 400 bis 550 mal größer als die des Surface Web. Allein 60 der größten Websites im Deep Web enthalten etwa 750 Terabyte an Informationen, was die Menge des Surface Web um den Faktor 40 übersteigt.Aber Suchmaschinen und ihre Webcrawler werden jedoch ständig weiterentwickelt und Webseiten die gestern noch zum Deep Web gehörten können heute schon Teil des Oberflächenwebs (<span style="font-style:italic;">Visible Web oder Surface Web</span>) sein.<br /><br /><span style="font-weight:bold;">Erster Einstig ins Hidden Web</span><br />Auch ohne eigens installierte Software ist es möglich ins Deep Web einzutauchen. Über Spezielle Webportale und Suchmaschinen.<br /><br /><span style="font-weight:bold;">Organisationen:</span><br />Die US-Regierung, Non-Profit-Organisationen,medizinische Vereinigungen - sie alle haben riesige Datenbestände,die aber nur über spezielle Suchmaschinen durchforstet werden können.<br /><br /><span style="font-weight:bold;">Bibliotheken:</span><br />Viele Bibliotheken lassen ihre Datenbanken nicht von Google Identifizieren - und sind somit nur über Suchmaschinen wie http://scirus.com ausfindig zu machen.<br /><br /><span style="font-weight:bold;">Museen:</span><br />Ausstellungsstücke,Kataloge,Videos: Viele Museen haben große Teile ihrer Sammlungen digitalisiert. Nutzt man bei Google den Begrieff "Database" kann man diese Schätze noch mit etwas Glück finden.<br /><br /><a href="http://brightplanet.com">http://brightplanet.com (gegen Bezahlung)</a><br /><a href="http://oaister.worldcat.org">http://oaister.worldcat.org</a><br /><a href="http://scirus.com">http://scirus.com</a><br /><a href="http://deepwebresearch.info">http://deepwebresearch.info</a><br /><a href="http://louvre.fr">http://louvre.fr</a><br /><a href="http://gallica.bnf.fr">http://gallica.bnf.fr</a><br /><br /><a href="http://i43.tinypic.com/33dcprr.jpg"><img src="http://i43.tinypic.com/33dcprr.jpg" height="100" width="400"/></a><br /><br />Das 3 Netz ist ein Netzwerk was außerhalb der normalen Straßen zu finden ist.Es handelt sich um das Darknet,ein privates Peer-to-Peer-Netz in dem sich die Nutzer nur mit den Menschen verbinden, denen sie vertrauen.In diesem Netz finden sich nur Eingeweihte Personen zurecht und wissen was sich wo Abspielt.Ein Darknet ist ein Serverloses Netzwerk und basiert auf dem P2P oder auch F2F (Friend to Friend) Prinzip.<br /><br />Enstanden sind Darknets,seitdem Strafverfolger weltweit Tauschbörsen unter die Lupe nahmen und die rührigsten Teilnehmer Juristisch verfolgen. Die Filesharer suchten nach Wegen, ihr Treiben unbehelligt fortzusetzen und konzipierten ein verstecktes Pendant zu den öffentlich zugänglichen Peer-to-Peer-(P2P)Plattformen wie Napster,eDonkey oder Torrent. In P2P-Netzen kümmern sich Zentrale Server darum, dass alle Nutzer Mp3s,Filme oder Spiele austauschen können - freilich ohne sich dabei um Urheberrechte zu scheren.<br /><br />Bei den neu geschaffenen Netzwerk wurden die Anlehnungen an P2P mit F2F abgekürzt: Anders als bei einem bekannten P2P-Netzwerk gibt es keine Server und die Teilnehmer können F2F-Dateien nicht mit beliebig anderen F2F-Usern tauschen. Hier muss jeder Teilnehmer die IP-Adresse seiner Freunde kennen und deren Digitales Zertifikat besitzen um mit ihnen in Kontakt zu treten.<br /><br />Eines der bekanntesten Anwendungen zum Aufbau von F2F-Netzen ist Freenet (Nicht zu verwechseln mit dem hiesigen Internetprovider).Das Ziel darin besteht, Daten verteilt zu speichern und dabei Zensur zu vereiteln und anonymen Austausch von Informationen zu ermöglichen. Dieses Ziel soll durch Dezentralisierung, Redundanz, Verschlüsselung und dynamisches Routing erreicht werden.<br /><br />Was unterscheidet den Inhalt eines Darknetzes von dem Internet:<br />In einem Darknet treibt sich um es mal auf den Punkt zu bringen der Abschaum der Welt rum.Am bekanntesten dafür ist die Operation Darknet von Anonymous gegen den Hoster Freedom Hosting. Services wie Freedom Hosting bieten anonyme Speicherplätze - in erster Linie für Raubkopien. Weil auf den Server auch Kinderpornografie liegt,wird Freedom Hosting derzeit von Anonymous mit DoS-Attacken unter Beschuss genommen.<br /><br /><span style="font-weight:bold;">Waffen:</span> Nein, das geschäft mit Waffen blüht nicht wirklich im Dark Web. Sporadisch allerdings bieten Händler auch Pistolen und Gewehre an - verkaufen diese aber nicht nach Europa.