ratNetw0rk

Internet Water Army

2011-11-23T11:01:00.000-08:00

Es ist immer wider erstaunlich wie weit der Osten dem Westen vor raus ist im Bereich Internet. HTTP Bots und Exploit Kits stammen vorwiegend aus dem Russischem Raum während im Westen noch bis 2005 mit IRC Bots gearbeitet wurde haben Russische Cyberkriminelle die Möglichkeit gefunden mit einem HTTP Bot der den Port 80 verwendet die Firewall zu umgehen und Exploit Kits für einen Drive by Download zu nutzten.

In Russland,Estland,Ukraine usw ist es gang und gebe Warez Admins dafür zu bezahlen das sie einen Iframe auf ihrer Seite einbauen. China steht dem in nichts nach und so werden User dafür bezahlt das sie in Foren ein Produkt hoch anpreisen oder das der Konkurrenz schlecht machen. Internet Water Army werden in China Nutzer genannt, die für Geld Produkte bewerten, Kommentare in Foren schreiben oder gezielt Informationen oder Gerüchte streuen.

Cheng Chen von der Universität in Victoria in der kanadischen Provinz British Columbia ist dem Phänomen auf den Grund gegangen - mit dem Ziel eine Software zu entwickeln, die bezahlte Forennutzer, sogenannte Paid Poster aufspürt, vergleichbar etwa einem Spamfilter.

Software spürt bezahlte Forennutzer auf

https://payperpost.com
http://www.paidforumposting.com/

Malware Programmierung Heute

2011-11-20T07:28:00.000-08:00

Seit es die Cybercrime gibt die so um 2004 entstanden ist sind viele Verschiedene Arten von Malware im Internet Aufgetaucht. Ihre Funktionen gehen soweit das die besten Virenanalysten an ihnen verzweifeln können.

Zu den bekanntesten gehören
Storm Worm = Erster Bot mit Fast-Flux Technik
Rustock = Verwendet eine Inovative Rootkit Technik und Fast-Flux
Bredolab = Fast-Flux Botnet
Srizbi = Erster Bot mit Domain-Flux Technik
Sinowal = Ist die erste Malware die ein MBR Rootkit und Domain-Flux verwendet
Waledac = Peer-to-Peer Bot
Conficker = Domain-Flux Bot
SpyEye = Banking Trojaner
ZeUs = Baning Trojaner
StuxNet = Industriespionage Malware
TDL/TDSS = Ein Bot der ohne einen C&C Befehle entgegenehmen kann (Peer-to-Peer Bot mit Domain-Flux).

Aber wer sind die Köpfe hinter dieser Malware,bei ZeUs handelt es sich um eine einzelne Person mit dem Nick Slavik und bei SpyEye um Harderman. Eine Malware wie Zeus und SpyEye ist im vergleich zu StuxNet noch Relativ einfach zu Programmieren so das dieses eine Einzelne Person bewerkstelligen kann.Aber schon bei Rustock und Sinowal wurde Vermutet das es sich um eine ganze Gruppe Handelt die an einer Malware Arbeitet.

Auch bei Stuxnet scheint dieses der Fall zu sein da sein Funktionsumfang und Technik einfach zu groß ist um das es sich um eine einzelne Person handeln kann.Die Cybercrime entwickelt sich immer weiter und Stück für stück fangen sie an sich zu Teams zusammen zuschließen und ihr Wissen zu vereinen. Dieses Anschauliche Bild Zeigt das schon wie in einem Unternehmen zusammengearbeitet wird um Systematisch eine Malware zu Entwickeln die so lange wie Möglich unentdeckt bleiben soll.

20.11.2011 17:19 Uhr

MYBIOS. Lässt sich das BIOS infizieren?

2011-11-20T04:35:00.000-08:00

Gerade treibe ich mich bei Viruslist.com herum und finde einen Interessanten Artikel über eine Malware die in der Large ist das Bios und den MBR zu Infizieren.Interessant dabei ist der Punkt das die Malware nur ein Award-Bios Infizieren kann,aber wird kein AWARD-BIOS verwendet, infiziert der Dropper den MBR. Damit funktioniert das Rootkit auf jedem beliebigen System, unabhängig vom Hersteller des BIOS. Aus dem BIOS gestartet, ist das Schadprogramm in der Lage, jede Etappe der Initialisierung des Computers und des Betriebssystems zu kontrollieren.

MYBIOS. Lässt sich das BIOS infizieren?

Die Möglichkeit, das BIOS eines Rechners zu infizieren, existiert schon relativ lange. Das Online-Magazin Phrack hat dazu einen der besten Artikel veröffentlicht und auf der Webseite Pinczakko gibt es ebenfalls viele nützliche Informationen.

Ein kleiner Ausschnitt aus dem Artikel.
Installation

Kaspersky Lab führt den Trojaner, um den es in dieser Analyse geht, unter dem Namen Rootkit.Win32.Mybios.a. Dieser Schädling verbreitet sich als ausführbares Modul und bringt alles zum Funktionieren notwendige bereits mit.

Die Liste der Komponenten:

Treiber für die Arbeit mit dem BIOS – bios.sys (Gerät \Device\Bios)
Treiber zum Verbergen der Infektion – my.sys (Gerät \Device\hide)
Komponente BIOS – hook.rom
Bibliothek zur Steuerung des Treibers bios.sys – flash.dll
Tool vom Hersteller für die Arbeit mit dem BIOS-Abbild – cbrom.exe

20.11.2011 13:44 Uhr

Steve Jobs' 2005 Stanford Commencement Address

2011-10-06T11:39:00.000-07:00

Steve Jobs ist verstorben,einer der größten und Besten in der IT Branche ist von uns gegangen.

An der Universität von Stanford (US-Staat Kalifornien) hielt Jobs bereits 2005 vor Absolventen eine denkwürdige Rede. Seine Worte beschreiben das, was ihn antrieb, bewegte, und das, was er fühlte.

STEVE JOBS

„Ich fühle mich geehrt, heute mit euch hier zu sein, bei eurer Abschlussfeier an einer der besten Universitäten, die es auf der Welt gibt. Ich habe nie eine Hochschule abgeschlossen. Um die Wahrheit zu sagen, jetzt gerade bin ich einem Hochschulabschluss am nahsten.

Heute will ich euch drei Geschichten aus meinem Leben erzählen. Das ist alles. Keine große Sache. Nur drei Geschichten.

DIE ERSTE GESCHICHTE HANDELT VOM VERBINDEN DER PUNKTE

Ich bin aus dem Reed College nach sechs Monaten ausgeschieden (...).Aber, warum bin ich ausgeschieden?

Es begann noch bevor ich geboren wurde.

Meine leibliche Mutter war eine junge, unverheiratete Uni-Absolventin und sie entschied sich, mich zur Adoption freizugeben. Sie war sehr davon überzeugt, dass ich von Leuten mit einem Universitätsabschluss adoptiert werden sollte, so wurde alles dafür arrangiert, dass ich bei der Geburt von einem Anwalt und seiner Frau adoptiert werde. Doch genau als ich auf die Welt kam, entschieden diese sich, dass sie eigentlich doch viel lieber ein Mädchen hätten.

So wurden meine Eltern, die auf der Warteliste standen, mitten in der Nacht angerufen und gefragt: „Wir haben ein unerwarteten kleinen Jungen; Wollen sie ihn?“ Sie sagten: „Natürlich.“

Meine leibliche Mutter fand später heraus, dass meine Mutter nie eine Universität absolviert hatte mein Vater nie eine Mittelschule abgeschlossen hatte. Sie weigerte sich, die Adaptionspapiere zu unterschreiben.

Wenige Monate später war sie doch damit einverstanden, als meine Eltern versprochen hatten, dass ich irgendwann zur Universität gehen würde.

Und 17 Jahre später ging ich auf die Hochschule.

Aber aus Naivität habe ich ein College ausgesucht, dass so teuer war wie Stanford. Alle Ersparnisse meiner Eltern gingen für die Uni-Gebühren drauf. Nach sechs Monaten konnte ich den Wert darin nicht sehen. Ich hatte keine Ahnung, was ich in meinem Leben tun würde und keine Ahnung, wie mich die Universität darin unterstützen sollte, das herauszufinden.

Und da stand ich nun, hatte das ganze ersparte Geld meiner Eltern verbraucht, das sie in ihrem Leben erarbeitet hatten. Ich entschied mich, die Schule zu verlassen und daran zu glauben, dass alles irgendwie OK gehen würde. Es war ziemlich beängstigend damals, aber rückblickend war es eine der besten Entscheidungen, die ich je getroffen habe.

Ab der Sekunde, in der ich ausschied, konnte ich aufhören, die Kurse zu besuchen, die mich nicht interessierten, und mit denen beginnen, die für mich interessant waren.

Die Reed Universität bot zu dieser Zeit einen der besten Kalligraphie-Kurse im Land an. Quer durch den ganzen Campus war jedes Poster, jedes Schild auf jeder öffentlichen Fläche wunderschön von Hand mit kalligraphischer Schrift versehen.

(...) Ich entschied mich für einen Kalligraphie-Kursus, um zu lernen, wie man das macht. Ich lernte über Serif- und San-Serif-Schriftarten, über die unterschiedlichen Freiraum-Größen zwischen den verschiedenen Buchstabenkombinationen, über das, was großartige Typografie großartig macht.

Es war wunderschön, historisch, künstlerisch feinsinnig in einer Art und Weise, wie sie Wissenschaft nicht einfangen kann und ich fand es faszinierend.

In nichts von all dem steckte irgendwie die Hoffnung, dass es jemals eine praktische Anwendung finden würde in meinem Leben. Aber zehn Jahre später, als wir den ersten Macintosh-Computer entworfen haben, kam alles doch auf mich zu.

Und wir arbeiteten all das in den Mac ein.

Es war der erste Computer mit wunderschöner Typografie.

Wenn ich diesen Kurs nicht besucht hätte, würde der Mac niemals verschiedene Schriften oder proportional aufgeteilte Freiräume in den Schriftarten haben.

(...) Wäre ich damals nicht ausgeschieden, wäre ich niemals in diese Kalligraphie-Klasse gegangen und PCs hätten nicht die wunderschönen Schriftarten, die sie jetzt haben. Natürlich war es nicht möglich, diese Punkte miteinander zu verbinden, als ich noch in die Zukunft blickte, während ich noch auf der Universität war.

Aber zehn Jahre später ist diese Verbindung sehr, sehr klar.

Nochmal, du kannst Punkte nicht verbinden, wenn du nach vorn blickst. Du kannst Punkte nur verbinden, wenn du zurück blickst. So musst du daran glauben, dass sich die Punkte irgendwie in der Zukunft verbinden werden. Du musst an etwas glauben – deinen Gott, Schicksal, Leben, Karma oder was auch immer. Diese Einstellung hat mich nie im Stich gelassen und machte den erheblichen Unterschied in meinem Leben.

MEINE ZWEITE GESCHICHTE IST ÜBER LIEBE UND VERLUST

Ich hatte Glück – Ich fand, was ich geliebt habe, ziemlich früh im Leben.

Woz und ich starteten Apple in der Garage meiner Eltern, als ich 20 war. Wir arbeiteten hart und in zehn Jahren wuchs Apple von den zwei, die wir waren, zu einem 2-Milliarden-Dollar-Unternehmen mit mehr als 4000 Mitarbeitern heran.

Wir hatten damals unser feinstes Stück geschaffen – den Macintosh – ein Jahr bevor ich 30 wurde. Und dann wurde ich gefeuert.

Wie kann jemand gefeuert werden, wenn er das Unternehmen gegründet hatte?

Naja, als Apple wuchs, stellten wir jemanden ein, bei dem ich glaubte, er sei sehr talentiert darin, das Unternehmen mit mir zu leiten und für das erste Jahr oder so liefen die Dinge gut. Aber als unsere Visionen für die Zukunft begonnen haben sich zu unterscheiden, kam es zu einer Auseinandersetzung. Als wir diese hatten, war die Chefetage auf seiner Seite. Also war ich mit 30 draußen. Und sogar ziemlich öffentlich rausgeworfen.

Das, was mein einziges Ziel meines erwachsenen Lebens war, war nun vorbei und verwüstet.

Ich wusste wirklich nicht, was ich tun sollte einige Monate lang.

Ich habe mich so gefühlt, als hätte ich die vorangegangene Unternehmer-Generation in Stich gelassen, als hätte ich die Stafette fallen lassen, genau als diese mir übergeben wurde.

Ich habe mich mit David Packard und Bob Noyce getroffen und versucht, mich zu entschuldigen, dass ich das alles so schlimm verkorkst habe. Mein Versagen wurde in der Öffentlichkeit ziemlich breitgetreten und ich überlegte sogar, aus der Gegend wegzuziehen.

Aber etwas dämmerte mir langsam – ich liebte immer noch, das was ich tat. Und so entschied ich mich, von Neuem zu beginnen.

Ich hatte es damals nicht gesehen, aber es stellte sich heraus, dass von Apple gefeuert zu werden das Beste war, was mir je hätte passieren können.

Der Druck des Erfolges war von der Leichtigkeit, wieder ein Anfänger zu sein, komplett ersetzt worden, und das in allen Dingen. Es befreite mich, um eine der kreativsten Phasen in meinem Leben betreten zu können.

Während der folgenden fünf Jahre startete ich eine Firma namens NeXT, eine andere Firma namens Pixar und verliebte mich in eine wundervolle Frau, die später meine Frau wurde.

Pixar entwickelte den ersten animierten Computerfilm der Welt, Toy Story, und ist zur Zeit das erfolgreichste Animationsstudio der Welt. In einer bemerkenswerten Wendung der Dinge kaufte Apple NeXT und ich war zurück bei Apple und die Technologie, die wir bei NeXT entwickelt haben, ist nun das Herzstück der Renaissance der jetzigen Apple-Computer.

Und Laurene und ich haben eine wundervolle Familie zusammen.

Ich bin mir ziemlich sicher, nichts von dem wäre jemals geschehen, wenn ich nicht bei Apple gefeuert worden wäre.

Es war bitter schmeckende Medizin, aber es war genau die, die ich benötigte.

Manchmal trifft dich das Leben mit einem Ziegelstein auf den Kopf. Verliere nicht deinen Glauben.

Ich bin überzeugt, dass das Einzige, was mich zum Weitermachen brachte, war, dass ich geliebt habe, was ich tat. Man muss das finden, was man liebt. Das ist wahr in Bezug auf die Arbeit wie auch im Liebesleben.

Arbeit wird einen großen Teil des Lebens ausmachen und der einzige Weg, um wirklich erfüllt zu sein, ist das zu tun, wovon man glaubt, es sei eine großartige Arbeit. Und der einzige Weg, großartige Arbeit zu tun, ist zu lieben was man tut.

Wenn du es bis jetzt nicht gefunden hast, dann suche weiter. Bleibe nicht stehen. Mit allen Fasern deines Herzen wirst du es spüren, wenn du es gefunden hast. Und wie jede große Beziehung wird es besser und besser, wenn die Jahre vergehen. Also schaue dich um, bis du es gefunden hast. Bleibe nicht stehen.

MEINE DRITTE GESCHICHTE IST ÜBER DEN TOD

Als ich 17 war, las ich ein Zitat das ungefähr so klang:

„Wenn du jeden Tag so lebst, als wäre es dein letzter, wird es höchstwahrscheinlich irgendwann richtig sein.“

Es hatte mich beeindruckt und seit damals über 33 Jahre habe ich jeden Morgen in den Spiegel geschaut und mich selbst gefragt: „Wenn heute der letzte Tag in meinem Leben wäre, würde ich das tun, was ich mir heute vorgenommen habe zu tun?“ Und jedes Mal wenn die Antwort „nein“ war für mehrere Tage hintereinander, wusste ich, ich muss etwas verändern.

Mich zu erinnern, dass ich bald tot sein werde, war für mich das wichtigste Werkzeug, das mir geholfen hat, alle diese großen Entscheidungen zu treffen.

Weil fast alles – alle äußeren Erwartungen, der ganze Stolz, die ganze Angst vor dem Versagen und der Scham – diese Dinge fallen einfach weg angesichts des Todes und es bleibt nur mehr das, was wirklich wichtig ist. Sich zu erinnern, dass man sterben wird, ist der beste Weg, den ich kenne, um der Falle zu entgehen und zu glauben man hätte etwas zu verlieren. Du bist vollkommen nackt. Es gibt keinen Grund, um nicht seinen Herzen zu folgen.

Ungefähr vor einem Jahr wurde bei mir Krebs diagnostiziert.

Ich hatte eine Untersuchung um 7:30 in der Früh und es war deutlich ein Tumor auf meiner Bauchspeicheldrüse zu sehen. Ich wusste nicht mal, was eine Bauchspeicheldrüse ist. Der Arzt sagte mir, dass das bereits eine Form des Krebs sei, der unheilbar ist und dass ich damit rechnen solle, dass ich nicht mehr länger als drei bis sechs Monate zu leben habe. Der Arzt riet mir nach Hause zu gehen und meine Angelegenheiten alle in Ordnung zu bringen, was die Ärzte normal sagen, wenn sie sagen, man soll sich vorbereiten zu sterben. Es bedeutet zu versuchen, den Kindern das beizubringen und zu erklären, was man normalerweise geglaubt hat, man könnte es in den nächsten zehn Jahren tun, doch nun in einigen Monaten. Es bedeutet, dass alles geklärt sein soll, damit es später so leicht als möglich für die eigene Familie wird. Es bedeutet, sich zu verabschieden.

Ich lebte mit dieser Diagnose den ganzen Tag.

Später am Abend hatte ich eine Biopsie, wo sie mir ein Endoskop in den Hals gesteckt haben, durch meinen Magen in die Eingeweide, wo sie mit einer Nadel einige Zellen von dem Tumor abgeschabt haben. Ich war betäubt, aber meine Frau, die da war, erzählte mir, dass als sie sich die Zellen unter dem Mikroskop angesehen haben, die Ärzte zu weinen begannen, weil es sich herausstellte, dass es eine ganz seltene Form von Bauchspeicheldrüsenkrebs ist, der mit einer Operation heilbar ist.

Ich hatte die Operation und bin nun gesund.

Da war ich dem Tode am nahesten gekommen und ich hoffe, das wird auch so bleiben für die nächsten Jahrzehnte. Das nun durchlebt zu haben, gibt mir die Möglichkeit, euch mit mehr Gewissheit sagen zu können, dass der Tod ein rein nützliches geistiges Konzept ist.

Niemand will sterben. Nicht mal Menschen, die in den Himmel kommen wollen, wollen sterben, um dorthin zu gelangen. Und dennoch ist der Tod das Schicksal, das wir alle teilen.

Niemand ist jemals entkommen.

Und das ist so, wie es sein sollte, weil der Tod möglicherweise die beste Erfindung des Lebens ist.

Es ist der Vertreter des Lebens für die Veränderung. Es räumt das Alte weg, um Platz zu machen für das Neue.

Gerade jetzt seid das Neue ihr, aber eines Tages, nicht sehr viel später, werdet ihr langsam zum Alten gehören und weggeräumt werden. Tut mir leid, dass ich so dramatisch bin. Aber es ist die Wahrheit.

Deine Zeit ist begrenzt, also verbrauche sie nicht, um das Leben anderer zu leben.

Sei nicht gefangen von Dogma, das nur Leben nach den Überlegungen anderer Leute bedeutet. Lass nicht den Krach anderer Meinungen die eigene innere Stimme zum Verstummen bringen.

Und das Allerwichtigste, habe den Mut, dem eigenen Herzen und der Intuition zu folgen. Diese wissen irgendwie schon genau, was du wirklich sein willst. Alles andere ist zweitrangig.

Als ich jung war, gab es eine erstaunliche Veröffentlichung, genannt „The Whole Earth Catalog“, welches eine der Bibeln meiner Generation war.

Es war erschaffen von einem Kollegen mit Namen Stewart Brand nicht weit von hier im Menlo Park. Das war in den späten 60er-Jahren, bevor es noch PCs und desktop publishing gab, damals wurde alles mit Schreibmaschinen, Scheren und Polaroid-Kameras gemacht. Es war so etwas wie Google in Papierformat, 35 Jahre bevor Google auftauchte. Es war ideologisch und überfüllt mit ordentlichen Feinheiten und großartigen Gedanken.

Stewart und sein Team haben mehrere Versionen vom „The Whole Earth Catalog“ rausgebracht, bis es zum Ende kam und sie eine letzte finale Version veröffentlichten.

Es war Mitte der 70er und ich war in eurem Alter. Auf der Rückseite der letzten Version war eine Abbildung von einer Landstraße früh am Morgen, die Art von Landstraße, an der man als Anhalter stehen würde, wenn man ein Abenteurer wäre. Darunter standen die Wörter:

„Bleib hungrig, bleib töricht.“

Es war ihre finale Nachricht, als sie aufgehört haben. Bleib hungrig. Bleib töricht. Und das wünschte ich mir immer für mich selbst. Und jetzt, da ihr nun absolviert und neu beginnt, wünsche ich euch dasselbe.

Bleibt hungrig. Bleibt töricht.

Vielen Dank an alle.“

Der Text basiert auf einer Übersetzung des österreichischen Blogs „Humanity“. Überarbeitung durch Bild.de

06.10.2011 20:47 Uhr

TDSS - Malware 3.0

2011-07-01T22:51:00.000-07:00

In den letzten Monaten Monaten ist sehr viel im Underground geschehen.Soney wurde gehackt,die beiden Gruppen Anonymous und LulzSec haben einen sehr großen Bekanntheitsgrad erreicht durch ihre Attacken. Im Underground wurde der Source-Code des Banking Trojaners ZeUs veröffentlicht. Aber keiner dieser berichte hat meine Aufmerksamkeit so erregt wie die neue Version des Rootkits TDSS.

TDSS in der neuen Version TDL-4 ist ein Rootkit welches von Kaspersky Labs entdeckt wurde und durch seine Funktionen als unverwühstbar gield. Aber was macht TDL-4 so besonders gegenüber anderen Botnetzen. Wie wir wissen ist der Schachpunkt eines Botnetzes immer der C&C Server und im Laufe der zeit haben Professionelle Cyberkriminelle immer wider versucht ihre Server zu verstecken durch Techniken wie Fast-Flux oder Domain-Flux.

TDL-4 ist ein P2P Bot welcher auch ohne ein Command & Control Server befehle der Herder entgegennehmen kann. Dazu ein Auszug aus einer Analyse von Kaspersky.

--------------------------------------------------------------------------------------
by Kaspersky Labs
Zugriff des Botnetzes auf das Kad-Netz

Eine der bedeutendsten Neuheiten der Version TDL-4 besteht in dem Modul kad.dll, das eine Zugriffsmöglichkeit des TDSS-Botnetzes auf das Kad-Netz bietet. Doch wofür brauchen die Cyberkriminellen ein Filesharing-Netzwerk?

Botnetze, die über P2P-Protokolle gesteuert werden, sind schon seit langem bekannt, doch handelte es sich dabei bisher um verborgene Verbindungsprotokolle, die von Cyberkriminellen entwickelt wurden. TDSS nutzt hingegen ein öffentliches P2P-Netz, um die Befehle der Botnetzbetreiber an alle Rechner im Zombie-Netzwerk weiterzuleiten. Die Kommunikation von TDSS mit diesem Netz stellt sich folgendermaßen dar:

1. In dem öffentlichen Netz Kad ermöglichen die Cyberkriminellen den Zugriff auf eine Datei mit der Bezeichnung „ktzerules“. Die Datei ist verschlüsselt und enthält die Befehlsliste für TDSS.

2. Die mit TDSS infizierten Computer empfangen den Befehl zum Download und zur Installation des Moduls kad.dll.

3. Die installierte Datei kad.dll lädt die Datei nodes.dat, die wiederum eine öffentliche Liste von IP-Adressen der Server und Clients des Kad-Netzes enthält.

4. Im öffentlichen Netz Kad sendet das Modul kad.dll eine Suchanfrage nach der Datei ktzerules.

5. Nach Download und Entschlüsselung der Datei ktzerules führt kad.dll die in ktzerules enthaltenen Befehle aus.

Nachfolgend eine Aufstellung der Befehle, die in der verschlüsselten Datei ktzerules enthalten sind.
- SearchCfg – Suche nach einer neuen ktzerules-Datei im Kad-Netz
- LoadExe – Laden und Starten der ausführbaren Datei
- ConfigWrite – Eintragung in cfg.ini
- Search – Datei im Kad-Netz suchen
- Publish – Datei im Kad-Netz veröffentlichen
- Knock – vom Steuerzentrum eine neue Datei nodes.dat herunterladen, die eine Liste der IP-Adressen der Server und Clients des Kad-Netzes enthält, darunter auch die mit TDSS infizierten Computer.

Für Kaspersky ist der Befehl Knock besonders Interessant. Mit Hilfe dieses Befehls sind die die Cyberkriminellen in der Lage ihr eigenes P2P-Kad-Netz aufzubauen, deren einzige Kunden mit TDSS infizierte Computer sind.

Eine Überschneidung des öffentlichen und geschlossenen KAD-Netzes

Bei der Steuerung des TDSS-Botnetzes ist das Modul kad.dll im Grunde identisch mit cmd.dll. Indem sie mit den Dateien nodes.dat und ktzerules operieren, sind die Botnetzbetreiber in der Lage, infizierte Computer an das öffentliche Netz Kad anzuschließen und sie auch wieder davon auszuschließen. Während in der Datei nodes.dat die IP-Adressen aller Teilnehmer des Netzes Kad stehen, enthält ktzerules den Befehl für den Download einer neuen nodes.dat-Datei von den Servern der Cyberkriminellen. Zum öffentlichen Kad-Netz gehören nicht mehr als zehn mit TDSS infizierte Computer. Dadurch wird der Austauschprozess der Datei ktzerules so ineffizient wie nur möglich gemacht und behindert damit die Übernahme des Botnetzes durch andere Cyberkriminelle. Die Zahl der zu dem geschlossenen Netz gehörenden Computer, die mit TDSS infiziert sind, beträgt einige zehntausend.

Teil des Codes von kad.dll, der für die Übermittlung der Befehle
der Cyberkriminellen an TDL-4 verantwortlich ist

Zudem ermöglicht der Zugriff auf das Kad-Netz den Cyberkriminellen, beliebige Dateien auf die zum Botnetz gehörenden Computer zu laden und sie für die Nutzer des P2P-Netzes verfügbar zu machen – egal, ob es sich dabei um pornografische Inhalte oder um gestohlene Datenbanken handelt.

Die Gefährlichkeit eines derartigen Botnetzes besteht darin, dass die Botnetzbetreiber selbst dann die Kontrolle über die infizierten Rechner behalten, wenn die Steuerungszentralen offline genommen werden. Allerdings hat ein solches System auch seine Tücken:

1. Mit der Nutzung des öffentlichen Kad-Netzes riskieren die Cyberkriminellen, mit falschen Befehlen für ihr Botnetz konfrontiert zu werden.

2. Bei der Entwicklung des Moduls kad.dll, das die Zusammenarbeit mit dem Kad-Netz sicherstellt, wird Code verwendet, der unter die freie Software-Lizenz GPL fällt . Das bedeutet, dass die Autoren die Lizenzvereinbarung verletzen.
------------------------------------------------------------------------------------

TDSS nutzt während seiner Arbeit verschiedene Quellen, um an die Domainlisten der Command & Control-Server zu gelangen. Standardmäßig wird die Liste der Datei cmd.dll entnommen. Sollten die Server aber nicht verfügbar sein, wird die Liste aus cfg.ini gezogen. Steht in der Liste von cfg.ini aus einem unersichtlichen Grund kein einziger C&C, wird die Liste aus der verschlüsselten Datei bckfg.tmp zusammengestellt, die der Bot vom Command & Control-Server bei der ersten Verbindung mit diesem erhalten hat. Seit Anfang des Jahres wurden um die 60 C&Cs des Botnetzes ausfindig gemacht.

P2P Botnetze sind nicht neu,schon der bekannte Storm Worm nutze P2P Techniken um mit seinen Dronen zu Kommunizieren,dabei verwendete er aber eine BulletProof Domain mit Fast-Flux Technik um seinen C&C zu verbergen. TDL-4 kann aber auch ohne ein C&C auskommen und Befehle entgegen nehmen. Dieses erschwert es um so mehr das gesammte Botnetz still legen zu können.

Quellen:
http://www.viruslist.com/de/analysis?pubid=200883742

http://www.securelist.com/en/analysis/204792180/TDL4_Top_Bot
http://www.securelist.com/en/analysis/204792157/TDSS_TDL_4
http://www.securelist.com/en/analysis/204792157/TDSS_TDL_4
http://www.securelist.com/en/analysis/204792131/TDSS
http://www.securelist.com/en/blog/208188095/TDSS_loader_now_got_legs
http://www.securelist.com/en/blog/337/TDL4_Starts_Using_0_Day_Vulnerability

A Stark Message to Cybercriminals: You Are Not Invisible, You Are Not Beyond the Law

2011-03-22T06:39:00.000-07:00

Originalartikel von Ranieri Romera (Senior Threat Researcher)

An alle Cyber-Kriminellen: Ihr seid nicht unsichtbar. Ihr steht nicht über dem Gesetz.
Sicherheitsforscher beobachten Täglich auf der ganzen Welt die Aktivitäten, das Verhalten und die Forenkommunikation von Cyber-Kriminellen, um herauszufinden, wie digitale Dateien sicher ausgetauscht werden.

Neben dem Verhindern von Angriffen sammeln wir auch Informationen und geben sie an Strafverfolgungsbehörden weiter.Seit einer Weile schon ist trend Micror einem ganz bestimmten Kriminellen auf der Spur, den sie hier Mr L. Er späht nichtsahnende Anwender aus, und zwar überwiegend in Chile und Mexiko.Laut Trend Micro jüngsten Informationen ist er noch immer fleißig dabei, Daten und Geld zu stehlen. Erst letzte Woche haben sie einen aktiven C&C sowie andere kriminelle Tools entdeckt, darunter auch ein Tool, das auf einer personalisierten Version des CrimePack Exploit Pack basiert. Auch bei seinen früheren Bot-Netzen ist Mr L. so vorgegangen.

Das erste Bot-Netz, das Trend Micro gefunden hatte, hieß Tequila. Darauf folgten Mariachi sowie die Twitter-Bot-Netze Alebrije und Mehika. Zusammen sind diese Bot-Netze unter dem Namen „Botnet PHP family“ bekannt.

Die Angriffe begannen im Mai 2010. Damals erhielten Anwender in Mexiko eine E-Mail, dass es angeblich „Nacktfotos“ von der Mutter eines verschwundenen vierjährigen Mädchens gäbe. Mit diesem Köder wurden Anwender dazu gebracht, über einen bösartigen Link eine betrügerische Anwendung herunterzuladen.

Ein interessantes Ergebnis der Analyse von Trend Micro war, dass das Skript, mit dem der Bot-Client installiert wurde, ganz bestimmte Wörter und Begriffe enthielt. Damals konnten Trend Micro zwar noch nichts mit ihnen anfangen.

Bei den Nachforschungen suchte Trend micro nach einem aktiven C&C, den sie schließlich unter http://www.botnet.{GESPERRT}.tk/Admin fanden. Unter dieser URL fanden sie weitere Informationen über den Autor … Auf der Anmeldeseite warb er sogar für seine Dienste – und veröffentlichte seinen Namen, seine E-Mail-Adressen und seine Mobilnummer!

Nun hatten sie also einen Namen, zwei E-Mail-Adressen und eine Telefonnummer, die in der mexikanischen Stadt Guadalajara gemeldet war. So gelang es ihnen, Mr L. zu finden.

Wie bereits erwähnt, ist es eine Richtlinie von Trend Micro, alle relevanten Informationen zu kriminellen Aktivitäten an die Strafverfolgungsbehörden weiterzugeben.

Sollten Sie mit dem Gedanken spielen, auch kriminell tätig zu werden – tun Sie es nicht!

trend Micro ist Folgendes über Mr L. bekannt:

Er scheint 1987 geboren zu sein und bei Netec zu studieren. Er wohnt in Zapopan, Mexiko.
Trend Micro kennt seine Gmail- und Hotmail-Kontodaten.
Sie kennen auch die Angaben, Fotos, Benutzernamen und anderen Informationen, die er in Kontaktnetzwerken veröffentlichte.

Denkt immer daran: Was immer ihr im Internet tun, ob gut oder böse – Ihr hinterlassen immer eine Spur.

22.03.2011 15:33 Uhr

Quellen: http://blog.trendmicro.de & http://blog.trendmicro.com

PDF
http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/discerning_relationships__september_2010_.pdf

Pwn2Own-Wettbewerb

2011-03-10T22:38:00.000-08:00

Es ist mal wider so weit,die Jährliche Sicherheitskonferenz CanSecWest findet im Sonnigen Vancouver statt mit ihrem beliebten Wettkampf Pwn2own.Der erste Tag des Pwn2Own-Wettbewerbs war den Browsern Safari, Internet Explorer und Chrome gewidmet.

Durch Losentscheid musste sich Safari unter MacOS X als erster behaupten und V das Team des französischen Sicherheitsdienstleisters VUPEN hatte prompt Erfolg und konnte zum Beweis auf der Mac-Oberfläche einenTaschenrechner startete.Das Team benutzte eine Sicherheitslücke in WebKit aus, an dem sie nach eigenen Angaben zwei Wochen lang gearbeitet hatten.Details zu den Lücken hält der Veranstalter unter Verschluss, bis der Hersteller Patches ausliefert.

Auch der Internet Explorer 8 wurde sehr schnell durch den Iren und Metasploit-Entwickler Stephen Fewer gehackt.Fewer musste allerdings ganze drei unterschiedlichen Sicherheitslücken miteinander verbinden, um den Protected Mode des Browsers und weitere Schutzmechanismen auszuhebeln.Die 64-Bit-Betriebssysteme besaßen alle den aktuellsten Patchstand und Sicherheitsmechanismen wie DEP (Data Execution Prevention) und ALSR (Address Space Layout Randomization) mussten überwunden werden, um den elektronischen Taschenrechner aufzurufen.

Google-Browser bleibt zum dritten Mal in Folge ungehackt und das obwohl es zwei Anmeldungen gab. Einer der Teilnehmer tauchte beim Wettbewerb nicht auf und der andere gab gegenüber den Organisatoren an, dass er keinen funktionierenden Exploit hätte. Google hatte eine zusätzliche Prämie von 20.000 US-Dollar ausgelobt.

Am zweiten Tag kommen Firefox und ein Teil der Telefone iPhone 4, Blackberry Torch, Google Nexus S und Dell Venue an die Reihe.Mit von der Partie ist George 'Geohot' Hotz der überraschenderweise nicht das iPhone greift sondern sich am Dell Venue versuchet.

Update: 11.03.2011
iPhone und Blackbarry wurden geknackt,FIrefox kamm nochmal davon.

Quelle: http://www.heise.de

Größe ist nicht alles

2011-03-10T03:47:00.001-08:00

Eine Aktuelle Studie über Botnetze von der European Network and Information Security Agency kurz ENISA zeigt das die größe der Netze keinen einfluss auf ihre Bedrohung hat.Der Bericht "Botnets: Measurement, Detection, Disinfection and Defence" (PDF-Datei) zeigt verschiedene Methoden in den einzelnen Disziplinen auf wie Fast-Flux,Peer-to-Peer und Locomotive Botnetze.

Laut ENISA müssten vielmehr die einzelnen Risiken für unterschiedliche Interessengruppen bewertet werden und wie groß etwa drohende Schäden für einzelne Gruppen seien, heißt es.Die Erfassung von Botnetzen sei so schon schwierig, weil etwa hinter einem Gateway liegende Bots in einem Firmennetz nur unter einer IP-Adresse erscheinen.