<br /><br /><span style="font-weight:bold;">Drogen:</span> Auf Seiten wie Silk Road, Hidden Eden oder Dat Good werden LSD,Marihuana,Kokain und andere Drogen so selbstverständlich wie Schokolade im Edeka angeboten.<br /><br /><a href="http://i39.tinypic.com/a3f5h2.jpg"><img src="http://i39.tinypic.com/a3f5h2.jpg" height="400" width="400"/></a><br /><br />Mit einem Browser im Normalzustand erreicht man das Darknet nicht. Es wird ein kleines Add-on des Anonymisierungsdienstes Tor benötigt.Tor unterstützt das Onion-Routing,eine recht komplizierte Anonymisierungstechnik, die Daten über eine Reihe ständig wechselnder verschlüsselter Proxyserver Transportiert.<br /><br />So weit so gut,jetzt wird es aber schwerer,im Darknet gibt es keine URLs im herkömmlichen Sinne. Die Webseiten erreicht man über Kryptische Buchstaben-Zahlen-Kombinationen gefolgt von >>.onion<<.Diese Adressen ändern sich ständig,so das sie immer neu recherchiert werden müssen.<br /><br />Beispiel:<br />Internet Adresse: http://www.meine-Domain.de<br />Darknet Adresse: 4rfzu723g680k3434zh56.onion<br /><br />Aber wie und wo, wird hier bewusst nicht verraten.<br /><br />mfg Bl4ck r47<br />07.02.2012 21:05 UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-89848470475983928102011-11-23T11:01:00.000-08:002011-11-23T11:23:48.844-08:00Internet Water ArmyEs ist immer wider erstaunlich wie weit der Osten dem Westen vor raus ist im Bereich Internet. HTTP Bots und Exploit Kits stammen vorwiegend aus dem Russischem Raum während im Westen noch bis 2005 mit IRC Bots gearbeitet wurde haben Russische Cyberkriminelle die Möglichkeit gefunden mit einem HTTP Bot der den Port 80 verwendet die Firewall zu umgehen und Exploit Kits für einen Drive by Download zu nutzten.<br /><br />In Russland,Estland,Ukraine usw ist es gang und gebe Warez Admins dafür zu bezahlen das sie einen Iframe auf ihrer Seite einbauen. China steht dem in nichts nach und so werden User dafür bezahlt das sie in Foren ein Produkt hoch anpreisen oder das der Konkurrenz schlecht machen. Internet Water Army werden in China Nutzer genannt, die für Geld Produkte bewerten, Kommentare in Foren schreiben oder gezielt Informationen oder Gerüchte streuen.<br /><br />Cheng Chen von der Universität in Victoria in der kanadischen Provinz British Columbia ist dem Phänomen auf den Grund gegangen - mit dem Ziel eine Software zu entwickeln, die bezahlte Forennutzer, sogenannte Paid Poster aufspürt, vergleichbar etwa einem Spamfilter.<br /><br /><a href="http://www.golem.de/1111/87957.html">Software spürt bezahlte Forennutzer auf</a><br /><br />https://payperpost.com<br />http://www.paidforumposting.com/Bl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-81471805475292472032011-11-20T07:28:00.000-08:002011-11-20T08:31:07.362-08:00Malware Programmierung HeuteSeit es die Cybercrime gibt die so um 2004 entstanden ist sind viele Verschiedene Arten von Malware im Internet Aufgetaucht. Ihre Funktionen gehen soweit das die besten Virenanalysten an ihnen verzweifeln können.<br /><br />Zu den bekanntesten gehören<br />Storm Worm = Erster Bot mit Fast-Flux Technik<br />Rustock = Verwendet eine Inovative Rootkit Technik und Fast-Flux<br />Bredolab = Fast-Flux Botnet<br />Srizbi = Erster Bot mit Domain-Flux Technik<br />Sinowal = Ist die erste Malware die ein MBR Rootkit und Domain-Flux verwendet<br />Waledac = Peer-to-Peer Bot<br />Conficker = Domain-Flux Bot<br />SpyEye = Banking Trojaner<br />ZeUs = Baning Trojaner<br />StuxNet = Industriespionage Malware<br />TDL/TDSS = Ein Bot der ohne einen C&C Befehle entgegenehmen kann (Peer-to-Peer Bot mit Domain-Flux).<br /><br />Aber wer sind die Köpfe hinter dieser Malware,bei ZeUs handelt es sich um eine einzelne Person mit dem Nick Slavik und bei SpyEye um Harderman. Eine Malware wie Zeus und SpyEye ist im vergleich zu StuxNet noch Relativ einfach zu Programmieren so das dieses eine Einzelne Person bewerkstelligen kann.Aber schon bei Rustock und Sinowal wurde Vermutet das es sich um eine ganze Gruppe Handelt die an einer Malware Arbeitet.