Die ENISA macht in ihrem Bericht auch Vorschläge, was sich über die technisch größtenteils bereits gelösten Probleme hinaus noch auf organisatorischer und politischer Ebene tun muss, um Botnetze künftig besser bekämpfen zu können. ISPs müssten einen finanziellen Anreiz bekommen damit sie ihre Kunden bei der Malware-Bekämpfung unterstützen. Zudem müsse die Wertschöpfungskette der Botnetz-Betreiber angegriffen werden, um den Betrieb unprofitabel zu machen.

Bei der Bekämpfung und Verfolgung von Botnetzen sei auch die unterschiedliche Gesetzgebung in Europa. So sei etwa nicht einheitlich geregelt, ob eine IP-Adresse bereits zu personenbezogenen Daten gehört oder nicht. Darüber hinaus müsse der Informationsaustausch in den EU-Ländern verbessert werden.

Quelle: http://www.heise.de

The Light It Up Contest -- geohot

2011-02-14T04:27:00.000-08:00

Der Hacker George 'Geohot' Hotz liefert sich derzeit noch immer einen Rechtsstreit mit Sony und die Klappe hält er trotzdem nicht: In einem Video auf Youtube greift er Rapend den Hersteller der Playstation 3 frontal an.

Geohot gibt nicht klein bei: "Ihr legt euch mit dem Typ an, der die Schlüssel zu eurem Tresor hat", heißt es in dem Video, das im Rahmen eines Wettbewerbs entstanden ist. Sich selbst sieht Geohot als "eine Personifikation der Freiheit für alle".

14.02.2011 13:32 Uhr

PandaTV #57 - Männer wollen nur das eine, Malware-Trends2011, Roadshow

2011-01-14T22:15:00.001-08:00

15.01.2011 07:16 Uhr

You Should Work for Symantec

2011-01-08T22:55:00.000-08:00

09.01.2011 07:57 Uhr

Das Ende von Bredolab

2011-01-02T23:21:00.000-08:00

So die Feiertage sind nun zu Ende und ich komme endlich mal dazu eine News über das Bredolab Botnet zu verfassen.Am 25. Oktober 2010 teilte die für den Kampf gegen Cyberkriminalität zuständige Abteilung der niederländischen Polizei mit, dass 143 Kontrollserver des Botnetzes Bredolab unschädlich gemacht wurden.Nur einen Tag später wurde am internationalen Flughafen Jerewan einer der Betreiber des stillgelegten Zombie-Netzes festgenommen.

Das Controll Panel für die Downloads, das den Loader (Backdoor.Win32.Bredolab) enthält, wurde unter dem Namen BManager in Hackerforen zum Verkauf angeboten.Für die Verbreitung des schädlichen Bot-Programms dienten gehackte legitime Webseiten, die Besucher auf schädliche Ressourcen umleiteten, von denen aus ihre Computer mit Backdoor.Win32.Bredolab infiziert wurden.

Bredolab lud ein überaus breites Spektrum an Malware auf die Computer seiner Opfer:

Trojan-Spy.Win32.Zbot (Zeus)
Trojan-Spy.Win32.SpyEyes (SpyEye)
Trojan-Spy.Win32.BZub (Agend DQ)
Backdoor.Win32.HareBot
Backdoor.Win32.Blakken
Backdoor.Win32.Shiz
Trojan-Dropper.Win32.TDSS
Trojan-Ransom.Win32.PinkBlocker
Trojan.Win32.Jorik.Oficla (myLoader)

Backdoor.Haxdoor (A-311 Death)
Backdoor.Rustock
Downloader.MisleadApp
Hacktool.Rootkit (Hacker Defender)
Infostealer
Trojan.FakeAV
Trojan.KillAV
Trojan.Pandex
Trojan.Srizbi
W32.Koobface
W32.Waledac

Nachdem der Browser des Anwenders mit Hilfe von Pegel oder Iframe auf eine schädliche Webseite umgeleitet worden war, wurde von dort aus der JavaScript-Code über folgende Lücken (CVE-2006-0003, CVE-2008-1084, CVE-2008-2463) geladen:

Die in den schädlichen Links enthaltenen Domains waren in verschiedenen Domain-Zonen registriert: ru, info, at, com. Jede Domain verfügte über fünf IP-Adressen, die ihrerseits wiederum mit einer Vielzahl von schädlichen Domains in Verbindung standen.

Das oben Beschriebene erinnert an die Funktion von Fast-Flux-Netzen, genauer gesagt an Double-Flux-Netze, bei denen sich auch die Adresse der DNS-Server ändert.

Die Betreiber des Bredolab-Botnetzes haben ein 30 Millionen Rechner umfassendes Zombie-Netzwerk aufgebaut, das über einen längeren Zeitraum funktioniert hat. Um das Botnetz in funktionsfähigem Zustand zu erhalten, haben die Cyberkriminellen das Steuerungszentrum des Botnetzes überaus klug und effektiv versteckt, indem sie die Technik von Fast-Flux-Netzen nutzten. Ein solches Schema gewährleistet nicht nur eine hohe Fehlertoleranz des Botnetz-Steuerungszentrums, sondern es erleichtert auch die Steuerung des schädlichen Contents: Anstatt die schädlichen Webseiten auf einer Vielzahl von Knoten zu verwalten, reicht es aus, eine solche Webseite auf dem Kommandozentrum zu platzieren und Redirects zu ihr einzurichten.

Angesichts seiner Komplexität ist es unwahrscheinlich, dass das Bredolab-Botnetz von nur einer Person kontrolliert wurde. Allerdings ist bisher nur von der Verhaftung eines Kriminellen die Rede, der mit diesem Botnetz in Verbindung steht. Es kann also sein, dass die übrigen Mitglieder der kriminellen Gruppe ihre Geschäfte fortführen werden, da das von ihnen erdachte und in die Tat umgesetzte Schema äußerst effizient ist.

03.01.2011 08:54 Uhr

Panda TV #56, WikiLeaks-Sympathisanten greifen an, Hacker twittern Weihnachtsgrüße

2010-12-28T12:59:00.000-08:00

28.12.2010 21:59 Uhr

PandaTV2010 12 01 d2

2010-12-03T03:24:00.000-08:00

03.12.2010 12:24 Uhr

Betreiber des Mega-D Botnetzes verhaftet

2010-12-03T02:00:00.000-08:00

Heute sind Interessante Details zu dem Mega-D Botnet aufgetaucht.

Das FBI hat den russischen Staatsbürger Oleg Nikolaenko als Betreiber des Botnetzes Identifizeren und einem Haftbefehl des US-Bezirksgericht auch gleich Festnehmen können. M86 Security Labs hat das Botnetz Anfang 2008 bemerkte und den Spam Verlauf überwacht.Das Botnet bekam seinen Namen durch die Zahlreiche Versendung von "Megadik" Spam-Kampagnen. Mega-D hat seitdem seine Höhen und Tiefen und verschiedene Forscher und Strafverfolgungsbehörden hatten ein immer größer werdendes Interesse an dem Botnet.

Das FBI fand Nikolaenko durch eine Federal Trade Commission Untersuchung im Jahre 2008 die mit dem Affiliate-Programm GenBucks in Verbindung steht.

Zwischen dem 6.Juni und 14.Dezember 2007 wurde eine Zahlungen in Höhe von rund $465.000 auf ein ePassporte Konto von Nikolaenko registriert welches für die Dienstleistungen von Spam eingerichtet wurde.

In den vergangenen Monaten sind die Aktivitäten des Mega-D Botnetzes deutlich zurückgegangen und seine Command & Control-Server zeigten keine Aktivitäten mehr.Einer der gründe dafür dürfte wohl das große Interesse der Behörden und Analytiker gewesen sein. Für M86 Security ist dieses ein großer Erfolg da es heute zu Tage nicht mehr ausreicht das Botnet selber abzuschalten sondern die Herder selber gefasst werden müssen um die Steigende Bedrohung in Schacht halten zu können.

M86 Security Labs Timeline

Feb-2008: Spam from botnet “Mega-D” constituted 32% of spam, malware identified and control servers disabled

Feb-2008: Mega-D recovers and resumes spamming

October-2008: FTC initiates action against AffKing affiliate program

November-2008: McColo takedown halted operations on Mega-D and other spamming botnets

December-2008: Mega-D resumes spamming

November-2009: Mega-D operations disrupted by FireEye

February-2010: Mega-D resumes spamming…again

December-2010: FBI identifies Mega-D’s operator

Quellen:
http://labs.m86security.com
http://krebsonsecurity.com

03.12.2010 11:41 Uhr

Früher gab es noch Pistolen,Heute gibt es Botnetze

2010-11-25T06:18:00.001-08:00

Immer wieder sorgen Botnetze für viel Aufsehen. Diese Netzwerke aus Zombie-Computern werden von ihren Herdern als Geldquelle errichtetet. Recherchen des Virenschutz Anbieters Symantec ergaben, dass die Betreiber dieser Netzwerke Millionen von US-Dollar verdienen.

Die Botnetze werden von Cybercriminellen errichtet und an interessierte Internet-Betrüger zwischen 9 und bis zu 65 US-Dollar pro Stunde vermietet. Das Experten-Team von MessageLabs Intelligence, der Analyseabteilung von Symantec Hosted Services hat nun ermittelt womit die Mieter dieser Botnetze ihre Gewinne erzielen.

Eine der wohl grösten Einnahmequellen ist der Spam-Versand.Selbst wenn nur ein bedeutungsloser Bruchteil der nervenden Werbebotschaften zum Erfolg führt, ist dieses ein Erfolg für ihre Urheber. Die Betreiber fragwürdiger Onlineapotheken können dank Spam-Mails einen Jahresumsatz von bis zu 3,5 Millionen US-Dollar erzielen.

Die 3 anderen kriminellen Erwerbszweige, welche mittels Botnetze Internet-Nutzer attackieren könnte man als die digitale Varianten von Bankraub, Diebstahl und Schutzgelderpressung bezeichnen. Via Botnetz verbreitete Malware kann für den Internet-Betrügern mehr Einnahmen bedeuten als jeder reale Bankraub mit Pistole.

2010 konnte das FBI eine Gruppe von Cyberkriminellen festnehmen, welche mit Hilfe des Zeus Trojaners rund 70 Millionen US-Dollar von fremden Bankkonten ergaunert hatten. Zeus ist auch als Kneber, Zbot, PRG, wsnpoem oder Gorhax bekannt.

Mit der Androhung Webseiten mit so genannten DDoS Attacken lahmzulegen versuchen Internet-Kriminelle Schutzgeld von ihren Opfern zu erpressen. Verweigert der Betreiber der Webseite die Zahlung werden dessen Server solange von gemieteten Botnetzen mit Unmengen an Daten bombardiert bis diese den Dienst verweigert.

Eine weitere Art der digitalen Kriminalität hat sich darauf spezialisiert auf illegalen Netzwerken Nutzerkonten bekannter Onlinespiele wie World of Warcraft zu knacken. Auf diesen Plattformen können sich Spieler digitale Gegenstände erspielen, welche ihnen einen Vorteil in ihrem Spiel verschaffen. Jeh seltener und schwieriger die zu erspielenden Gegenstände sind umso wertvoller sind diese dann auch.

Internet-Betrüger übertragen derartige Items von den gehackten Konten auf eigens dafür angelegte Konten um diese von dort aus zu verkaufen. Es wird berichtet, dass eine asiatische Bande auf diese Weise 140.000 US-Dollar ergaunert habe.

25.11.2010 15:17 uhr

Banking Trojans

2010-11-22T01:02:00.000-08:00

Banbra (Dadobra, Nabload)
* Static process
* Process injected into other process
* Encrypted / packed file

Bancos
* Static process
* Process injected into other process
* Encrypted / packed file

Bankdiv (Banker.BWB)
* Static process
* Process injected into other process
* Encrypted / packed file
* Modification of Operating System files
* Substitution of Operating System files

Bankolimb (NetHell, Limbo)
* Static process
* Process injected into other process
* Encrypted / packed file

Banpatch
* Static process
* Process injected into other process
* Encrypted / packed file
* Modification of Operating System files

Briz
* Static process
* Process injected into other process
* Encrypted / packed file

Cimuz (Bzud, Metafisher, Abwiz, Agent DQ)
* Static process
* Process injected into other process
* Encrypted / packed file

Dumador (Dumarin, Dumaru)
* Static process
* Process injected into other process
* Encrypted / packed file

Goldun (Haxdoor, Nuclear grabber)
* Static process
* Process injected into other process
* Process hidden by rootkit
* Encrypted / packed file
* File hidden by rootkit

Nuklus (Apophis)
* Static process
* Process injected into other process
* Encrypted / packed file

PowerGrabber
* Static process
* Process injected into other process
* Encrypted / packed file

SilentBanker
* Static process
* Process injected into other process
* Encrypted / packed file

Sinowal (Wsnpoem, Anserin)
* Polymorphic process
* Process injected into other process
* Process hidden by rootkit
* Polymorphic file
* Encrypted / packed file
* File hidden by rootkit

Snatch (Gozi)
* Static process
* Process injected into other process
* Encrypted / packed file

Spyforms
* Static process
* Process injected into other process
* Encrypted / packed file

Torpig (Xorpix, Mebroot)
* Static process
* Polymorphic process
* Process injected into other process
* Process hidden by rootkit
* Encrypted / packed file
* File hidden by rootkit
* MBR rootkit

Goldun, Haxdoor, Nuclear Grabber
It usually drops a DLL and a SYS file with rootkit functionality.
It creates a registry entry in order to load the DLL:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\

Cimuz, Bzud, Metafisher, Abwiz, Agent DQ
It usually drops a DLL as a Browser Helper Object (BHO) with these names:
%SystemRoot%\appwiz.dll
%SystemRoot%\ipv6mmo??.dll
We have seen also other names for these files.

Bankolimb, Nethell, Limbo
It usually drops a DLL as a Browser Helper Object (BHO) and an encrypted XML which acts as a configuration file for the Trojan.
Some variants create the following registry entry:
HKEY_LOCAL_MACHINE\Software\Helper
Others create the following one:
HKEY_LOCAL_MACHINE\Software\MRSoft

Briz, VisualBreez
Programmed in Visual Basic, it creates the following files:
%SystemRoot%\ieschedule.exe
%SystemRoot%\dsrss.exe
%SystemRoot%\ieserver.exe
%SystemRoot%\websvr.exe
%SystemRoot%\ieredir.exe
%SystemRoot%\smss.exe
%SystemRoot%\ib?.dll
Folders:
%SystemRoot%\drv32dta
%WindowsRoot%\websvr
Registry entry:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\InitRegKey
And usually modifies the hosts file.

Nuklus, Apophis
It usually downloads the following files:
%SystemRoot%\IEGrabber.dll
%SystemRoot%\CertGrabber.dll
%SystemRoot%\FFGrabber.dll
%SystemRoot%\IECookieKiller.dll
%SystemRoot%\IEFaker.dll
%SystemRoot%\IEMod.dll
%SystemRoot%\IEScrGrabber.dll
%SystemRoot%\IETanGrabber.dll
%SystemRoot%\NetLocker.dll
%SystemRoot%\ProxyMod.dll
%SystemRoot%\PSGrabber.dll

BankDiv, Banker.BWB
Creates the following files:
%SystemRoot%\xvid.dll
%SystemRoot%\xvid.ini
%SystemRoot%\divx.ini
%System%\drivers\ip.sys

Snatch, Gozi
It usually installs a driver with rootkit functionalities:
%WindowsRoot%\driver new_drv.sys

Spyforms
Creates the following registry entries:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“ttool” = %WindowsRoot%\svcs.exe
HKEY_CURRENT_USER\Software\Microsoft\InetData

BankPatch
It modifies the following system files:
wininet.dll
kernel32.dll
And creates the files:
%SystemRoot%\ldshfr.old
%SystemRoot%\mentid.dmp
%SystemRoot%\nwkr.ini
%SystemRoot%\nwwnt.ini
Usually targets banks from the Netherlands.

Silentbanker
Drops file in %SystemRoot% with random names, for example:
%SystemRoot%\appmgmt14.dll
%SystemRoot%\dbgen47.dll
%SystemRoot%\drmsto34.dll
%SystemRoot%\faultre66.dll
%SystemRoot%\kbddiv55.dll
%SystemRoot%\kbddiv79.dll
%SystemRoot%\msisi83.dll
%SystemRoot%\msvcp793.dll
%SystemRoot%\msvcr25.dll
%SystemRoot%\nweven2.dll
%SystemRoot%\pngfil51.dll
%SystemRoot%\pschdpr89.dll
%SystemRoot%\versio40.dll
%SystemRoot%\wifema85.dll
%SystemRoot%\winstr21.dll
%SystemRoot%\wzcsv64.dll
Creates a registry entry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Drivers32 “midi1”

Banbra, Dadobra, Nabload, Banload
Programmed in Delphi, usually packed using Yoda Protector or Telock.
They are usually big (more than 1MB in size), but the Trojan Downloaders which installs it are smaller.
It usually sends out the stolen information via e-mail or ftp to a remote server.
It contains Portuguese strings and usually targets banks from Brazil and Portugal.

Bancos
Programmed in Visual Basic.
Similar to the Banbra family but in VBasic, they are usually big (more than 1MB).
It usually sends out the stolen information via e-mail or ftp to a remote server.
It contains Portuguese strings and usually targets banks from Brazil and Portugal.

Dumador, Dumarin, Dumaru
Programmed in Delphi, usually packed using FSG.
It creates the following files:
%SystemRoot%\winldra.exe
%WindowsRoot%\netdx.dat
%WindowsRoot%\dvpd.dll
%Temp%\fe43e701.htm
It also creates the following registry entries:
HKEY_CURRENT_USER\Software\SARS
Some variants also modify the hosts file.

Sinowal, Wspoem, Anserin, AudioVideo
It creates the following files:
%SystemRoot%\ntos.exe. (usually loaded by svchost.exe to avoid being listed as an active processes).
It creates the folder %SystemRoot%\wsnpoem, where it saves the files audio.dll and video.dll.
They are not really DLL files. In one of these files the Trojan saves an encrypted list of targeted banks. In the other file it saves the stolen data.
It also modifies the the following registry entry in order to run every boot:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Old value = "%SystemRoot%\userinit.exe"
Modified = "%SystemRoot%\userinit.exe", "%SystemRoot%\ntos.exe"
It downloads the file cfg.bin that usually contains the encrypted text strings for the banks.

Torpig, Xorpig, Mebroot
It creates the following files:
%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.exe
%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.dll
%WindowsRoot%\Temp\$_2341234.TMP
%WindowsRoot%\Temp\$_2341233.TMP
The "?" is normally replaced by a digit (ex. ibm00001.exe).
And the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
“Shell” = "%CommonFilesRoot%\Microsoft Shared\Web Folders\ibm0000?.exe"
It usually creates a service in order to load the file ibm0000?.dll through svchost.exe.

Recent variants of Torpig, Xorpig and Mebroot:
The latest trend is that it modifies the computer's Master Boot Record (MBR) to run rootkit code and which is used to hide the Trojan. Sometime later it forces a computer reboot and creates the following files:
%WindowsRoot%\temp\fa56d7ec.$$$
%WindowsRoot%\temp\bca4e2da.$$$

22.11.2010 15:26 Uhr

PandaTV #54 - Rogueware-Verbreitung, Award, Black Friday(SEO Attack)

2010-11-19T10:55:00.000-08:00

19.11.2010 19:56 Uhr

Koobface-Server abgeschaltet

2010-11-15T00:13:00.000-08:00

Ein britischer Internetprovider hat den Command-and-Control-Server des Social-Networking-Botnetzes Koobface vom Netz genommen, nachdem die Sicherheitsexperten der SecDev Group britische Ermittlungsbehörden über den Server informiert hatten. Die Abschaltung des Servers wird das Botnetz nur vorübergehend behindern, aus dem Spiel sind die Hintermänner von Koobface damit aber noch lange nicht und es ist nur eine Frage der Zeit, bis die Dronen auf einen neuen C&C umgeleitet werden.

Koobface (ein Anagramm von Facebook) ist dafür bekannt sich über soziale Netzwerke zu verbreiten.Dort verschickt er Links auf Webseiten, die den Computer mit Schadsoftware infizierensollen.

Worm:Win32/Koobface.gen!F
Net-Worm.Win32.Koobface.a, which attacks MySpace
Net-Worm.Win32.Koobface.b, which attacks Facebook
WORM_KOOBFACE.DC, which attacks Twitter
W32/Koobfa-Gen, which attacks Facebook, MySpace, hi5, Bebo, Friendster, myYearbook, Tagged, Netlog, Badoo and fubar
W32.Koobface.D

>>>allBots Inc.<<<

Geld verdienen die Botnetz-Betreiber, indem sie die übernommenen PCs Klicks auf Online-Anzeigen oder Downloads von Scareware ausführen lassen. Obwohl jeder Klick nur einen minimalen Schaden verursacht, verdienen die Botnet Herder rund 2 Millionen US-Dollar pro Jahr.

Die Botnet Herder von Koobface versuchen, sich bewusst von den "bösen Trojanern" wie Zeus und Spy eye zu distanzieren: "Unsere Software hat niemals Kreditkarteniformationen, Bankzugangsdaten, Passwörter oder ähnliche vertrauliche Daten gestohlen. Und wird das auch nie tun" versicherten sie. Später sammelten sie dann aber doch mit hilfe des LdPinch Trojaners Passwörter für E-Mail-, Facebook- und IM-Accounts ein.

Das Geschäftsmodell von Koobface mit unzähligen winzigen Transaktionen schützt die Hintermänner vor allzu zielstrebiger Verfolgung.

Die Polizei und Staatsanwaltschaften tun sich jedoch recht schwer, konkrete Straftaten oder Schadensfälle auszumachen um den erforderlichen Ermittlungsaufwand für eine gezielte Verfolgung der Hintermänner zu rechtfertigen. Zudem läuft das Geschäft über Ländergrenzen hinweg, was zeitraubende und Amtshilfeersuchen erforderlich macht. "Daher ist es nicht überraschend, dass es im Fall von Koobface keine Strafverfolgung oder Festnahme gab".

Der Schlag gegen Koobface läuft bereits seit zwei Wochen auf mehreren Ebenen: Das SecDev-Team unter Nart Villeneuve informierte ISPs über kompromittierte FTP-Accounts und benannte gegenüber Facebook und Google insgesamt mehrere hunderttausend Accounts, die von Koobface betrieben werden. Das Ende des Botnetzes wird das aber nicht sein. "Solange die Hintermänner frei herumlaufen, wird Koobface weiter arbeiten".

Quellen:
Wikipedia Koobface
heisec.de
Koobface Inside a Crimeware Network (PDF)
The Real Face of Koobface (PDF)

15.11.2010 10:30 Uhr

PandaTV #53 - acmeo Partnerschaft, Halloween-Malware, neue Panda Cloud-Antivirus Verison

2010-11-11T05:07:00.000-08:00

11.11.10 14:08 Uhr

Analyse-Software für Domain-Flux Botnetze

2010-11-09T00:12:00.000-08:00

Viele Botnets wie Conficker,Kraken,Srizbi oder Sinowal verwenden nach einem bestimmten Algorithmus generierte Domains, um den Kontakt zwischen den Command-and-Control-Servern und den infizierten "Dronen" aufrecht zu erhalten. Ein neu entwickeltes "Frühwarn-System" (PDF) soll nun genau solche Domains erkennen und Admins dadurch auf Infektionen in ihrem Netzwerk aufmerksam machen.

Durch den Domain-Generation-Algorithmus (DGA) sollen Sicherheitsforscher daran gehindert werden, die Kommunikation zwischen dem C&C und seinen Dronen zu stören. Um dies zu schaffen, müssten Sicherheitsforscher den Algorithmus eines Bots herausbekommen und anschließend alle von diesem Algorithmus generierten Domains sperren oder selbst aufkaufen. Den Online-Kriminellen dagegen würde im Prinzip eine funktionsfähige Domain für die Kommunikation reichen.

Allerdings weisen die generierten Domains charakteristische Merkmale dafür auf, dass sie nicht von einem menschlichen Benutzer ausgewählt wurden. Dies macht sich die neu entwickelte Analyse-Software zunutze. Sie analysiert mit Hilfe statistischer Verfahren den DNS-Datenverkehr im Netzwerk auf den Kontakt mit generierten Domains und will daraufhin eine Infektionen schnell entdecken können so das der Datenverkehr anschließend unterbunden und das betroffene System von der Malware gereinigt werden kann.

Quelle: http://gulli.com

09.11.2010 09:28 Uhr

Die Zahl des Monats November

2010-11-02T06:44:00.000-07:00

Der wachsenden Marktanteil von Apple hat die Aufmerksamkeit der Cybercrime auf sich gezogen. Die Sicherheitslabore von Panda Security zählen insgesamt über 5.000 Schädlinge, die Mac-Systeme angreifen und schätzen die Neuerscheinungen auf 500 Samples pro Monat mit steigender Tendenz.

Quelle: http://pandanews.de

02.11.2010 14:47 Uhr

Zeus Entwickler gibt den Code an Spy Eye weiter

2010-10-27T02:29:00.000-07:00

Seit Jahresanfang sorgt der Malwarebaukasten Zeus für Aufsehen und konkurrierte lange mit SpyEye.
Slavik hat nun den gesamten Code von seinem Meisterwerk Zeus an den SpyEye-Entwickler Harderman übertragen. Er hat sich nun vollständig aus der Entwicklung zurückgezogen. In Verbindung mit der Übergabe soll Harderman nun den Support für Zeus leisten.

Der Grund für den Rückzug des Entwicklers ist derzeit unbekannt aber er soll sich komplett aus dem Netz zurückgezogen haben. Es ist allerdings möglich, dass es Slavik zu heiss wurde da Ermittler auf ihn aufmerksam wurden und Zeus verstärkt für Aufmerksamkeit sorgte. Zeus ist beim Onlinebanking für eine zunehmende Zahl der finanziellen Schäden von betroffenen Bankkunden verantwortlich.Es ist nicht bekannt, ob Harderman Zeus weiter Entwickelt oder ihn mit in die Entwicklung von SpyEye aufnimmt.Der SpyEye wurde bisher immer als Zeus-Killer verkauft, der dazu in Lage ist Zeus auf infizierten Rechnern zu löschen.

Einen Erfolg konnten niederländische Ermittlungsbehörden gegen das Botnet Bredolab melden indem 143 Command & Control-Sever deaktiviert wurden. Rund 30 Millionen Rechner sollen mit dem Bredolab-Trojaner infiziert sein. Die Ermittler wollen das Botnetz bestehen lassen um so betroffene Anwender per Mail darüber zu informieren, wie Sie ihren Rechner von dem Trojaner befreien können und wie stark er infiziert worden ist.

Quelle: SpyEye v. ZeuS Rivalry Ends in Quiet Merger

27.10.2010 11:46 Uhr

PandaTV #52 - Panda Antivirus for Mac, GateDefender Performa 4.0, Wall Street Journal

2010-10-22T07:58:00.000-07:00

22.010.2010 16:56 Uhr

Spam Volumes Drop After Spamit Shakeup

2010-10-17T02:10:00.000-07:00

In den letzten Wochen gab es einen deutlichen Rückgang in der Spam-Welt.Eine wichtige Ursache des Rückgangs war ein plötzlicher Herunterfahren der Server von Spamit.com

Spamit.com ist eine Untergrundgruppe die mit Hilfe von Botnetzen für ein enorm großes Spam aufkommen verantwortlich ist.Des weiteren ist SpamIt.com eine Tochtergesellschaft von >>GlavMed<< , die wiederum ist verantwortlich für eine der größten und ältesten Affiliate-Programme für "Canadian Pharmacy".Ende September hatte die Domain SpamIt.com eine Meldung für eine bevorstehenden Abschaltung ihrer Server am 10. Oktober Ankündigt.

Seit 7 Tagen ist auf der Indexseite von SpamIt.com folgenden Nachricht zu lesen die übersetzt lautet: "10.10.10 Der König ist tot! Lang lebe der König!"

Insbesondere Rustock hat eine lange Geschichte in Zusammenhang mit dem Canadian Pharmacy hinter sich. In der Tat ist er für einen Großteil gesammten Spam aufkommen´s verantwortlich und nutzte seinen Spam-Output überwiegend überwiegend für Canadian Pharmacy Spam. Das Rustock-Botnetz selbst ist nicht verschwunden, seine Kontrolle Server sind immer noch Online und M86Security konnte in ihren Labor ein geringes Spam Volumen beobachtet.

Also was es ein anderes Botnets? Es gibt einige Vorschläge, das Rustock Spam oft mit dem Pushdo verwechselt wurde. Nicht so. M86Security beobachtet diese Bots intensiv in ihrem Labor und kennt ihre Eigenschaften, Gewohnheiten und Verhaltensweisen gut. Die folgende Tabelle zeigt Pushdo Spam über den gleichen Zeitraum.

In der obigen Tabelle kann man den großen Sprung sehen nachdem einige Pushdo Server im August abgeschaltet wurden. Aber Pushdo erhöht den Spam unweigerlich nach dem neue Control-Server hinzugefügt wurden. Es ist ein weiterer großer Sprung am 3. Oktober zu beobachteten. Zu diesem Zeitpunkt ist sich M86Security unsicher, ob dieser Rückgang mit der Schließung von SpamIt.com in Verbindung steht.

Letztes Wochenende gab es auch bei dem Grum Botnet einen deutlichen Rückgang des Spam volumens. Hier ist eine Tabelle aus der gleichen Zeit, die einen Rückgang der Spam-Ausgabe nach dem 8. Oktober zeigt, sehr nah an dem 10. Oktober der "offiziellen" Schließung von SpamIt.com.

Also, was hat das alles zu bedeuten? Es scheint so dass die Schließung von SpamIt.com einen großen Einfluss auf das Volumen und den Spam-Ausgang einiger Botnetz-Betreiber hat und die eine ihrer wichtigsten Affiliate-Programme verloren haben. Oder mit anderen Worten, eine der wichtigsten Quellen von Bargeld. Wie lange dieses an dauern wird ist eine völlig andere Frage.

Es kann durchaus sein, dass SpamIt.com und Canadian Pharmacy untergetaucht sind und nach einer kurzen Pause in einem anderen Design auftauchen. Dieses wird die Zeit zeigen.

Quelle: http://labs.m86security.com

17.10.2010 12:05 Uhr

Kaspersky Manifesto!

2010-10-15T08:58:00.001-07:00

15.10.2010 17:56 Uhr

HACKER – Porträt einer Gegenkultur

2010-10-14T13:00:00.000-07:00

Der Hacker – einst „Robin Hood“ der Datennetze, heute ein einsamer Nerd, Krimineller oder gar „Datenterrorist“? Jedes Jahr verbreiten sich Unmengen neuer Viren und Würmer, die für immense Schäden sorgen. Oft werden Hacker damit in Verbindung gebracht. Doch der Hacker ist ein ambivalentes Wesen. Einerseits für sein Spezialwissen gefürchtet und verfolgt, verdient die IT-Sicherheitsindustrie Milliarden mit Hackern und der durch ihre Existenz erzeugten Internetgefahr. Zugleich werden fähige Hacker von der Industrie angeworben, um Sicherheits-Software, Anti-Viren-Programme und Firewalls zu entwickeln, die das Internet vor Viren, Würmern und gefährlichen Hackeraktivitäten schützen sollen. Eine paradoxe Situation. Was ist der Hacker also heute – mehr „Datenterrorist“, mehr „Robin Hood“ oder einfach nur Angestellter mit Urlaubsanspruch und Rentenversicherung?

In seinem Debütfilm trifft Alexander Biedermann fünf Hacker verschiedener Generationen und hinterfragt ihr Sein, ihren Antrieb. Porträtiert werden Hacker der Gegenwart, die mittels Viren und Würmern immer wieder die Grenzen der Computersysteme neu definieren und sich Anerkennung verschaffen wollen. Ihnen gegenüber stehen Hacker der alten Generation. Es kommen diejenigen zu Wort, die mit dem legendären NASA-Hack in den 80ern in Verbindung gebracht wurden. Damals galten auch sie als neue unberechenbare Gefahr, als Kriminelle. Alle fünf verbinden ihre Erfahrungen mit einem Gefühl von Macht: Dass sie mit wenigen Programmzeilen großen Einfluss auf Funktionen der Informationsgesellschaft nehmen können. Dabei erklären sich die Hacker als Schützer und Bewahrer. Doch die Grauzone zwischen Legalität und Illegalität sowie eigenen Zielen und gesellschaftlichen Notwendigkeiten werden zum Prüfstein ihrer Biografien.

So deckt der Film überraschende Parallelen zwischen den Generationen auf, denn sie alle werden vom realen Leben eingeholt. HACKER ist ein Porträt, das sich auf die menschlichen Spuren im Datennetz begibt und die persönlichen Geschichten dahinter erahnen lässt.

Trailer

Quelle: http://www.hacker-film.de

14.10.2010 21:59 Uhr

Microsoft´s Security Intelligence Report

2010-10-14T03:00:00.000-07:00

Microsoft veröffentlichte ihren dies jährigen Security Intelligence Report für das erste Halbjahr 2010. Bei der Zahl der von Microsoft beobachteten Infektionen mit Malware lag Deutschland im europäischen Vergleich nur an vierter Stelle – dicht gefolgt von Spanien, Frankreich und Großbritannien.

Im ersten Halbjahr 2010 waren fast 1,9 Millionen Pcs teil eines Botnetzes – und das nur aus Sicht des Softwarekonzerns, der mit dem Malicious Software Removal Tool, Microsoft Security Essentials und anderen hauseigenen Sicherheitsprodukten zu diesen Zahlen kam.Basis für diese Daten dienen weltweit mehr als 450 Millionen Computer sowie Analysen von Milliarden von Websites und E-Mails, die über Microsofts Hotmail versendet werden.

Bei der Infektionen mit Bots steht Deutschland in Europa an vierter Stelle: Im zweiten Quartal 2010 registrierte Microsoft 156.000 Bot-Infektionen, dieses entspricht einer Infektionsrate von 1,4 Promille. Weltweit führend waren die USA mit 2,2 Millionen infizierter Rechner, die höchste Infektionsrate wies aber Südkorea mit 14,6 Promille auf.

Der am häufigsten beobachtete Bot in Deutschland war Alureon mit 30 Prozent, der zudem Rootkit-Funktionen beinhaltet.Weiter auf dem Vormarsch ist ZeuS alias ZBot. zeuSist kein Bot einer einzelnen Gruppe Krimineller, sondern ein Baukastenssystem, mit dem sich Bot-Herder ihren Schädling zusammenklicken können. Zudem spielt ZBot auch beim Plündern von Bankkonten und dem Austricksen von TAN-Verfahren eine große Rolle.

Angesichts der wachsenden Bedrohung durch Botnetze hatte Microsofts Vizepräsident Scott Charney, auf der Sicherheitskonferenz ISSE 2010 vergangene Woche in Berlin den vorgeschlag infizierte PCs vom Internet zu isolieren. Als Vorbild hatte er dabei das öffentliche Gesundheitssystem angeführt, in dem infizierte Personen in Quarantäne kommen um keine weiteren Personen anzustecken.

Quelle: Heise.de

14.10.2010 12:14 Uhr

PandaTV #51 - Datenklau bei iTunes, 95 Prozent aller Mails sind Spam, Facebook-Gewinnspiel

2010-10-08T05:08:00.001-07:00

08.10.2010 14:06 Uhr

Kaspersky Internet Security 2011 - Overview

2010-10-03T01:25:00.000-07:00

03.10.2010 10:23 Uhr

Black Hole Exploits Kit

2010-10-03T00:00:00.000-07:00

Die Cybercrime ist weiterhin durch die Entwicklung und Umsetzung neuer vorkompilierte Exploit-Kits zu kriminellen Manövern über das Internet im stätigen wandel.In diesem Fall ist es das Black Hole Exploits Kits welches in Russland entwickelt wurde und auch in englische-Sprache verfügbar ist.Die erste Version (Beta im Moment) ist in einschlägigen Undergroundfroen erhältlich.