<br /><br />Auch bei Stuxnet scheint dieses der Fall zu sein da sein Funktionsumfang und Technik einfach zu groß ist um das es sich um eine einzelne Person handeln kann.Die Cybercrime entwickelt sich immer weiter und Stück für stück fangen sie an sich zu Teams zusammen zuschließen und ihr Wissen zu vereinen. Dieses Anschauliche Bild Zeigt das schon wie in einem Unternehmen zusammengearbeitet wird um Systematisch eine Malware zu Entwickeln die so lange wie Möglich unentdeckt bleiben soll.<br /><br /><a href="http://i41.tinypic.com/zmgikk.jpg"><img src="http://i41.tinypic.com/zmgikk.jpg" height="300" width="400"/></a><br /><br />20.11.2011 17:19 UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-54113425187053377582011-11-20T04:35:00.000-08:002011-11-20T04:46:41.305-08:00MYBIOS. Lässt sich das BIOS infizieren?Gerade treibe ich mich bei Viruslist.com herum und finde einen Interessanten Artikel über eine Malware die in der Large ist das Bios und den MBR zu Infizieren.Interessant dabei ist der Punkt das die Malware nur ein Award-Bios Infizieren kann,aber wird kein AWARD-BIOS verwendet, infiziert der Dropper den MBR. Damit funktioniert das Rootkit auf jedem beliebigen System, unabhängig vom Hersteller des BIOS. Aus dem BIOS gestartet, ist das Schadprogramm in der Lage, jede Etappe der Initialisierung des Computers und des Betriebssystems zu kontrollieren.<br /><br /><a href="http://www.viruslist.com/de/analysis?pubid=200883759">MYBIOS. Lässt sich das BIOS infizieren?</a><br /><br />Die Möglichkeit, das BIOS eines Rechners zu infizieren, existiert schon relativ lange. Das Online-Magazin <a href="http://www.phrack.org/issues.html?issue=66&id=7">Phrack</a> hat dazu einen der besten Artikel veröffentlicht und auf der Webseite <a href="http://sites.google.com/site/pinczakko/bios-articles">Pinczakko</a> gibt es ebenfalls viele nützliche Informationen.<br /><br />Ein kleiner Ausschnitt aus dem Artikel.<br /><span style="font-weight:bold;">Installation</span><br /><br />Kaspersky Lab führt den Trojaner, um den es in dieser Analyse geht, unter dem Namen Rootkit.Win32.Mybios.a. Dieser Schädling verbreitet sich als ausführbares Modul und bringt alles zum Funktionieren notwendige bereits mit.<br /><br />Die Liste der Komponenten:<br /><br />Treiber für die Arbeit mit dem BIOS – bios.sys (Gerät \Device\Bios)<br />Treiber zum Verbergen der Infektion – my.sys (Gerät \Device\hide)<br />Komponente BIOS – hook.rom<br />Bibliothek zur Steuerung des Treibers bios.sys – flash.dll<br />Tool vom Hersteller für die Arbeit mit dem BIOS-Abbild – cbrom.exe<br /><br /><br />20.11.2011 13:44 UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-30027036649026573662011-10-06T11:39:00.000-07:002011-10-06T11:47:49.077-07:00Steve Jobs' 2005 Stanford Commencement AddressSteve Jobs ist verstorben,einer der größten und Besten in der IT Branche ist von uns gegangen.<br /><br />An der Universität von Stanford (US-Staat Kalifornien) hielt Jobs bereits 2005 vor Absolventen eine denkwürdige Rede. Seine Worte beschreiben das, was ihn antrieb, bewegte, und das, was er fühlte.<br /><br /><iframe width="420" height="315" src="http://www.youtube.com/embed/UF8uR6Z6KLc" frameborder="0" allowfullscreen></iframe><br /><br /><span style="font-weight:bold;">STEVE JOBS</span><br /><br />„Ich fühle mich geehrt, heute mit euch hier zu sein, bei eurer Abschlussfeier an einer der besten Universitäten, die es auf der Welt gibt. Ich habe nie eine Hochschule abgeschlossen. Um die Wahrheit zu sagen, jetzt gerade bin ich einem Hochschulabschluss am nahsten. <br /><br /> <br />Heute will ich euch drei Geschichten aus meinem Leben erzählen. Das ist alles. Keine große Sache. Nur drei Geschichten.<br /><br /> <br /><span style="font-weight:bold;">DIE ERSTE GESCHICHTE HANDELT VOM VERBINDEN DER PUNKTE</span><br /><br /> <br />Ich bin aus dem Reed College nach sechs Monaten ausgeschieden (...).Aber, warum bin ich ausgeschieden?<br /><br /> <br />Es begann noch bevor ich geboren wurde.<br /><br /> <br />Meine leibliche Mutter war eine junge, unverheiratete Uni-Absolventin und sie entschied sich, mich zur Adoption freizugeben. Sie war sehr davon überzeugt, dass ich von Leuten mit einem Universitätsabschluss adoptiert werden sollte, so wurde alles dafür arrangiert, dass ich bei der Geburt von einem Anwalt und seiner Frau adoptiert werde. Doch genau als ich auf die Welt kam, entschieden diese sich, dass sie eigentlich doch viel lieber ein Mädchen hätten.