Black Holes Exploits Kit statistik-Module
Dieses Modul bietet einen schnellen Überblick über die wichtigsten Informationen für einen Botherder: Anzahl der Computer, die Teil des Netzwerks und den jeweiligen Ländern, Exploits mit höheren Erfolgsraten und andere wichtige Informationen.

Anders als viele andere Crimewarekits dieses Stils, verwendet Black Hole Exploits Kit ein Lizenzsystem.Der Kauf dieses Kits für 1 Jahr (derzeit die maximale Zeit) liegt $1500, während ein halb-jährlichen und vierteljährlichen Lizenz zwischen $1000 und $700 kostet.

Statistik der Operating Systems
Die Tendenz zeigt eine leichte aber schrittweise Erhöhung der Betriebssysteme die nicht zur Familie von Microsoft gehören. Dazu gehören *NIX-basierte Plattformen wie GNU/Linux und Mac OS. Andere wie Sibirien Exploit Pack und Eleonore Exploits Kit umfasst Plattformen für High-End-Mobilgeräte und Spielkonsolen.

Statistik der Exploits
Mit diesem Modul werden die statistischen Daten über die Fähigkeiten der Erfolg einer Infektion angezeigt.

Black Hole Exploits Kit enthält ein TDS (Traffic Direction Script), mit dem die Unabhängigkeit von einer anderen Web-Anwendung das einen willkürlich manipulierten Web-Datenverkehr ermöglicht und wahrscheinlich wird diese Funktion die Aufmerksamkeit der Verbrecher auf sich ziehen.

Das Kit hat ein Selbst-defensive Modul welches den Zugang zu bestimmten Webseiten von Sicherheitsfirmen nach URL oder IP-Adressbereiche sperren kann.

Black Hole Exploits Kit wurdeseit seinem Start im Underground nicht mehr Aktiv in-the-Wild gesichtet was vielleicht auf die anfänglichen Kosten zurückzuführen ist.Allerdings sollte Sicherheitsexperten ein besonderes Augenmerk auf das Exploit Kit legen da die Nachfrage in der Cybercrime mit der nächsten Version steigen kann.

Quelle: http://malwareint.blogspot.com

03.10.2010 10:17 Uhr

PandaTV #50 - Attacke auf Twitter, Social Networking am Arbeitsplatz, Software des Jahres

2010-10-02T12:26:00.000-07:00

02.10.2010 21:25 Uhr

Wiedersehen macht Freude

2010-09-10T12:46:00.000-07:00

Wiedersehen macht Freude dachten sich die Betreiber des Pushdo Botnetzes und haben ihr Netzwerk wider in Gang gebracht und bauen es weiter aus.Gestern kam eine neue Welle falscher Facebook-Nachrichten mit rund 5000 Spam-Mails die 30 Minuten lang über einige Cutwail-Zombies versendet wurden.

Die E-mails enthielt einen angeblichen Facebook-Link der in Wahrheit aber auf eine kanadische Pharmacy-Site {BLOCKED}icy.com führt die in China gehostet wurde und mittlerweile offline ist.

Quelle: http://labs.m86security.com
Quelle: http://blog.trendmicro.de

10.09.2010 21:54 Uhr

Kriminelle Aktivitäten des BKCNET “SIA” IZZI / ATECH-SAGADE - Part Eins

2010-09-08T08:27:00.001-07:00

BKCNET "SIA" IZZI, auch bekannt als ATECH-SAGADE ist ein AS6851 (Autonomes System), welches derzeit eines der aktivsten Crimewarenetzwerke im Underground darstellt und durch das täglich eine große Menge von Schadsoftware verteilt wird.Abgesehen davon ist das BKCNET die Kontrollbasis für zahlreiche Command & Control Server.

Ihren Sitz hat das BKCNET in Lettland und wie bereits erwähnt, "Der ASN dient als Server für kriminelle Aktivitäten.Hier finden sich bekannte Exploit Kits und Botnetze wider wie YES Exploit System, das Waledac-Botnet welches der Nachfolger des bekannten Storm Worm,so wie der Banktrojaner Zeus und das Koobface Botnet.

Criminal activities from BKCNET “SIA” IZZI / ATECH-SAGADE - Part one
http://www.malwareint.com/docs.html

Die meisten Malware Angriffe gehen vom (BKCNET "SIA" IZZI) aus,welches auch Affiliate-Systeme unterstützt um den Gewinn und die Infektionen erhöht.

Den folgenden Beweis zeigen die Roten Linien im Diagramm welche die Aktivitäten der Command & Control Server der Botnetze widerspiegeln.

08.09.2010 19:15 Uhr

Mariposa: Die slowenische Geschichte

2010-09-01T12:31:00.000-07:00

Vor einigen Wochen wurde bekannt, dass die slowenische Polizei einige Personen verhaftete die verantwortlich für den Verkauf des Mariposa Botnet waren, darunter sollte auch Iserdo der Programmierer des Bots sein. Seither herrscht viel Verwirrung um das Thema Mariposa, aber dank der Hilfe von Peter Lovšin kann etwas Ordnung in dieses Durcheinander gebracht werden.

Nach den Verhaftungen in Slowenien, gab die Polizei eine Pressekonferenz, wo sie einige Informationen bekannt gaben. Es gab sieben Hausdurchsuchungen, in dem 75 Computerteile beschlagnahmt wurden, darunter (Computer, Festplatten, etc). Sie bestätigten, das ein 23 und 24 Jähriger 48 Stunden in Polizeigewahrsam genommen wurden. Einer der Verhafteten soll der Autor (Iserdo) des Butterfly Bots sein.

Es werden zwei Kapitalverbrechen untersucht.

* Erstellung eines Programms um Computer-Kriminalitäten zu ermöglichen.
* Geldwäsche.

Die Medien haben herausgefunden das es sich bei dem 23-jährige um Iserdo handle. Im wirklichen Leben ist sein Name Matjaz Skorjanc aus Maribor Slowenien. Er ist Medizin Student, sein Vater besitzt eine kleine Firma in der Nähe von Maribor, die sich auf die Entwicklung und den Vertrieb von elektronischen Geräten speazialisiert hat. Dabei stellt sich heraus, dass sein Alias Iserdo rückwärts buchstabiert Odresi heißt, was soviel wie "Einlösen" einlösen auf slowenisch bedeutet.

Bei der 24-jährigen Person soll es sich um ein Mädchen mit dem Namen Nusa Coh mit dem Spitzname ist L0La handeln, welches ebenfalls aus Maribor kommt.Es scheint dass ein Teil des Geldes dass Iserdo durch den Verkauf des Bots macht wurde an Nusa Coh zahlt. Sie erhielten Western Union Überweisungen von einer Person mit dem Pseudonym Netkairo der Besitzer des Mariposa Botnet ist.

Während der Untersuchung kam heraus das der 24 Jährige Dejan Janzekovic zu Unrecht als Iserdo beschuldigt und verhaftet wurde. Er stammt ebenfalls aus Maribor und arbeitet als Systemadministrator bei dem slowenischen Telekommunikationsunternehmen Amis. Die Ermittler brachten ihn mit der Geschichte In Verbindung weil er in der High-School (2. Gymnasium Maribor) in die gleichen Klasse wie Nusa CoH (L0La) ging.

Die Website des Butterfly Bots wurde mittlerweile vom Netz genommen.

Nicht alle Nachrichten sind gut. Soweit bekannt ist sind Netkairo und Ostiator, die Jungs hinter Mariposa auf freiem Fuß. Dies ist ein Kommentar von Netkairo in seinem Facebook Profil nachdem die Verhaftungen stattgefunden haben.

Ich hoffe noch weitere Nachrichten in naher Zukunft bekannt gegeben zu können.

Quelle: http://pandalabs.pandasecurity.com

01.09.2010 21:47 Uhr

30 Pushdo Server abgeschaltet

2010-08-30T09:19:00.000-07:00

M86Security kündigt in ihrem Blog eine abnahme des Spams von Pushdo (Cutwail) an.

Also, was ist der Grund für diesen plötzlichen Rückgang? Es stellt sich heraus, dass 30 der C&C Server abgeschaltet wurden wie man bei TLLOD erfahren kann.

Trotzdem ist dieses mit Vorsicht zu genießen. Frühere Erfahrungen haben gezeigt, dass die Abschaltung der C&C Server nur von kurzer Dauer sein können. Es ist höchst wahrscheinlich, dass neue Server in die Infrastruktur des Botnetzes eingebaut werden. In der Zwischenzeit können wir uns ein paar Tage über weniger Spam freuen.

30.08.2010 18:35 Uhr

PandaTV #48 - Bestnoten von AV-Test, Admin Secure mit neuer Engine, Windows-Schwachstelle

2010-08-27T03:57:00.000-07:00

27.08.2010 12:56 Uhr

Botnetz Rustock verliert an Reichweite

2010-08-26T03:15:00.000-07:00

Nach angaben von MessageLabs Intelligence hat das Botnetzwerk Rustock nur noch 1,3 Millionen ferngesteuerte Dronen während es im April noch 2,5 Millionen waren. Rustock ist für 41 Prozent aller verschickten Spam-Mails verantwortlich, während der Anteil vor vier Monaten noch auf 32 Prozent betrug.

Rustock kontrolliert zwar weniger Bots als vorher,konnte aber dennoch die Anzahl der verschickten Spammails pro Bot und Minute fast verdoppeln.Im Resultat ist die Zahl der Spam-E-Mails, die Rustock pro Tag verschickt, um sechs Prozent gestiegen meint Paul Wood, der MessageLabs Intelligence Senior Analyst bei Symantec Hosted Service.

Grund dafür warum Rustock seinen Spam-Versand verstärken konnte, ist weil das Botnetz keine TLS-Verschlüsselung mehr nutzt wodurch die e-Mail-Verbindungen beschleunigt werden konnten. Im März hatten noch 30 Prozent der Spam-Mails eine TLS-Verschlüsselung aufgewiesen. Wobei sich bei Rustock der Anteil verschlüsselter Mails auf beeindruckende 70 Prozent belief.

TLS bremst den Versand von E-Mail-Verbindungen aus, weil das Verschlüsselung der Mails zusätzliche Rechnerkapazitäten in Beschlag nimmt. Dies könnte einer der Gründe sein warum die Hintermänner von Rustock zu der Überzeugung gekommen sind, dass ein Rückgriff auf diese Technik ihre Fähigkeit zur massenweisen Verbreitung von Werbe-Mails einschränkt.

Die TLS-Verschlüsselung hat aber nun an Bedeutung verloren weshalb nur noch 0,5 Prozent der gesamten Spam-Mails verschlüsselt sind. Die Zahl seiner verschickten Spam-Mails konnte Rustock von 96 auf 192 Mails pro Bot und Minute verzweifachen.

Quelle: http://www.virenschutz.info
Quelle: http://www.m86security.com

26.08.2010 12:45 Uhr

AV-Test Product Review and Certification Report - 2010/Q2

2010-08-24T11:41:00.000-07:00

AV-Test.org hat ihre Liste für das 2 Quartal 2010 mit getesteten Antivirenprogrammen veröffentlicht. Die ersten 3 Plätze werden von Panda, Symantec und Kaspersky angeführt.
Am schlechtesten schnitt Norman: Security Suite 8.0 mit 2,0 bei der Protection ab. Im Bereich Repair bekam McAfee: Internet Security 2010 die schlechteste Bewertung.

Quelle: Certification Report - 2010/Q2

24.08.2010 20:50 Uhr

Hausdurchsuchung bei Perfect Privacy

2010-08-23T06:00:00.000-07:00

Der oftmals von Cyberkriminellen genutzte VPN Anbieter Perfect Privacy hatte am Freitag morgen eine Hausdurchsuchung.Perfect Privacy ist ein Zusammenschluss von Privatpersonen aus aller Welt, die VPN-Server betreiben und ihre Dienste unter einer gemeinschaftlichen Oberfläche anbieten.Es wurden fünf PCs samt Speichermedien beschlagnahmt, wodurch ein Schaden in Höhe von 6000 bis 6500 Euro entstanden sein soll. Rechner, die in Verbindung mit dem VPN-Dienst genutzt wurden, seien "allesamt vollverschlüsselt", betont das Unternehmen.Der Betreiber will jetzt mit anwaltlicher Unterstützung Akteneinsicht beantragen.

23.08.2010 15:09 Uhr

PandaTV #30 - Jugend, Testergebnisse, Facebook Weihnachtsbotschaften

2010-08-23T02:47:00.000-07:00

23.08.2010 11:47 Uhr

Phoenix Exploit Kit Statistik

2010-08-22T22:57:00.000-07:00

Dieser Beitrag zeigt eine Reihe von Daten über die verschiedenen Versionen des Phoenix Exploit-Kit.

Phoenix Exploit’s Kit v2.3r
Phoenix Exploit’s Kit v2.3
Phoenix Exploit’s Kit v2.21
Phoenix Exploit’s Kit v2.2
Phoenix Exploit’s Kit v2.1
Phoenix Exploit’s Kit v2.0
Phoenix Exploit’s Kit v1.4
Phoenix Exploit’s Kit v1.31
Phoenix Exploit’s Kit v1.3
Phoenix Exploit’s Kit v1.2
Phoenix Exploit’s Kit v1.1
Phoenix Exploit’s Kit v1.0
Phoenix Exploit’s Kit v1.0beta

PDF (Englisch)

Quelle: http://malwareint.blogspot.com

23.08.2010 08:02 Uhr

Lab Matters - Whitelists: Better on them than not

2010-08-13T23:43:00.000-07:00

14.08.2010 08:44 Uhr

PandaTV #47 - 10 Zeichen für PC-Infektion, Konferenzwoche, finanzielle Malwareschäden

2010-08-13T07:18:00.001-07:00

13.08.2010 16:17 Uhr

dd_ssh Botnet

2010-08-12T06:22:00.000-07:00

Der Bot dd_ssh sorgt laut dem ISC (Internet Storm Center) derzeit für eine erhöhte Anzahl von Brute-Force-Angriffen auf SSH-Zugänge. Die Betreiber des Botnetzes schleusen das Script vermutlich über eine phpMyAdmin-Lücke in das System ein und nutzen das Eroberte System dann für SSH-Attacken. Die Lücke ist bereits ein Jahr alt und betrifft folgende phpMyAdmin-Versionen 2.11.x vor 2.11.9.5 sowie 3.x vor 3.1.3.1.

Durch den Einsatz eines sehr großen Botnets mit einer Vielzahl von verschiedenen IP-Adressen können die Herder sogar unter dem Radar der Filterlösungen fliegen, wenn von jeder IP eines Bots nur wenige Login-Versuche ausgehen. Dadurch wird der Schwellenwert nicht erreicht, ab dem die Filter blockieren. Schützen kann man sich am ehesten mit gemeinschaftlichen Blacklists aus der Cloud, die man mit Scripten wie DenyHosts. Die Grundvoraussetzung dafür ist allerdings ein sicheres – wenn auch unbequemes – Passwort.

12.08.2010 15:31 Uhr

Pay-per-Install through VIVA INSTALLS / HAPPY INSTALLS in BKCNET “SIA” IZZI

2010-08-12T05:34:00.000-07:00

Eines der profitabelsten geschäfte der Cybercrime ist das Affiliate-Systeme Pay-per-Install. Bei Pay-per-Install wird die Installation von Software auf einem Computer Vergütet, beispielsweise Toolbars oder Demoversionen.

vivainstalls.net und happyinstalls.com gehöhren zu den Führenen PPI Diensten der Cybercrime und Hosten (IP-Adresse 91.188.59.51) im BKCNET "SIA" IZZI (ATECH-SAGADE) Autonomes System (AS6851). Diese Autonomes System ist für seine hohe Anonymität und betrügerischen Aktivitäten durch das Koobface Botnet bekannt.

Über das PPI System wird der Fake Av A-fast Antivirus verbreitet.

Das Affiliate system verbreitet ihre Malware über einen Link der einen Downloader enthält und die Software auf das System Installiert,hier wird Deutlich darauf hingewiesen das die Setup.exe oder exe.exe (971eab628a7aac18bb29cba8849dff61) nicht bei Freien Virenscanner wie Virustotal.com hochgeladen werden sollte.

Wie ist der Registrierungsprozess ?
Um Zugang zum Memberbereich zu bekommen benötigt man einen Aktivierungs-Code den man von einem anderen Vertrauenswürdigem Mitglied bekommt.

Wie viel kostet der Affiliate für jede erfolgreiche Installation?
USD 0.30 per installation in U.S.
USD 0.20 per installation in Canada, Australia and England.
USD 0.01 for installation in other countries.

Quelle: http://malwareint.blogspot.com

12.08.2010 15:08 Uhr

Phoenix Exploit Kit 2.0

2010-08-05T09:46:00.000-07:00

Phoenix Exploit-Kit 2.0 ist eine aktualisierte Version der Phoenix-Toolkit, das ursprünglich von M86 Security Labs Mitte 2009 entdeckt wurde.Die GUI des Admin-Panel hat sich nicht wesentlich von der vorherigen Version geändert, aber zusätzlich werden neue Technik zur Verschleierung verwendet.

Das Exploit-Kit beinhaltet folgenden Schwachstellen:

Flash exploits
Adobe Flash Integer Overflow in AVM2 - CVE-2009-1869
Adobe Flash Integer Overflow in Flash Player CVE-2007-0071

PDF exploits
Adobe Reader CollectEmailInfo Vulnerability CVE-2007-5659
Adobe Reader Collab GetIcon Vulnerability CVE-2009-0927
Adobe Reader LibTiff Vulnerability CVE-2010-0188
Adobe Reader newPlayer Vulnerability CVE-2009-4324
Adobe Reader util.printf Vulnerability CVE-2008-2992

Internet Explorer Exploits
IE MDAC Vulnerability CVE-2006-0003
IE SnapShot Viewer ActiveX Vulnerability CVE-2008-2463
IE iepeers Vulnerability CVE-2010-0806

Java Exploits
JAVA HsbParser.getSoundBank Vulnerability CVE-2009-3867
Java Development Kit Vulnerability CVE-2008-5353

Administrator-Panel
Wie die meisten Exploit-Kits bietet das Phoenix Exploit-Kit mit dem Adminpanel die Möglichkeit, eingehenden Datenverkehr zu analysieren und die Anzahl der infizierten Rechner zu überwachen. Darüber hinaus ermöglicht es dem Benutzer Malware hochzuladen,die dann auf den infizierten Rechnern ausgeführt wierd.