<br /><br /> <br />So wurden meine Eltern, die auf der Warteliste standen, mitten in der Nacht angerufen und gefragt: „Wir haben ein unerwarteten kleinen Jungen; Wollen sie ihn?“ Sie sagten: „Natürlich.“<br /><br /> <br />Meine leibliche Mutter fand später heraus, dass meine Mutter nie eine Universität absolviert hatte mein Vater nie eine Mittelschule abgeschlossen hatte. Sie weigerte sich, die Adaptionspapiere zu unterschreiben.<br /><br /> <br />Wenige Monate später war sie doch damit einverstanden, als meine Eltern versprochen hatten, dass ich irgendwann zur Universität gehen würde.<br /><br /> <br />Und 17 Jahre später ging ich auf die Hochschule.<br /><br /> <br />Aber aus Naivität habe ich ein College ausgesucht, dass so teuer war wie Stanford. Alle Ersparnisse meiner Eltern gingen für die Uni-Gebühren drauf. Nach sechs Monaten konnte ich den Wert darin nicht sehen. Ich hatte keine Ahnung, was ich in meinem Leben tun würde und keine Ahnung, wie mich die Universität darin unterstützen sollte, das herauszufinden.<br /><br /> <br />Und da stand ich nun, hatte das ganze ersparte Geld meiner Eltern verbraucht, das sie in ihrem Leben erarbeitet hatten. Ich entschied mich, die Schule zu verlassen und daran zu glauben, dass alles irgendwie OK gehen würde. Es war ziemlich beängstigend damals, aber rückblickend war es eine der besten Entscheidungen, die ich je getroffen habe.<br /><br /> <br />Ab der Sekunde, in der ich ausschied, konnte ich aufhören, die Kurse zu besuchen, die mich nicht interessierten, und mit denen beginnen, die für mich interessant waren.<br /><br /> <br />Die Reed Universität bot zu dieser Zeit einen der besten Kalligraphie-Kurse im Land an. Quer durch den ganzen Campus war jedes Poster, jedes Schild auf jeder öffentlichen Fläche wunderschön von Hand mit kalligraphischer Schrift versehen.<br /><br /> <br />(...) Ich entschied mich für einen Kalligraphie-Kursus, um zu lernen, wie man das macht. Ich lernte über Serif- und San-Serif-Schriftarten, über die unterschiedlichen Freiraum-Größen zwischen den verschiedenen Buchstabenkombinationen, über das, was großartige Typografie großartig macht.<br /><br /> <br />Es war wunderschön, historisch, künstlerisch feinsinnig in einer Art und Weise, wie sie Wissenschaft nicht einfangen kann und ich fand es faszinierend.<br /><br /> <br />In nichts von all dem steckte irgendwie die Hoffnung, dass es jemals eine praktische Anwendung finden würde in meinem Leben. Aber zehn Jahre später, als wir den ersten Macintosh-Computer entworfen haben, kam alles doch auf mich zu.<br /><br /> <br />Und wir arbeiteten all das in den Mac ein.<br /><br /> <br />Es war der erste Computer mit wunderschöner Typografie.<br /><br /> <br />Wenn ich diesen Kurs nicht besucht hätte, würde der Mac niemals verschiedene Schriften oder proportional aufgeteilte Freiräume in den Schriftarten haben.<br /><br /> <br />(...) Wäre ich damals nicht ausgeschieden, wäre ich niemals in diese Kalligraphie-Klasse gegangen und PCs hätten nicht die wunderschönen Schriftarten, die sie jetzt haben. Natürlich war es nicht möglich, diese Punkte miteinander zu verbinden, als ich noch in die Zukunft blickte, während ich noch auf der Universität war.<br /><br /> <br />Aber zehn Jahre später ist diese Verbindung sehr, sehr klar.<br /><br /> <br />Nochmal, du kannst Punkte nicht verbinden, wenn du nach vorn blickst. Du kannst Punkte nur verbinden, wenn du zurück blickst. So musst du daran glauben, dass sich die Punkte irgendwie in der Zukunft verbinden werden. Du musst an etwas glauben – deinen Gott, Schicksal, Leben, Karma oder was auch immer. Diese Einstellung hat mich nie im Stich gelassen und machte den erheblichen Unterschied in meinem Leben. <br /><br /> <br /><span style="font-weight:bold;">MEINE ZWEITE GESCHICHTE IST ÜBER LIEBE UND VERLUST</span><br /><br /> <br />Ich hatte Glück – Ich fand, was ich geliebt habe, ziemlich früh im Leben.<br /><br /> <br />Woz und ich starteten Apple in der Garage meiner Eltern, als ich 20 war. Wir arbeiteten hart und in zehn Jahren wuchs Apple von den zwei, die wir waren, zu einem 2-Milliarden-Dollar-Unternehmen mit mehr als 4000 Mitarbeitern heran.<br /><br /> <br />Wir hatten damals unser feinstes Stück geschaffen – den Macintosh – ein Jahr bevor ich 30 wurde. Und dann wurde ich gefeuert.<br /><br /> <br />Wie kann jemand gefeuert werden, wenn er das Unternehmen gegründet hatte?