Das Phoenix Exploit-Kit bietet einen URL-Filter der dem Benutzter zeigt ob seine Domain auf den folgenden Seiten auf der blacklist steht.

Google Safe Browsing
MalwareURL
Zeus Tracker

Der Programmierer des Exploit-Kits bietet ein "Phoenix Triple System" an bei dem ein Kunde die Möglichkeit bekommt das dass Kit neu aufgesetzt wird sobald es von einer Antivirenfirma oder anderen entdeckt wurde.

Quelle: http://www.m86security.com

05.08.2010 19:20 Uhr

Myrte und Guave 1-5

2010-08-03T04:24:00.000-07:00

Ich habe mir gerade mal Myrte und Guave von 1-5 durchgelesen welches sich mit dem Rootkit.Win32.Stuxnet und Trojan-Dropper.Win32.Stuxnet befasst.

Myrte und Guave: Episode 1

Myrte und Guave: Episode 2

Myrte und Guave: Episode 3

Myrte und Guave: Episode 4

Myrte und Guave: Episode 5

Wer sich für die Malware Interessiert wird hier viele Interessant Informationen finden.

03.08.2010 13:31 Uhr

PandaTV #46 - Neue Produkt-Reihe 2011, Weitere Verhaftungen im Fall Mariposa, WM Tippspiel

2010-07-31T04:55:00.000-07:00

31.07.2010 13:55 Uhr

Zeus verbreitet sich über LNK-Lücke

2010-07-28T08:55:00.000-07:00

Das Zeus-Botnetz nutzt die bereits bekannte Lücke (CVE-2010-2568) im Iconhandler von Windows aus um sich zu verbreiten. Dazu verschickt das Netzwerk nach Angaben von Trend Micro und F-Secure gepackte Dateien in dennen sich eine Verknüpfung befindet und das bloße Betrachten reicht um das System zu Infizieren.

Unter dem Vorwand das diese E-Mail von Microsoft stamme und mit einem Passwort geschützt sei wird der Ahnungslose User dazu aufgefordert den Anhang Herunter zu Laden und zu öffnen. Damit ist der Angriff gefährlicher als typische Angriffe mit gepackten Dateien, die ein Anklicken des Inhalts erfordern. Der ein oder andere Nutzer wird möglicherweise glauben, dass das reine Entpacken zur Kontrolle keinen Schaden auslösen kann.

Das Zeus-Netzwerk zählt zu den größten Botnetzen Weltweit und kann sich über die LNK-Lücke Problemlos über USB-Sticks und SD-Karten weiterverbreiten. Ein Patch von Microsoft ist in Arbeit, allerdings ist noch nicht bekannt, wann dieser erscheint.

28.07.2010 18:09 Uhr

Neue Verhaftungen im Fall Mariposa

2010-07-28T07:52:00.000-07:00

Anfang des Jahres konnte Panda Security gemeinsam mit Defense Intelligence, dem FBI und der spanischen Polizei vor einigen Monaten das bis dahin größte Botnetz , mit dem Namen “Mariposa”, vom Netz nehmen. Dabei wurden auch die Betreiber verhaftet.Nun gelang es der weitere Hintermänner in Slowenien ausfindig zu machen und zu verhaften, darunter befindet sich auch der Entwickler des Butterfly Bots der unter dem Firmennamen “Butterfly Network Solutions” sein Produkt verkaufte.

Laut einer slowenischen Zeitung, verkaufte der Entwickler den Butterfly Bot für 40.000 € an die Anfang des Jahres verhafteten Betreiber. Da der slowenische Programmierer sein Dienste mehreren Kunden anbot ist der Fall „Mariposa“ noch längst nicht abgeschlossen.

28.07.2010 17:03 Uhr

Facebook-Crawler

2010-07-27T12:03:00.000-07:00

Ron Bowes hat auf seinem Blog skullsecurity.org ein in Ruby geschriebenes Script veröffentlicht welches Daten von Facebook Usern sammelt. Dadurch haben es Spammer und Phisher leichter Mitglieder des Sozialen-Netzwerkes mit Unerwünschten Emails zu Bombadieren. Mit dem Crawler wurden von seinem Entwickler offenbar testweise US-Konten gesammelt - der laut seinem Blogs Nordamerikaner ist.

Die zum Download angebotene Datei bringt es mit 170 Millionen Accounts auf 10 GByte. Es gibt weitere Dateien, in denen die Vor- und Nachnamen nach Häufigkeit sortiert sind und in denen einmalige Namen aufgelistet werden. Es dürfte kein Problem sein, mit einem leicht geänderten Crawler auch deutsche Facebook-Konten zu sammeln.

Um auch die Kontakte der Nutzer auszulesen, müssten deutlich mehr Daten verarbeitet werden, wozu der Entwickler des Crawlers derzeit keine Möglichkeiten hat. Pläne hat er trotzdem: "Ich würde das in der Zukunft angehen, wenn also irgendjemand Bandbreite zur Verfügung hat und spenden will, brauche ich nur einen ssh-Account und ein installiertes Nmap", so Bowes.

Es ist nicht das erste Mal, dass Nutzerdaten von Facebook und Co. ausgelesen werde. Soziale Netzwerke können sich gegen Sammelaktionen von öffentlichen Daten kaum schützen - vor allem dann nicht, wenn sie - wie Facebook - auch mit Suchmaschinenbetreibern wie etwa Google zusammen arbeiten.Beim Schutz der nicht-öffentlichen Daten hat sich etwa Facebook-Konkurrent VZ Netzwerke (StudiVZ, SchülerVZ, MeinVZ) mehr ins Zeug gelegt als Facebook. Dennoch kann es seinen Nutzern nicht versprechen, dass sie komplett geschützt sind.

27.07.2010 21:14 Uhr

Qualys BrowserCheck

2010-07-23T04:13:00.000-07:00

Web-Browser und ihre Plug-ins sind heute Hauptangriffsziele für Malware aller Art. Damit der Browser nur das tut, stellt das Sicherheitsunternehmen Qualys eine Browser-Prüfung bereit der ein dem Mozilla Plugin Check ähnelt, aber anders arbeitet.

Qualys BrowserCheck funktioniert als Kombination aus Website und Browser-Plug-in, das der Benutzer zunächst installieren muss. Qualys unterstützt derzeit den Internet Explorer (ab Version 6), Firefox 3.x und Google Chrome 4 und 5. Als Betriebssystem wird Windows von 2000 bis 7 voraus gesetzt.Der Qualys prüft die Aktualität einiger Plug-inswie Adobe Reader, Flash Player,Shockwave Player sowie Quicktime, Silverlight, Windows Media Player, Real Player und Java. Dazu erkennt der Checker, ob die Windows-Version noch von Microsoft unterstützt wird und ob der Browser selbst aktuell ist.

Ist eine Plugin nicht mehr aktuell oder weist gar Sicherheitslücken auf, zeigt der Qualys BrowserCheck dies durch ein Ampelsystem an und bietet Links zur Update-Seite des jeweiligen Herstellers an.

Quelle: http://www.pcwelt.de

23.07.2010 13:21 Uhr

Lab Matters - AV-Test Results: Just how reliable are they?

2010-07-17T11:06:00.000-07:00

17.07.2010 20:06 Uhr

Koobface Going for Broke? and More Koobface URLs Plague Users

2010-07-17T03:27:00.000-07:00

McAfee Labs-Forscher haben einen spürbaren Anstieg der URLs von Koobface beobachtet. (Koobface ist ein Anagramm für Facebook.) Die neuesten, unerwartete Koobface Kampagne versucht User von Facebook einen Link mit ausführbaren Dateien unter zu schieben.

Alle Dateien haben den gleichen MD5 Hash: 9cac65b88d2288fb16f8a356c3563604

Einen Schutzt kann der McAfee SiteAdvisor und McAfee TrustedSource™ bieten.

Das Koobface Botnet ist zu einer der Top Bedrohungen für die Nutzer von Facebook geworden.Koobface ist sehr vielfältig in seiner Nutzung,so wurde z.b die Installation von Passwort-Stealern beobachtet oder forderte User zu eienr CAPTCHA eingabe auf.

Vor einigen Wochen hat Koobface den Zugriff auf Security-Websites blockiert.Seitdem haben die Autoren einen Riesenschritt in Richtung Invasivität mit der Installation von ihren gefälschten Anti-Virus Trojan getroffen.Etwa 10 Minuten nach der ersten Infektion bekommen Nutzer eine Meldung über einen gefälschte Scan und Infektionen.

Der Trojaner fungiert als HTTP-Proxy im Internet Explorer und blockiert den Zugriff auf andere andere Webseiten außer die des FakeAv´s.

Die Malware blockiert auch fast jede ausführbare datei, wodurch das System ziemlich nutzlos für die meisten Anwender wird.

Vielleicht versucht die Bande eine letzten großen Auszahlung und will so viele Nutzer wie möglich dazu bringen einen "AV Security Suite" von $49.95-$69,95 zu registrieren. Die überwiegende Mehrzahl der Infizierten Systeme des Koobface Botnetzes kommen von Benutzern, die auf die Social-Engineering Taktiken der Bande hereingefallen und nun ein teil ihres Botnetzes sind.

Quelle: http://www.avertlabs.com/research/blog/

17.07.2010 13:01 Uhr

Zeus-Malware zielt auf deutsche Banken

2010-07-16T01:15:00.000-07:00

Der Zeus Banking Trojaner ist der am weitesten verbreitete Malwarebaukasten für Cyberkriminelle Online-Aktivitäten. Die aktuelle Version ist jetzt noch besser geschützt um die Analysen der Antivirusfirmen zu erschweren und erhält nur noch die jeweils notwendigen Informationen.

Das Verhalten einer Zeus-Variante wird durch eine Konfigurationsdatei festgelegt, die auf einem Kommando-Server liegt. Die Konfigurationsdateien der älteren Zeus-Versionen enthalten stets alle Ziele (Web-Adressen) von Banken und Online-Diensten. Während die neuere Version 3 des Trojaners fokussierter arbeitet.

Der Sichererheits Experte Zarestel Ferrer im CA Security Advisor Research Blog berichtet,nutzt die Version 3 des Zeus Bots eine Konfigurationsdatei, die sich nicht mehr so einfach von Sicherheitsfachleuten untersuchen lässt. Bei bei älteren Fassungen des Bots konnten die Analytiker dem Server einen Zbot vorgaukeln, um die komplette Konfigurationsdatei auszulesen, die sie dann analysieren.
In der Dritten Version des Bank Trojaners ist diese Datei durch eingeschränkte Zugriffsrechte besser geschützt. Der Bot kann nur noch auf die Ressourcen zugreifen, die er für seine Aufgabe benötigt.

Das bedeutet, dass nur noch die Web-Adressen von Banken aus den USA, Großbritannien, Deutschland und Spanien verfügbar sind. Im ersten Halbjahr 2010 waren diese vier Länder die Top-Ziele der Zeus-Malware, besonders Spanien war sehr betroffen. Die vier Länder werden nur paarweise aufgeführt - USA und Großbritannien sowie Deutschland und Spanien. Der Bot kann also nur auf Daten für zwei Länder zugreifen.

Zu den deutschen Zielen der Malware gehören nach Angaben von Ferrer etwa die Commerzbank,Deutsche Bank sowie die Dienstleister Fuducia und GAD, die für Genossenschaftsbanken wie die Volksbanken tätig sind. Die Kommando-Server der Botnetze sind meist in Russland angesiedelt.

Online-Kriminelle können zu Preisen von mehreren tausend Euro einen Zeus Bot erwerben, deren Eigenschaften sie sich nach Bedarf modular zusammen stellen können. Der Preis hängt von Art und Anzahl der Module ab.

16.07.2010 10:19 Uhr

YES Exploit System und CaaS

2010-07-12T05:03:00.000-07:00

Das ausgestorbene Yes Exploit System ist in der Version 3.0 wider auferstanden und wird auch gleich als CaaS (Crimeware-as-a-Service) angeboten.Beim CaaS handelt es sich um ein kleines Gegenstück zum Cloud Computing,der Käufer bekommt Zugang zu einem Server mit dem Exploit System und muss sich dabei um keine Serverrelevanten Dinge wie Updates oder Konfiguration kümmern.

Dieses Geschäftsmodell der Cybercrime macht es auch Anfängern sehr leicht Botnetze oder Spam zu verteilen ohne Technisches Now How zu besietzen.

Yes Exploit verfügt auch über einen Domain Checker und überprüft ob die Adresse des Servers in bekannten listen wie ZeuS Tracker, MDL (MalwareDomainList), SiteAdvisor, Norton List und anderen auftaucht um so den Bekanntheitsgrad des Servers zu überprüfen.

Eine weitere Funktion ist der AV Checker der überprüft in wie weit das Exploit Kit von Antivirus Firmen erkannt wird.

Yes Exploit System ähnelt nicht nur einem herkömmlichen Business Schema, sondern wurde ausschließlich für kriminelle Zwecke entwickelt um auf einfachste weise möglichst viele ahnungslose User mit Malware zu Infizieren.

Quelle: http://malwareint.blogspot.com

12..07.2010 14:35 Uhr

PandaTV #45 - Wurm im Apfel, Der Browser ist nicht sicher , Betatest

2010-07-09T07:11:00.001-07:00

09.07.2010 16:10 Uhr

BOMBA Botnet

2010-07-05T03:20:00.000-07:00

MalwareIntelligence hat ein neues Botnet das den Namen Bomba trägt entdeckt.

Der Server des Botnetzes liegt in Lettland obwohl die Administrativen Datensätze in Moskau,Russland des AS6851 (Autonomes System) verweisen, welches unter dem Netzwerk BKCNET "SIA" Izzie bekannt ist.
Unter diesem ASN wurden zahlreiche Exploitkits wie YES System Exploit und Botnetze wie Waledac,Zeus und auch Koobface gehostet.

Bomba nutzt Sicherheitslücken in Java (Java Deployment Toolkit), Internet Explorer, Adobe Reader und dem klassischem MDAC aus.

Quelle: http://malwareint.blogspot.com

05.07.2010 12:43 Uhr

Chaosradio Express 155 Malware und Botnets

2010-07-02T02:38:00.000-07:00

Ich höre mir gerade die 155 Folge vom CCC an,der Titel sagt es schon es geht um das Thema Botnetze.Das ganze wird sehr sehr gut von Tim Pritlove und Thorsten Holz dem Betreiber vom http://honeyblog.org erklärt.Die beiden wandern wirklich vom Anfang des ersten Virus 1985 bis ins Jahre 2010 und erklären dabei deren Funktionen und Entwicklung.

http://chaosradio.ccc.de

Chaosradio Express 155 Malware und Botnets

02.07.2010 11:49

Virus.Win32.Virut.ce

2010-06-30T07:41:00.000-07:00

Kaspersky hat eine Analyse veröffentlicht,die sich mit dem polymorphen Computervirus "Virus.Win32.Virut.ce" beschäftigt.Die Version ".ce" gehört mit zu den Populärsten Schädlinge im Internet. Virus.Win32.Virut.ce nistet sich in Ausführbare Dateien ein und benutzt dabei modernste Techniken um eine Erkennung und Identifizierung so schwer wie möglich zu machen.

Die Programmierer des Virus verwenden Anti-Emulation und Anti-Debugging Techniken,was eine Erkennung möglichst schwer macht. Dabei wird eine Delta-Berechnung verwendet, die mit Hilfe einer Serie von rdtsc-Instruktionen und API-Funktionen GetTickCount erhalten wird. Zudem wird der wiederholte Aufruf „Fake” von API-Funktionen eingesetzt.

Top 20 der entdeckten Viren von Januar 2009 bis Mai 2010

Aktuell ist Virut der einzige Schädling, der einmal pro Woche verändert wird.Damit wollen die Entwickler eine Entdeckung ihres Schädlings verhindern. Interessant dabei ist, dass die neusten Version mit Hilfe infizierter HTML-Dateien ausgeführt wird.

Zum Artikel
Virus.Win32.Virut.ce – ein Abriss

30.06.2010 17:06 Uhr

Exploit-Kits voller Lücken

2010-06-22T12:04:00.000-07:00

Cyberkriminelle investieren Stunden manchmal sogar Tage um Sicherheitslücken in bekannter und weit verbreiteter Software zu finden oder bereits bekannte Exploit-Code für ihre Zwecke zu missbrauchen.Weniger Mühe geben sie sich offenbar mit ihrer eigenen Software, die im Untergrund zu hohen Preisen angeboten wird.

Forscher des französischen Sicherheitsunternehmens Tehtri Security haben einige Exploit-Kits wie "Eleonore", "LuckySploit" oder "Yes Exploit" analysiert und darin insgesamt 13 ausnutzbare Schwachstellen entdeckt.Die Schwachstellen reichen von XSS-Lücken bis hin zur SQL-Injection-Angriffen auf die Datenbank.

Ermittlungsbehörden können in die Kommandozentrale eines laufenden Exploit-Kits vordringen und mehr über die Täter erfahren, eventuell sogar Spuren aufnehmen, die zur Ergreifung der Betreiber führen.

22.06.2010 21:19 Uhr

ICQ-Verkauf würde die Verfolgung von Strafverfolgungs Behörden erschweren

2010-06-17T09:41:00.000-07:00

AOL plant den Verkauf von ICQ an das russische Unternehmen Digital Sky Technologies (DST),dieses würde laut Financial Times die Strafverfolgung im Internet erschweren.
Durch den Verkauf und der Verlagerung der ICQ-Server nach Russland würden entzögen sich die Server dem Zugriff der US-Ermittler entziehen.

Noch stehen die ICQ-Server in der israelischen Zentrale, wo US-Ermittler in manchen Fällen Zugriff auf Chat-Skripte Verdächtiger haben sollen.Besondere in Russland ist ICQ ein sehr beliebter Dienst: Von 42 Millionen Nutzern sollen allein 19 Million in Russland zu finden sein.ICQ ist besonders bei Internet-Kriminellen ein bevorzugtes Kommunikationsmittel,nach Angaben eines Ermittlers benutzte "Jeder bekannte Kriminelle (dieser Welt) ICQ".