<br /><br /> <br />Naja, als Apple wuchs, stellten wir jemanden ein, bei dem ich glaubte, er sei sehr talentiert darin, das Unternehmen mit mir zu leiten und für das erste Jahr oder so liefen die Dinge gut. Aber als unsere Visionen für die Zukunft begonnen haben sich zu unterscheiden, kam es zu einer Auseinandersetzung. Als wir diese hatten, war die Chefetage auf seiner Seite. Also war ich mit 30 draußen. Und sogar ziemlich öffentlich rausgeworfen.<br /><br /> <br />Das, was mein einziges Ziel meines erwachsenen Lebens war, war nun vorbei und verwüstet. <br /><br /> <br />Ich wusste wirklich nicht, was ich tun sollte einige Monate lang.<br /><br /> <br />Ich habe mich so gefühlt, als hätte ich die vorangegangene Unternehmer-Generation in Stich gelassen, als hätte ich die Stafette fallen lassen, genau als diese mir übergeben wurde.<br /><br /> <br />Ich habe mich mit David Packard und Bob Noyce getroffen und versucht, mich zu entschuldigen, dass ich das alles so schlimm verkorkst habe. Mein Versagen wurde in der Öffentlichkeit ziemlich breitgetreten und ich überlegte sogar, aus der Gegend wegzuziehen.<br /><br /> <br />Aber etwas dämmerte mir langsam – ich liebte immer noch, das was ich tat. Und so entschied ich mich, von Neuem zu beginnen.<br /><br /> <br />Ich hatte es damals nicht gesehen, aber es stellte sich heraus, dass von Apple gefeuert zu werden das Beste war, was mir je hätte passieren können.<br /><br /> <br />Der Druck des Erfolges war von der Leichtigkeit, wieder ein Anfänger zu sein, komplett ersetzt worden, und das in allen Dingen. Es befreite mich, um eine der kreativsten Phasen in meinem Leben betreten zu können.<br /><br /> <br />Während der folgenden fünf Jahre startete ich eine Firma namens NeXT, eine andere Firma namens Pixar und verliebte mich in eine wundervolle Frau, die später meine Frau wurde.<br /><br /> <br />Pixar entwickelte den ersten animierten Computerfilm der Welt, Toy Story, und ist zur Zeit das erfolgreichste Animationsstudio der Welt. In einer bemerkenswerten Wendung der Dinge kaufte Apple NeXT und ich war zurück bei Apple und die Technologie, die wir bei NeXT entwickelt haben, ist nun das Herzstück der Renaissance der jetzigen Apple-Computer.<br /><br /> <br />Und Laurene und ich haben eine wundervolle Familie zusammen.<br /><br /> <br />Ich bin mir ziemlich sicher, nichts von dem wäre jemals geschehen, wenn ich nicht bei Apple gefeuert worden wäre.<br /><br /> <br />Es war bitter schmeckende Medizin, aber es war genau die, die ich benötigte.<br /><br /> <br />Manchmal trifft dich das Leben mit einem Ziegelstein auf den Kopf. Verliere nicht deinen Glauben.<br /><br /> <br />Ich bin überzeugt, dass das Einzige, was mich zum Weitermachen brachte, war, dass ich geliebt habe, was ich tat. Man muss das finden, was man liebt. Das ist wahr in Bezug auf die Arbeit wie auch im Liebesleben.<br /><br /> <br />Arbeit wird einen großen Teil des Lebens ausmachen und der einzige Weg, um wirklich erfüllt zu sein, ist das zu tun, wovon man glaubt, es sei eine großartige Arbeit. Und der einzige Weg, großartige Arbeit zu tun, ist zu lieben was man tut.<br /><br /> <br />Wenn du es bis jetzt nicht gefunden hast, dann suche weiter. Bleibe nicht stehen. Mit allen Fasern deines Herzen wirst du es spüren, wenn du es gefunden hast. Und wie jede große Beziehung wird es besser und besser, wenn die Jahre vergehen. Also schaue dich um, bis du es gefunden hast. Bleibe nicht stehen.<br /><br /> <br /><span style="font-weight:bold;">MEINE DRITTE GESCHICHTE IST ÜBER DEN TOD</span><br /><br /> <br />Als ich 17 war, las ich ein Zitat das ungefähr so klang:<br /><br /> <br />„Wenn du jeden Tag so lebst, als wäre es dein letzter, wird es höchstwahrscheinlich irgendwann richtig sein.“<br /><br /> <br />Es hatte mich beeindruckt und seit damals über 33 Jahre habe ich jeden Morgen in den Spiegel geschaut und mich selbst gefragt: „Wenn heute der letzte Tag in meinem Leben wäre, würde ich das tun, was ich mir heute vorgenommen habe zu tun?“ Und jedes Mal wenn die Antwort „nein“ war für mehrere Tage hintereinander, wusste ich, ich muss etwas verändern.<br /><br /> <br />Mich zu erinnern, dass ich bald tot sein werde, war für mich das wichtigste Werkzeug, das mir geholfen hat, alle diese großen Entscheidungen zu treffen.