Die Einwände der US-Ermittler sollen dem Committee on Foreign Investment in the US (CFIUS) vorliegen, das Empfehlungen gegen Verkäufe von US-Firmen an ausländische Unternehmen aussprechen kann.

17.06.2010 18:53 Uhr

Weniger Malware-Server in China

2010-06-16T00:59:00.000-07:00

China neue Richtlinien zur Registrierung chinesischer Domains (.cn) zur Domain-Registrierung zeigen bereits jetzt schon Wirkung. Wen man das vierte Quartals 2009 mit dem ersten Quartal 2010 Vergleicht ist eine Deutlicher Rückgang an Malware-Servern in China zu beobachten.

Bildquelle: PcWelt.de

Yury Namestnikov von Kaspersky Labs untersuchte die Entwicklungen im Malware-Sektor im ersten Quartal dieses Jahres und konnte bobachten wie die Malware-Server von Chinesischen auf russiche Domains wechselten.Chinesischen Domains hatt3en im vierten Quartal 2009 einen Anteil von 32,8 Prozent,wobei der russische Anteil weniger als acht Prozent betrug.

Im ersten Quartal 2010 ist der Anteil chinesischer Domains auf unter 13 Prozent gefallen und der von russischen auf 22,6 Prozent Angestiegen.Auf dem vierten Platz liegen die Niederlande, dicht gefolgt von Spanien und Deutschland.Für das zweite Quartal 2010 erwartet man eine erneute Verschiebung der Verhältnisse und dann wird sich zeigen, ob die neuen russischen Registrierungsbedingungen eine ähnliche Wirkung zeigen wie die chinesischen.

16.06.2010 10:20 Uhr

Pushdo verwendet Weltcup zur Verbreitung von Malware

2010-06-15T00:39:00.000-07:00

M86 Security konnte in den letzten paar Tagen zahlreiche Spam-Kampagnen aus dem Pushdo-Botnet beobachten. Die Kampagnen verfügen über eine HTML-Datei als Anhang und einer Betreffzeilen die die FIFA Fussball-Weltmeisterschaft erwähnt um unvorsichtige Empfänger zu täuschen.

Ein paar der Betreffzeilen:
FIFA World Cup South Africa… bad news
[Recipient Domain] account Information
[Random Email Address] has sent you a birthday ecard.
Reset your Twitter password

Die HTML-Dateianlage enthält folgendes JavaScript:

M86 Security hat verschiedene Varianten dieses Skript entdeckt,aber alles haben die selbe Funktion.

Wenn die Anlage in einem Browser mit aktiviertem JavaScript geöffnet wird, leitet die z.htm unbemerkt auf einen anderen Webserver um.

Diese Seite wartet drei Sekunden und dann leitet der Browser auf eine Canadian Pharmacy Website. Während des Wartens, wird ein versteckter IFrame geladen.M86 Security einige der Verschleierung entfernt, um das Skript in diesem IFrame lesbarer zu machen:

Dieses Skript überprüft jedes Browser-Plugins auf die Wörter "Adobe Acrobat" oder "Adobe PDF".Bei erfolgreichem Fund führt der IFRAME eine bösartige PDF-Datei aus. Desweiteren überprüft das Script ob Java (Sun Microsystems Java, JavaScript) aktiviert ist und versucht über eine Lücke das Opfer mit der game.exe zu Infizieren.

15.06.2010 10:15 Uhr

PandaTV #44, Fußball WM Phishing, Neue Cloud Antivirus Version, Sicherheitslücke in Adobe

2010-06-14T02:30:00.000-07:00

14.06.2010 11:30 Uhr

UnrealIRCD mit Backdoor

2010-06-13T23:26:00.000-07:00

Der früher bei Botnet Herdern beliebte UnrealIRCD ist seit Monaten mit einem Backdoor Infiziert. Betroffen ist die Datei Unreal3.2.8.1.tar.gz, die Datei wurde auf der Projekt-Server durch eine Version mit einem Backdoor ausgetauscht wurde. Die Hintertür erlaubt es Angreifern Kommandos mit den rechten des IRCD Benutzters auf dem Server auszuführen.

Nach einer Mitteilung soll die Datei schon seit November 2009 auf dem Servern ausgetauscht wurde. Nicht betroffen sind die Windows Versionen.Damit sich der Vorfall nicht wiederholt, wollen die Entwickler ihre Releases wieder mit PGP/GPG signieren.

14.06.2010 08:38 Uhr

Bye, Bye Tequila Botnet

2010-06-09T23:37:00.000-07:00

Letzte Woche berichtete Trend Micro über das Tequila Botnet welches Mexikanische User mit einer Email über ein Vermistes Mädchen in die Falle lockte.Trend Micro entdeckte ein Botnet (Mariachi Botnet) welches wohl vom selben Betreiber stammt wie das Tequila Botnet.Mariachi ist nicht so weit Entwickelt wie das Tequila-Botnet,aber kann denn noch dazu genutzt werden um Phishing Angriffe damit durchführen zu können.

An diesem Montag dem 7. Juni gingen das Mariachi und Tequila Botnets offline.Der Mariachi C&C-Server scheint von seinem Hosting Provider Bluehost down genommen worden zu sein.

(Bildquelle Trend Micro Blog)

Kurz danach ging der Tequila C&C auch offline.

Trend Micro konnte seitdem keine neuen Aktivitäten vom Tequila und Mariachi Botnet feststellen können.

10.06.2010 09:00 Uhr

Skimming Hardware schon ab $1500

2010-06-07T10:42:00.000-07:00

Der Underground schläft nicht und verkauft seine Skimming Hardware schon ab $1500 mit SMS funktion so das der Skimmer kein zweites mal zum Geldautomaten zurück müssen.

Nach Angaben des von Brian Krebs steckt hinter dieses Setes keine funktionierende Hardware und Betrüger versuchen damit kleinkriminelle Abzuzocken.Der Preis für echte Skimming-Hardware mit GSM für Geldautomaten von NCR liegt bei $8000.Für die GSM-Funktion wird ein zerlegtes Handys mit größeren Akku verwendet.

07.06.2010 20:05 Uhr

CVE Exploit Kit list

2010-06-05T08:09:00.000-07:00

Ich habe mir mal die Mühe gemacht eine Tabelle mit Exploit Kits und deren Lücken zu basteln,dabei habe ich mich an einer Vorgabe vom McAfee Blog orientiert.

Die Liste ist auch hier an der Seite unter Drive by Downloads verlinkt. >> CVE Exploit Kit list <<

05.06.2010 17:15 Uhr

PandaTV WM Special 2010

2010-06-04T03:12:00.000-07:00

04.06.2010 12:13 Uhr

Tequila Botnet

2010-06-02T07:09:00.000-07:00

Trenmicro hat vor kurzem einen Bericht mit eine neue Phishing-Attacke erhalten, die aus Mexiko stammt. Die Attacke nutzt die umstrittene Nachrichten über ein angeblich fehlendes Vier-jähriges Mädchen, Paulette Gebara Farah, die später tot in ihrem Zimmer aufgefunden wurde. Die Untersuchung ergab, dass dieser Angriff von einem mexikanischen Botnet kam und versucht, Bankdaten und finanzielle Informationen von Nutzern zu stehlen.

Online-Banking ist in Lateinamerika weit verbreitet und die Attacke ist ein weiteres Beispiel wie Cyberkriminelle gezielt versuchen von der Online-Banking-Community Geld und vertrauliche Finanzdaten zu erpressen.

Benutzer die im Anschluss den folgenden Link http://www.knijo.{BLOCKED}0.net/fotografias-al-desnudo-de-la-mama-de-paulette.htm besuchten wurden über eine Dialogbox aufgefordert den Adobe Falsh Player Herunter zu laden und im Anschluss zu Installieren.

(Bildquellen Trend Micro Blog)

Mit einem Klick führt wird die Datei video-de-la-mama-de-paulette.exe Heruntergeladen, Trend Micro erkennt diese als TSPY_MEXBANK.A.

Wärend der Untersuchung gelang es Trend Micro sich zugang zum Command & Control Server zu verschaffen und sich ein Bild von der Funktionsweise des Bots zu machen.

Das Webpanel zeigt alle Dronen mit einer ID-Nummer so wie Funktionen wie Netcat zu starten oder zu Deaktivieren.

Das neu entdeckte Botnetz hat ein ziemlich umfangreiches Feature-Set und verschiedene Module wie Pharming und Adsense die der Herder alle einzeln Konfigurieren kann.Abgesehen davon, kann der Bot dateien via HTTP oder FTP von anderen Servern Herunterladen.

Ein weiteres Future des Tequila Botnet´s ist sich per USB und MSN Messenger über ein weiteres Modul zu verbreiten.

Zur Zeit ist der C&C nicht mehr erreichbar was daran liegen kann das die Betreiber genug Geld gemacht haben oder weitere Module für ihr Spielzeug entwickeln.

02.06.2010 16:48 Uhr

Scareware-Bande Angeklagt

2010-05-30T03:52:00.000-07:00

Die Scareware-Bande die für die Verteilung von Gefälschter Software wie "Malware Alarm", "Antivirus 2008" und "VirusRemover 2008" bekannt ist, wurde nun vom FBI gefasst und Angeklagt. Die 3 Männer haben rund 100 Millionen US Dollar in mehr als 60 Ländern mit ihrer Software illegal einnehmen können. Bereits 2008 wurde der Betrug durch die FTC (Federal Trade Commission) gestoppt als diese vor einem US-Gericht den Herstellern den Verkauf ihrer Software untersagte.

Die 3 Angeklagten verbreiteten ihre Software überwiegend aus der USA und Ukraine von Firmen wie "Byte Hosting Internet Services" und "Innovative Marketing". Scareware hat rund 15 Prozent Anteil am gesamten im Web registrierten Malware-Volumen welches immer wieder durch Botnetze wie Koobface und andere verteilt werden. Heise.de hat einen Artikel verfasst wie man Scareware erkennt und sich dagegen schützen kann. "Scharlatane und Hochstapler".

30.05.2010 13:17 Uhr

Die Evolution von Koobface: Das Web 2.0 Botnet

2010-05-25T11:27:00.000-07:00

Das dass Koobface Botnetz kontinuierlich weiterentwickelt wird um Gewinn für die Täter zu erzielen ist allgemein bekannt. Trend Micro hat sich Bemüht das Verhalten und die neuesten Entwicklungen aus dem Koobface Botnet zu überwachen und dabei auch Veränderungen festgestellt.

(Bildquellen: Web 2.0 Botnet Evolution: Koobface Revisited)

1. Das Benutzten von Proxys zum Schutz des command-and-Control Server´s (Fast-Flux)

2. Verschlüsseln der C&C-Kommunikation zum schutz der Gang-Mitglieder
3. Banning IP-Adressen aus wiederholtem Zugriff von Koobface-kontrollierten Websites
4. Die Einführung neuer binären Komponenten

5. Der Einsatz mehrerer Schichten zum binären Schutz mit komplexen Packern

Diese Änderungen stellen eine größere Herausforderung für die Forscher da als gedacht um die Gang-Mitglieder zu Überwachen und sie dahin zu bringen wo sie hingehören-hinter Gittern.Für weitere Informationen über die jüngsten Entwicklungen vom Koobface Botnetz und die neuesten Erkenntnissen von Trend Micro gibt es eine PDF "Web 2.0 Botnet Evolution: Koobface Revisited"

25.05.2010 21:12 Uhr

PandaTV #43 - Lost und Iron Man2 Köder, Key-Generatoren infiziert, Bestnoten Malwarefront

2010-05-21T03:00:00.000-07:00

21.05.2010 12:00 Uhr

Botnet-Provider vom Netz getrennt

2010-05-20T07:42:00.000-07:00

Ein US-Bundesgericht hat den Provider 3FN/Pricewert den Stecker gezogen, der Online-Kriminelle unterstützte in dem er ihnen Unterschlupf für ihre Botnetze gab.Die US-Handelsaufsicht FTC (Federal Trade Commission) meldet die Schließung eines Web-Providers, den sie schon or einem knappen Jahr schließen ließ.Pricewert LLC, auch bekannt als 3FN, APS Telecom und APX Telecom gewährte Botnet-Herdern die möglichkeit ihre Netzte dort zu Hosten.

Bildquelle: PcWelt.de

Ein Bundesrichter in San Jose Kalifornien hat angeordnet, dass die technische Ausrüstung von 3FN von einem gerichtlich bestellten Treuhänder verkauft werden sollen, des Weiteren soll 3FN mehr als eine Million US-Dollar an FTC zahlen das sie durch illegale Geschäfte erwirtschaften konnten.

3FN hatte nur wenige legitime Kunden und in einschlägigen Undergroundforen für neue Kunden geworben. Dazu soll der Geschäftsleiter und auch Techniker der in der Ukraine Lebt selbst Botnetze gesteuert sowie Spam und andere Malware verbreitet haben, welches aus einem Chat-Protokoll hervorgeht das dem Gericht vorliegt.

20.05.2010 17:09 Uhr

Update 21.05.2010 14:18 Uhr

Bei 3FN sollen mehr als 4500 Botnetze lokalisiert worden sein, für die regelmäßige Aufforderungen zum entfernen von illegalen Inhalten ignoriert oder die entsprechenden Steuerungzentren auf andere Adressen verschoben wurden.

Kampf zweier konkurrierender Hackergruppen mit Kolateralschaden

2010-05-19T08:55:00.000-07:00

Das Carding-Forum Carders.cc viel einem Angriff zum Opfer bei dem es dem es den Angreifern gelang das IP-Logging des Forum zu Aktivieren ohne das die Admins Wind davon bekamen und die Datenbank im Internet Public gemacht wurde.Diese Datenbank, die im Netz zum Download verfügbar ist, hat es in sich. Sie enthält nicht nur sämtliche Postings, Umfragen, Private Messages und ähnliches. Daneben gibt es unter Anderem auch eine Benutzerliste mit PW-Hashes plus der beim Berechnen des Hashes verwendeten Pseudozufallszahl ("Salt"). Aus beiden Informationen ließe sich das Passwort berechnen - gefährlich bei Benutzern, die das selbe Passwort für mehrere Accounts benutzen, was, wie die Vergangenheit gezeigt hat, alles andere als selten ist.

In dem Forum wurde mit Kreditkarten,Bots,Online Gaming Accounts und Waffen gehandelt.Bei den Eindringlingen handelt es sich vermutlich um die gleiche Gruppe, die Ende des letzten Jahres bereits das Untergrund-Forum 1337-crew gehackt und kopierte Daten veröffentlicht hatte worauf es kurze Zeit später zahlreiche Hausdurchsuchungen gab.

Diesmal haben die Hacker Schritte ihres Einbruchs als eine Art Magazin veröffentlicht.Das gesamte System – inklusive /root – hatte die rechte 777 und war somit für jederman lesbar und als Besitzer aller Dateien das Webserver-Konto angelegt.In einer Stellungnahme entschuldigen sich die Betreiber des Forums für die Fehler bei ihren Membern.Man erwarte, dass von den nun folgenden Ermittlungen durch die Behörden aber nur das Team betroffen sei.

19.05.2010 19:21 Uhr

Neue Meldung von der Koobface-Gang

2010-05-19T00:04:00.000-07:00

Der Sicherheits Spezialist Dancho Danchev hatte im Februar mit dem Artikel 10 things you didn't know about the Koobface gang mehrere Vermutungen zur Arbeitsweise der Betreiber des Koobface (Anagramm zu Facebook) Botnetzes gemacht und diese haben darauf mit einer Nachricht im HTML-Quellcode zur Verteilung präparierter Videocodecs reagiert.

Bild Quelle: http://ddanchev.blogspot.com

Nach Angaben von Danchev bestünde eine mögliche Zusammenarbeit zwischen dem Koobface-Botnetz und dem Click-Fraud-Botnetz Bahama.Der Anführer der Koobface-Gang Ali Baba verneinte dies mit "No connection".Ali Baba widerspricht zudem der Vermutung von Danchevs, dass Koobface mit den infizierten Werbebanner auf dem Online-Auftritt der New York Times im September 2009 in Verbindung stand.

Danchev hatte sich zudem darüber geäußert, dass die Gang für die Erstellung eines Screenshots zum Einbetten in eine gefälschte Youtube-Seite eine nicht registrierte Version von Hypersnap benutzte würde,wobei doch Genug Geld vorhanden sei aufgrund der stetigen Geldflüsse.Darauf Antwortete Ali Baba: what´s readon to buy software just for one screenshot?

Die Gruppe gibt allerdings zu, im Rahmen einer Scareware-Kampagne im vergangenen Jahr an der Manipulation mehrerer hunderttausender Sites beteiligt gewesen zu sein.Die Antwort auf die Spekulation von Danchevs, dass die Koobface-Gang Erlöse aus dem Scareware-Netzwerk "Crusade Affiliates" bezieht, fällt überraschend aus: "maybe.not 100% sure."

19.05.2010 09:36 Uhr

"Avalanche" - Bande

2010-05-18T04:38:00.000-07:00

Die 126.000 registrierten Phishing-Angriffe während des zweiten Halbjahres 2009 gehen auf das Konto der "Avalanche"-Bande bei der es sich um einen direkten Nachfolger der "Rock Phish Gang" handelt.

Die Rock Phish Gang benutzte ein Toolkit welches als Erstes Fast-Flux-Netze unterstützte bei denen der Domain-Name konstant bleibt, während die IP-Adressen sich ständig ändern und auf Infizierte Heim-Pcs zeigen.Nach Angaben von APWG nutzten die Pisher genau aus diesem Grund mehrere hunderte Domains und registrieren diese am liebsten bei Registraren die auf hinweise von Ermittlungsbehörden langsam oder garnicht reagieren.