<br /><br /> <br />Weil fast alles – alle äußeren Erwartungen, der ganze Stolz, die ganze Angst vor dem Versagen und der Scham – diese Dinge fallen einfach weg angesichts des Todes und es bleibt nur mehr das, was wirklich wichtig ist. Sich zu erinnern, dass man sterben wird, ist der beste Weg, den ich kenne, um der Falle zu entgehen und zu glauben man hätte etwas zu verlieren. Du bist vollkommen nackt. Es gibt keinen Grund, um nicht seinen Herzen zu folgen.<br /><br /> <br />Ungefähr vor einem Jahr wurde bei mir Krebs diagnostiziert.<br /><br /> <br />Ich hatte eine Untersuchung um 7:30 in der Früh und es war deutlich ein Tumor auf meiner Bauchspeicheldrüse zu sehen. Ich wusste nicht mal, was eine Bauchspeicheldrüse ist. Der Arzt sagte mir, dass das bereits eine Form des Krebs sei, der unheilbar ist und dass ich damit rechnen solle, dass ich nicht mehr länger als drei bis sechs Monate zu leben habe. Der Arzt riet mir nach Hause zu gehen und meine Angelegenheiten alle in Ordnung zu bringen, was die Ärzte normal sagen, wenn sie sagen, man soll sich vorbereiten zu sterben. Es bedeutet zu versuchen, den Kindern das beizubringen und zu erklären, was man normalerweise geglaubt hat, man könnte es in den nächsten zehn Jahren tun, doch nun in einigen Monaten. Es bedeutet, dass alles geklärt sein soll, damit es später so leicht als möglich für die eigene Familie wird. Es bedeutet, sich zu verabschieden.<br /><br /> <br />Ich lebte mit dieser Diagnose den ganzen Tag.<br /><br /> <br />Später am Abend hatte ich eine Biopsie, wo sie mir ein Endoskop in den Hals gesteckt haben, durch meinen Magen in die Eingeweide, wo sie mit einer Nadel einige Zellen von dem Tumor abgeschabt haben. Ich war betäubt, aber meine Frau, die da war, erzählte mir, dass als sie sich die Zellen unter dem Mikroskop angesehen haben, die Ärzte zu weinen begannen, weil es sich herausstellte, dass es eine ganz seltene Form von Bauchspeicheldrüsenkrebs ist, der mit einer Operation heilbar ist.<br /><br /> <br />Ich hatte die Operation und bin nun gesund.<br /><br /> <br />Da war ich dem Tode am nahesten gekommen und ich hoffe, das wird auch so bleiben für die nächsten Jahrzehnte. Das nun durchlebt zu haben, gibt mir die Möglichkeit, euch mit mehr Gewissheit sagen zu können, dass der Tod ein rein nützliches geistiges Konzept ist.<br /><br /> <br />Niemand will sterben. Nicht mal Menschen, die in den Himmel kommen wollen, wollen sterben, um dorthin zu gelangen. Und dennoch ist der Tod das Schicksal, das wir alle teilen.<br /><br /> <br />Niemand ist jemals entkommen.<br /><br /> <br />Und das ist so, wie es sein sollte, weil der Tod möglicherweise die beste Erfindung des Lebens ist.<br /><br /> <br />Es ist der Vertreter des Lebens für die Veränderung. Es räumt das Alte weg, um Platz zu machen für das Neue.<br /><br /> <br />Gerade jetzt seid das Neue ihr, aber eines Tages, nicht sehr viel später, werdet ihr langsam zum Alten gehören und weggeräumt werden. Tut mir leid, dass ich so dramatisch bin. Aber es ist die Wahrheit. <br /><br /> <br />Deine Zeit ist begrenzt, also verbrauche sie nicht, um das Leben anderer zu leben.<br /><br /> <br />Sei nicht gefangen von Dogma, das nur Leben nach den Überlegungen anderer Leute bedeutet. Lass nicht den Krach anderer Meinungen die eigene innere Stimme zum Verstummen bringen.<br /><br /> <br />Und das Allerwichtigste, habe den Mut, dem eigenen Herzen und der Intuition zu folgen. Diese wissen irgendwie schon genau, was du wirklich sein willst. Alles andere ist zweitrangig.<br /><br /> <br />Als ich jung war, gab es eine erstaunliche Veröffentlichung, genannt „The Whole Earth Catalog“, welches eine der Bibeln meiner Generation war.<br /><br /> <br />Es war erschaffen von einem Kollegen mit Namen Stewart Brand nicht weit von hier im Menlo Park. Das war in den späten 60er-Jahren, bevor es noch PCs und desktop publishing gab, damals wurde alles mit Schreibmaschinen, Scheren und Polaroid-Kameras gemacht. Es war so etwas wie Google in Papierformat, 35 Jahre bevor Google auftauchte. Es war ideologisch und überfüllt mit ordentlichen Feinheiten und großartigen Gedanken.<br /><br /> <br />Stewart und sein Team haben mehrere Versionen vom „The Whole Earth Catalog“ rausgebracht, bis es zum Ende kam und sie eine letzte finale Version veröffentlichten.