Durch die Zusammenarbeit von Registraren,Banken und Dienstleistern gelang es die Angrieffe der Avalanche-Bande schnell einzudämmen.Aufgrund der immer schneller ergreifenden Gegenmaßnahmen gegen die Bande sind deren Angriffe nun auch versiegt.Mit 924 unterschiedlichen Domainnamen im Oktober letzten Jahres erreichten sie ihren Höhepunkt,während im April 2010 keine Aktivitäten mehr beobachtet wurden.

Die beliebtesten TLDs (Top-Level-Domains) der Gruppe waren:
.eu 33%
.com 23%

Andere Banden bevorzugten im Vergleich:
.com 47%
.net 7%

APWG beobachtet Bobachtete bislang nur sehr wenige Homograph Spoofing Attacks im Zusammenhang mit der Unterstützung des International Domain Name (IDN).Dadurch sehen Zeichen in einer URL richtig aus,sind es aber nicht.So kann ein kyrillisches a und ein lateinisches a von den meisten Zeichensätzen grafisch gleich dargestellt werden, obwohl es sich um unterschiedliche Zeichen handelt.Dieses können sich Phisher bei Adressen zur nutzte machen um eine Falsche Domain als Original auszugeben.

18.05.2010 14:32 Uhr

Twitter Botnet sagt Hallo

2010-05-14T12:10:00.000-07:00

Symantec berichtet in ihrem Blog über ein neues Trojaner Botnet-Creator-Tool namens "TwitterNet Builder."Der Bot nimmt direkt über einen twitter Account seine befehle entgegen.Ein Nachteil ist nur das die befehle nciht verschlüsselt übermittelt werden,was es nciht schwer macht ihn Ausfindig zu machen um den Account zu sperren.

Trojan.Twebot hat eine Reihe der üblichen Befehle wie "Download", um zusätzliche Dateien auf das System zu laden. DDOS" zum Durchführung eines Distributed-Denial-of-Service Angriffs. Allerdings hat er auch einen interessante Befehl. "SAY". Dieser Befehl erlaubt es einem Angreifer mit einem gehackten Computer Text-to-Speech-Funktion zu verwenden.

Wie immer, empfiehlt Symantec, dass Sie Ihre Virendefinitionen auf dem Laufenden halten, um einen Schutz gegen neue Bedrohungen zu gewährleisten.

14.05.2010 21:22 Uhr

Fake-AV imitiert Kaspersky Antivirus

2010-05-11T11:36:00.000-07:00

Scareware imitieren Avira Antivir und Microsoft Security Essentials.
Dmitry Bestuzhev von Kaspersky berichtet im Blog des Antivirusherstellers Kaspersky Lab über einen Web-Server, auf dem gleich eine ganze Sammlung solcher Imitate zu finden ist.Welches Design gerade angeboten wird ist zufallsgesteuert. Der Server beheimatet eine Reihe von Domains, die alle das gleiche Ziel verfolgen - Internet-Nutzern das Geld aus der Tasche zu ziehen.

Die von Antivirusfirmen auch als "Fake-AV" oder "Rogue AV" bezeichneten Programme werden über Suchmaschinenoptimierung vorbereiteter Web-Seiten verbreitet oder auch von anderen Schädlingen mit installiert.

Die Opfer werden mit vorgetäuschten Virenbefunden zum Kauf einer ebenso teuren wie nutzlosen Vollversion reingelegt.Hat man die Scareware gekauft und installiert,bringt der Fake-Av keine Meldungen mehr über ein befallenes System.Dazu läst sich die Software ohne Probleme Deinstallieren.

11.05.2010 20:51 Uhr

Kaspersky Internet Security 2011

2010-05-11T10:16:00.000-07:00

Kaspersky erweitert die neue Version seiner Sicherheitssuite um neue Funktionen wie Rettungs-CD, Geo-Filter, System-Watcher & Sandbox.Überarbeitet wurde auch die Kindersicherung über die Eltern den Zugang zum Computer und bestimmte Programme wie Downloadkapazität, Chatten, Programmstarts und Übertragung persönlicher Daten einschränken können.

Nun soll auch laut Kaspersky die Installations-CD als Rettungs-CD dienen um bei einen befall das System wider zu säubern,da viele nicht erwünschte Programme die Installation eines Antivirus unterdrücken.

Im Juni 2010 soll die neue Version von Kaspersky Antivirus und Internet-Security im Laden stehn.Beide Programme sind XP, Vista und Windows 7 kompatibel. Eine Einzellizenz für den Internet Security soll 39,95 Euro, Anti-Virus soll 29,95 Euro kosten.

11.05.2010 19:30 Uhr

Polizei fasst Phishing-Bande

2010-05-11T10:09:00.000-07:00

Die rumänische Polizei hat eine Phishing-Bande hochgehn lassen, die sich monatelang über das Internet illegal Zugang zu Bankkonten beschafft und diese ausgeräumt haben. Nach landesweiten Hausdurchsuchungen am Montag verhörte die Polizei 28 mutmaßliche Täter.

Die Bande soll sich seit Oktober 2009 durchPhishing-Angriffe sensible Daten wie Benutzernamen und Passwörter für Online-Banking und Kreditkarteninformationen von Kunden der Bank of Amerika beschafft haben. Anschließend nahmen die Verbrecher Banküberweisungen über den Finanzdienstleister Western Union vor und hoben das Geld in Wien, München, Prag sowie in Rumänien ab. Der Schaden beträgt laut DIICOT-Angaben auf 780 000 Euro.

Die meisten Verdächtigen stammen aus dem rumänischen Constanta an der Schwarzmeerküste. Der Bande sollen insgesamt 70 Mitglieder angehören.

Quelle: viruslist.com

PandaTV #42 - Mariposa-Hintermänner, Infizierte Liebesgrüße, US-Finanzministerium gehackt

2010-05-07T22:21:00.000-07:00

08.05.2010 07:23 Uhr

Hacker haben iFrame in die Webseite des US- Finanzministeriums implementiert

2010-05-04T11:37:00.000-07:00

Wie nun bekannt wurde, ist es Hackern gelungen in die Webseite des US-Finanzministeriums einen iFrame zu implementieren.Der Iframe soll eine der hauptsächlichen URLs des Eleonore Exploit Kit´s im Hintergrund laden. Diverse Exploits für unterschiedliche Browser oder andere populäre Anwendungen werden in dem Kit zusammen gefasst. Somit liefert das Kit beste Tools respektive Herangehensweise um eventuelle Sicherheitslücken des betreffenden Browsers in kürzester Zeit auszuspionieren. Besucher der gehackten Webseite (treas.gov, bep.gov oder moneyfactory.gov) werden von dem iFrame unbemerkt durch statistische Server und Exploit Packs umgeleitet.

Bei Herrn Luis Corrons, dem Direktor der PandaLabs, hat das Exploit Kit eine Sicherheitslücke in der Java-Funktion gefunden. Über diese Sicherheitslücke war es möglich das System von Herrn Luis Corrons zu infizieren. Herr Luis Corrons hat den Angriff auf seinem Blog ausführlich dargestellt.

04.05.2010 21:01 Uhr

Config Decrypter für ZeuS 2.0

2010-05-03T08:14:00.000-07:00

ZeuS 2.0 Kit enthält ein paar Tricks um die Analyse seiner Konfigurationsdateien zu erschweren.

Der Trojaner nutzt jetzt mehr Schichten um die Konfigurationsdateien zu entschlüsseln.Die neuen Entschlüsselungs Schritte sind nachfolgend dargestellt:

Um die Konfigurationsdatei besser entschlüsselung zu können gibt es jetzt dieses Tool von ThreatExpert.

Quelle: http://blog.threatexpert.com

03.05.2010 17:37 Uhr

Erkennen von Botnet Command and Control Servern

2010-04-30T23:34:00.000-07:00

Hier habe ich ein Whitepaper gefunden welches zeigt wie man C&C Server an Hand des Netzwerktraffics finden kann. http://www.cs.purdue.edu/homes/bertino/426Fall2009/17_botsniffer_detecting_botnet.pdf

01.05.2010 08:38 Uhr

Storm Worm is back

2010-04-28T05:58:00.000-07:00

Der seit langem tot geglaubte Storm Worm ist zurück und füllt die Email Postfächer vieler User mit Viagra und anderen Spam.Seinen Namen erhielt der Sturm-Wurm, der strenggenommen gar kein Wurm, sondern ein Trojan-Downloader ist, durch infizierte Mails zu Sensationsmeldungen rund um den Orkan Kyrill.Es wurde spekuliert das die Betreiber des Botnetzes die Architektur überarbeiten wollen da viele Vierenspezialisten dem Bot mit Analysen zu sehr auf die Pelle rückten.

Möglicherweisen wurden die Storm Betreiber aber auch von anderen Botnetzbetreibern wie (Srizbi, Mega-D, Rustock, Pushdo und Sinowal) vom Markt verdrängt.Eine Analyse vom HoneyPot Project zeigt das die neue Version Unterschiede zum Original aufweist.So soll die Verbindung zwischen Bot und Server komplett über HTTP laufen und Peer-to-Peer garnicht mehr verwendet wird.

Nach Meinung einiger Forscher könnte der Originalcode weiterverkauft worden sein, was bedeuten würde das die neue Version einen neuen Betreiber haben könnte.

28.04.2010 15:15 Uhr

Zeiten ändern sich…

2010-04-27T11:27:00.000-07:00

Mal etwas lustiges was ich bei Panda gefunden habe ^^

27.04.2010 20:29 uhr

Buffer Overflow im Poison-Ivy RAT

2010-04-27T11:04:00.002-07:00

Andrzej Dereszowski hat in einem präparierten PDF-Dokument die frei verfügbaren "Remote Administration Software" Poison Ivy entdeckt.

Bei der Analysen der Command&Control-Software fand er einen Buffer Overflow, der sich ausnutzen läst, um Code für einen eigenen Backdoor einzuschleusen und zu starten.

Andrzej Dereszowski, Targeted attacks: From being a victim to counter attacking

27.04.2010 20:24 Uhr

SpyEye vs ZeUs

2010-04-26T11:32:00.000-07:00

Symantec hat in einem früheren Blogeintrag über die Kill-Funktion von SpyEye berichtet und demonstriert diese nun in einem Video.Die Analyse hat gezeigt, dass die Kill-Funktion für Zeus bis auf eine wenig begrenzte Anzahl von Zeus Versionen zu funktionieren scheint.

Das folgende Video zeigt, was passiert, wenn ein Computer von Trojan.Zbot kompromittiert und anschließend mit Trojan.Spyeye und der Zeus Kill-Funktion infiziert wird (wenn sie richtig funktioniert).

26.04.2010 20:47 Uhr

PandaTV #41 - Vulkanausbruch, World of Warcraft Phishing, NEU!Panda Cloud Internet Protection

2010-04-23T05:23:00.001-07:00

Firefox im Visier von Zeus

2010-04-22T22:38:00.000-07:00

Zeus ist ein Malware-Baukasten, der in der aktuellen Version für 1000 Euro angeboten wird.Zusatzmodule für erweiterte Funktionen wie VNC (Remote Desktop) kosten bis zu 10.000 Euro.Bislang waren lediglich Benutzer des Internet Explorer leichte Beute für den Datenspion. Doch Trusteer meint, Zeus könne nun auch die Schutzmaßnahmen von Firefox knacken, um Benutzereingaben abfangen und manipulieren zu können.

Der Zeus-Programmierer hat offenbar einen Weg gefunden Anmeldedaten für Online-Dienste auch von Firefox-Nutzern zu stehlen.Trusteer meldet, es habe Zeus-Malware auf jedem 3000sten Rechner in Großbritannien und den USA gefunden.Trusteer ist Sicherheitsdienstleister für Banken und bietet deren Kunden eine speziell gesicherte Version von Firefox an. Ein Plug-in soll Online-Banking durch Bank-spezifische Verschlüsselung sicherer machen als mit der Standardversion von Firefox.

Symantec hat im Jahr 2009 etwa 90.000 verschiedene Zeus-Varianten gefunden. Trusteer meint, die Erkennungsrate von Antivirusprogrammen für Zeus-Malware liege nur bei etwa 23 Prozent.Wer Online-Banking nutzt, sollte besondere Vorsichtsmaßnahmen ergreifen. Das kann zum Beispiel eine nur für diesen Zweck verwendete virtuelle Maschine sein oder eine spezielle Boot-CD, etwa eine Linux-Live-CD, die auch auf einem verseuchten PC sicheres Online-Banking ermöglicht.

23.04.2010 07:50 Uhr

Zbot jetzt mit Datei-Infektions Techniken

2010-04-22T04:11:00.000-07:00

Eine kürzlich entdeckte Variante des Zeus-Bot´s sucht nach ausführbaren Dateien und injiziert die Dateien mit 512 Byte-Code. Dann ändert Zeus den entry point so dass er an der Spitze des injizierten Code ist.

Der eingeschleuste Code ist einfach und führt folgenden Aktionen aus:
Downloads a file from a URL embedded in the code.
Executes the downloaded file.
Executes the original code.

Ein Teil eines injizierten Codes

Obwohl Antivirus-Produkte die Hauptkomponente des Trojaners löschen können bleibt der Code in der infizierte Datei, so dass der Trojaner weitere Updates herunterladen kann um das System erneut zu Infizieren.

Dies ist nicht das erste Mal dass diese Methode benutzt wird,bereit´s Trojan.Downexec verwendete die gleiche Methode um Dateien zu infizieren. Unabhängig davon ist es offensichtlich dass Trojan.Zbot noch nicht fertig entwickelt ist und Nutzer weiterhin auf der Hut sein müssen um sich gegen eine Infektion zu schützen.

22.04.2010 13:43 Uhr

Deutschland das Land der Infizierten Computer

2010-04-21T10:03:00.000-07:00

Symantec hat ihren Jährlichen Internet Security Threat Report veröffentlicht,in dem die Gefahren aufgelistet sind denen Internet-Nutzer ausgesetzt sind.Aus dem Bericht geht hervor, dass in Deutschland die meisten mit Bots verseuchten Rechner der gesamten EMEA-Region stehen.Rund fünf Millionen Deutsche Computer werden von den zehn größten Botnetzen gesteuert.

Etwa zwölf Prozent der Malware-Aktivitäten in Europa entfallen auf Deutschland, weltweit betrachtet sind es fünf Prozent.Im Bereich Botnetze führt Deutschland sogar die gesamte EMEA-Region ((Europa, Mittlerer Osten) an.Weltweit gesehen ist Deutschland aber nur mit 7% der von Botnetzen gesteuerten Computer dabei.Ein Viertel der in Europa angesiedelten Kontroll-Server für Botnetze steht in Deutschland.

Die Anzahl neuer Schädlingsvarianten hat sich 2009 gegenüber 2008 auf über 240 Millionen verdoppelt.Oft handelt es sich um komplexe Malware-Pakete, die Mischformen oder mehrere Schädlinge enthalten, kommen in der Summe weit mehr als 100 Prozent heraus.Wer meint, er habe noch nie mit Malware zu tun gehabt und könne daher auf Antivirus-Software verzichten,stellt eine Gefahr für alle anderen darstellen.

21.04.2010 19:52 Uhr

Another look at Koobface

2010-04-21T00:47:00.000-07:00

Koobface macht mal wider die runde durch Facebook und Tricks mit ausgefeilten Social Engineering Taktien die User aus.

HINWEIS: Der Ton ist nicht vollständig mit den Maßnahmen in dem Video synchronisiert.

Weitere Informationen über die Koobface gibt es hier "What is Koobface?" sowie diese Beschreibungen von früheren Versionen des Wurms aus dem ESET Threat Encyclopedia: Win32/Koobface.NBH und Win32/Koobface.NCF

21.04.2010 09:56 Uhr

The State of the Internet von Akamai

2010-04-20T07:09:00.000-07:00

Akamai hat ihren Report für das 4 Quartal 2009 veröffentlicht in dem sie mal wieder die Lage des Internets deutlich machen.Russland bleib dabei mit 13% auf Platz 1 der Cyberkriminalität.Auf Platz 2 liegen die USA mit 12% und China auf Platz 3 mit 7,5%.

Der häufigsten attackierte Port ist 445

Die PDF steht hier zum Download bereit.

20.04.2010 16:20 Uhr

Y - Das Magazin der Bundeswehr

2010-04-16T07:07:00.001-07:00

Punkt 2 hat mich fast vom Stuhl gehauen :-)

16.04.2010 16:12 Uhr

Gilde der Cyberkriminellen greift World of Warcraft-Spieler an

2010-04-16T03:27:00.000-07:00

In meinem E-Mail Postfach habe ich vor ein paar Tagen eine E-Mail gefunden die auf Spieler des Online Rollenspielt World of Warcraft zielt.

Inhalt der Mail

Hinter dem Link http://www.worldofwarcraft.com verbirgt sich eine weitere Adresse http://www.worldofwarcraft-foget.info. Versucht man mit Opera und Firefox die Seite zu besuchen schlägt gleich der Integrierte Betrugsschutz des Browsers an und verbietet den Zugriff.

Auf dem Blog von Bitdefender gibt es zu einer ähnlichen E-Mail weitere News und Infos.

16.04.2010 13:05 Uhr

DDoS-Angriff auf Optus

2010-04-16T03:11:00.000-07:00

Der Australische ISP Optus wurde gestern Opfer einer DDoS-Attacke aus China.Die Attacke legte gestern mehrere Server lahm so das viele Kunden nicht auf Websites oder ihre E-Mails zugreifen konnten.Mittlerweile ist die Internet-Störung ist behoben erklärte Optus-Tochter Uecomm in einem Internet-Forum (Whirlpool) gegenüber eines Nutzers.Netzwerk- und Upstream-Provider haben den Verkehr gefiltert, um den Datenfluss wiederherzustellen.

Die Störung begann gegen 13:10 Uhr Ortszeit (5.10 Uhr MESZ) und wurde gegen 15:25 Uhr beseitigt laut Optus.Es sei ein "technisches Problem" mit einer internationalen Datenleitung aufgetreten, die Optus mit den USA verbinde. Grund dafür sei ein DDoS-Angriff gewesen.Über die Herkunft wollte Optus keine Angaben machen und hüllt sich im Mantel des Schweigens.

16.04.2010 13:26 Uhr