<br /><br /> <br />Es war Mitte der 70er und ich war in eurem Alter. Auf der Rückseite der letzten Version war eine Abbildung von einer Landstraße früh am Morgen, die Art von Landstraße, an der man als Anhalter stehen würde, wenn man ein Abenteurer wäre. Darunter standen die Wörter:<br /><br /> <br />„Bleib hungrig, bleib töricht.“<br /><br /> <br />Es war ihre finale Nachricht, als sie aufgehört haben. Bleib hungrig. Bleib töricht. Und das wünschte ich mir immer für mich selbst. Und jetzt, da ihr nun absolviert und neu beginnt, wünsche ich euch dasselbe.<br /><br /> <br />Bleibt hungrig. Bleibt töricht.<br /><br /> <br />Vielen Dank an alle.“<br /><br /> <br />Der Text basiert auf einer Übersetzung des österreichischen Blogs „Humanity“. Überarbeitung durch Bild.de<br /><br />06.10.2011 20:47 UhrBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.comtag:blogger.com,1999:blog-4045321512626837599.post-15191356802448677072011-07-01T22:51:00.000-07:002011-07-01T23:48:13.517-07:00TDSS - Malware 3.0In den letzten Monaten Monaten ist sehr viel im Underground geschehen.Soney wurde gehackt,die beiden Gruppen Anonymous und LulzSec haben einen sehr großen Bekanntheitsgrad erreicht durch ihre Attacken. Im Underground wurde der Source-Code des Banking Trojaners ZeUs veröffentlicht. Aber keiner dieser berichte hat meine Aufmerksamkeit so erregt wie die neue Version des Rootkits TDSS.<br /><br />TDSS in der neuen Version TDL-4 ist ein Rootkit welches von Kaspersky Labs entdeckt wurde und durch seine Funktionen als unverwühstbar gield. Aber was macht TDL-4 so besonders gegenüber anderen Botnetzen. Wie wir wissen ist der Schachpunkt eines Botnetzes immer der C&C Server und im Laufe der zeit haben Professionelle Cyberkriminelle immer wider versucht ihre Server zu verstecken durch Techniken wie <a href="http://de.wikipedia.org/wiki/Fast_Flux">Fast-Flux</a> oder <a href="http://de.wikipedia.org/wiki/Domain_Flux">Domain-Flux</a>.<br /><br />TDL-4 ist ein P2P Bot welcher auch ohne ein Command & Control Server befehle der Herder entgegennehmen kann. Dazu ein Auszug aus einer Analyse von Kaspersky.<br /><br />--------------------------------------------------------------------------------------<br /><span style="font-style:italic;">by Kaspersky Labs</span><br /><span style="font-weight:bold;">Zugriff des Botnetzes auf das Kad-Netz</span><br /><br />Eine der bedeutendsten Neuheiten der Version TDL-4 besteht in dem Modul kad.dll, das eine Zugriffsmöglichkeit des TDSS-Botnetzes auf das Kad-Netz bietet. Doch wofür brauchen die Cyberkriminellen ein Filesharing-Netzwerk?<br /><br />Botnetze, die über P2P-Protokolle gesteuert werden, sind schon seit langem bekannt, doch handelte es sich dabei bisher um verborgene Verbindungsprotokolle, die von Cyberkriminellen entwickelt wurden. TDSS nutzt hingegen ein öffentliches P2P-Netz, um die Befehle der Botnetzbetreiber an alle Rechner im Zombie-Netzwerk weiterzuleiten. Die Kommunikation von TDSS mit diesem Netz stellt sich folgendermaßen dar:<br /><br />1. In dem öffentlichen Netz Kad ermöglichen die Cyberkriminellen den Zugriff auf eine Datei mit der Bezeichnung „ktzerules“. Die Datei ist verschlüsselt und enthält die Befehlsliste für TDSS.<br /><br />2. Die mit TDSS infizierten Computer empfangen den Befehl zum Download und zur Installation des Moduls kad.dll.<br /><br />3. Die installierte Datei kad.dll lädt die Datei nodes.dat, die wiederum eine öffentliche Liste von IP-Adressen der Server und Clients des Kad-Netzes enthält.<br /><br />4. Im öffentlichen Netz Kad sendet das Modul kad.dll eine Suchanfrage nach der Datei ktzerules.<br /><br />5. Nach Download und Entschlüsselung der Datei ktzerules führt kad.dll die in ktzerules enthaltenen Befehle aus.<br /><br /><a href="http://i51.tinypic.com/2r4r5t4.jpg"><img src="http://i51.tinypic.com/2r4r5t4.jpg" height="200" width="400"/></a><br /><br /><span style="font-style:italic;">Nachfolgend eine Aufstellung der Befehle, die in der verschlüsselten Datei ktzerules enthalten sind.</span><br />- SearchCfg – Suche nach einer neuen ktzerules-Datei im Kad-Netz<br />- LoadExe – Laden und Starten der ausführbaren Datei<br />- ConfigWrite – Eintragung in cfg.ini<br />- Search – Datei im Kad-Netz suchen<br />- Publish – Datei im Kad-Netz veröffentlichen<br />- Knock – vom Steuerzentrum eine neue Datei nodes.dat herunterladen, die eine Liste der IP-Adressen der Server und Clients des Kad-Netzes enthält, darunter auch die mit TDSS infizierten Computer.<br /><br />Für Kaspersky ist der Befehl Knock besonders Interessant. Mit Hilfe dieses Befehls sind die die Cyberkriminellen in der Lage ihr eigenes P2P-Kad-Netz aufzubauen, deren einzige Kunden mit TDSS infizierte Computer sind.<br /><br /><a href="http://i56.tinypic.com/xla32q.jpg"><img src="http://i56.tinypic.com/xla32q.jpg" height="150" width="400"/></a><br />Eine Überschneidung des öffentlichen und geschlossenen KAD-Netzes<br /><br />Bei der Steuerung des TDSS-Botnetzes ist das Modul kad.dll im Grunde identisch mit cmd.dll. Indem sie mit den Dateien nodes.dat und ktzerules operieren, sind die Botnetzbetreiber in der Lage, infizierte Computer an das öffentliche Netz Kad anzuschließen und sie auch wieder davon auszuschließen. Während in der Datei nodes.dat die IP-Adressen aller Teilnehmer des Netzes Kad stehen, enthält ktzerules den Befehl für den Download einer neuen nodes.dat-Datei von den Servern der Cyberkriminellen. Zum öffentlichen Kad-Netz gehören nicht mehr als zehn mit TDSS infizierte Computer. Dadurch wird der Austauschprozess der Datei ktzerules so ineffizient wie nur möglich gemacht und behindert damit die Übernahme des Botnetzes durch andere Cyberkriminelle. Die Zahl der zu dem geschlossenen Netz gehörenden Computer, die mit TDSS infiziert sind, beträgt einige zehntausend.<br /><br /><a href="http://i51.tinypic.com/289dk3r.jpg"><img src="http://i51.tinypic.com/289dk3r.jpg" height="200" width="400"/></a><br />Teil des Codes von kad.dll, der für die Übermittlung der Befehle <br />der Cyberkriminellen an TDL-4 verantwortlich ist<br /><br />Zudem ermöglicht der Zugriff auf das Kad-Netz den Cyberkriminellen, beliebige Dateien auf die zum Botnetz gehörenden Computer zu laden und sie für die Nutzer des P2P-Netzes verfügbar zu machen – egal, ob es sich dabei um pornografische Inhalte oder um gestohlene Datenbanken handelt.<br /><br />Die Gefährlichkeit eines derartigen Botnetzes besteht darin, dass die Botnetzbetreiber selbst dann die Kontrolle über die infizierten Rechner behalten, wenn die Steuerungszentralen offline genommen werden. Allerdings hat ein solches System auch seine Tücken:<br /><br />1. Mit der Nutzung des öffentlichen Kad-Netzes riskieren die Cyberkriminellen, mit falschen Befehlen für ihr Botnetz konfrontiert zu werden.<br /><br />2. Bei der Entwicklung des Moduls kad.dll, das die Zusammenarbeit mit dem Kad-Netz sicherstellt, wird Code verwendet, der unter die freie Software-Lizenz GPL fällt . Das bedeutet, dass die Autoren die Lizenzvereinbarung verletzen.<br />------------------------------------------------------------------------------------<br /><br />TDSS nutzt während seiner Arbeit verschiedene Quellen, um an die Domainlisten der Command & Control-Server zu gelangen. Standardmäßig wird die Liste der Datei cmd.dll entnommen. Sollten die Server aber nicht verfügbar sein, wird die Liste aus cfg.ini gezogen. Steht in der Liste von cfg.ini aus einem unersichtlichen Grund kein einziger C&C, wird die Liste aus der verschlüsselten Datei bckfg.tmp zusammengestellt, die der Bot vom Command & Control-Server bei der ersten Verbindung mit diesem erhalten hat. Seit Anfang des Jahres wurden um die 60 C&Cs des Botnetzes ausfindig gemacht.<br /><br />P2P Botnetze sind nicht neu,schon der bekannte Storm Worm nutze P2P Techniken um mit seinen Dronen zu Kommunizieren,dabei verwendete er aber eine BulletProof Domain mit Fast-Flux Technik um seinen C&C zu verbergen. TDL-4 kann aber auch ohne ein C&C auskommen und Befehle entgegen nehmen. Dieses erschwert es um so mehr das gesammte Botnetz still legen zu können.<br /><br />Quellen: <br />http://www.viruslist.com/de/analysis?pubid=200883742<br /><br />http://www.securelist.com/en/analysis/204792180/TDL4_Top_Bot<br />http://www.securelist.com/en/analysis/204792157/TDSS_TDL_4<br />http://www.securelist.com/en/analysis/204792157/TDSS_TDL_4<br />http://www.securelist.com/en/analysis/204792131/TDSS<br />http://www.securelist.com/en/blog/208188095/TDSS_loader_now_got_legs<br />http://www.securelist.com/en/blog/337/TDL4_Starts_Using_0_Day_VulnerabilityBl4ck r47http://www.blogger.com/profile/11062233642440107147noreply@blogger.com