zum Bauser-Enterprises IT Online Helpdesk
PHP Scripts: Tellafriend, Formmailer, Counter
Diese Webseite an Freunde, Bekannte...weiterempfehlen

Seite weiterempfehlen

Aktuelles Archiv 2 (IT-Blog von Thomas Murr)

Wurm: W32.Beagle.AB@mm oder W32/Bagle.af@mm (16.07.2004)

Ist ein Internetwurm, der sich per eigener SMTP-Engine von und auf auf Windowssysteme (alle Windows Betriebssysteme sind betroffen) über Massenmails verbreitet. Er installiert ein Backdoor (TCP-Port 1080) über welchen der Angreifer die volle Kontrolle über das System erlangt und der infizierte Computer quasi als offenes Mail-Relay wirkt. Auch durchsucht er den Computer auf bekannte laufende Sicherheitssystemprozesse (Virenscanner und Firewalls) und beendet diese, so dass kein Schutz mehr besteht.

Bei Infektion ist folgender Registryeintrag zu finden:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Run: “key” = “%system%\sysxp.exe”

Zur Entfernung muss (nur bei WindowsME/XP) die Systemwiederherstellung deaktiviert sowie der Rechner (alle Systeme) im abgesicherten Modus gestartet werden. Nun die Festplatte(n) und Bootsektoren mit den aktuellen Virendefinitionen prüfen und alle infizierten Dateien (z.B. %system%\sysxp.exe[open][open][open]) und Einträge in der Registry löschen. Anschließend den Computer im Normalmodus booten sowie bei Windows ME/XP die Systemwiederherstellung aktivieren. Eine Entfernung im laufenden System ist nicht möglich.

Vorbeugung: Öffnen Sie grundsätzlich keine Anlagen von Mails, welche ausführenden Charakter (wie z.B. .exe) haben, auch wenn Sie so auf das eine oder andere Witzige von Freunden oder Kollegen verzichten müssen. Auch können Sie sich nicht auf eine bekannte Absenderadresse verlassen, da diese (wie mittlerweile bei fast allen kursierenden Mail-Würmern) gefälscht sind. Am besten ist es, den Mail-Client so einzustellen, daß er Anlagen (mit bestimmten Endungen) erst gar nicht vom Mailserver herunter lädt und/oder man lässt seine E-Mails bereits vom (E-Mail)Provider (vor Zustellung) auf Viren überprüfen.

In eigener Sache (14.07.2004)

Unsere Homepage wurde um die Rubrik “Tipps” erweitert. Weitere Anregungen nehmen wir gerne entgegen; schreiben Sie uns an: webmaster@bauser-enterprises.com

In eigener Sache: Angriffe auf unseren Webspace (13.07.2004)

Erneut wurde versucht unseren Webserver zu hacken. Dem (Den) Angreifer(n) sei gesagt, daß wir KEINEN Windows-Server, sondern einen Apacheserver unter Unix in einem Hochleistungs-Sicherheits-Rechenzentrum betreiben, weshalb die bisherigen Angriffe auf MS IIS und Untersuchung bzw. Einschleusversuche von “Nimda & Co.” u.a. sinnlos waren ! Wir bleiben wachsam und haben ein spezielles Auge auf jegliche weitergehenden Aktionen und behalten uns vor - mittels der ausgewerteten Logfiles inkl. Trace-Routes - Anzeige zu erstatten ! Des weiteren werden wir auch Ihren Provider über Ihre Machenschaften informieren !

To hacker´s notice: We do NOT operate with a Windows-Server but with an Apache/Unix-OS (which is high performance- and securitylocated), wherefore your MS IIS-attacks and tryings to infiltrate our server with “Nimda and Co. were senseless. We will be on the qui vive of more or further actions and reserve to ourself the right to make a report to the authorities - by using the analyzed logfiles and trace-routes ! In addition we will inform your provider of the things you are doing.

Sicherheitslücke in Adobe Acrobat Reader Version 6.0.1 (13.07.2004)

Ein manipuliertes pdf.Dokument kann durch dieses Sicherheitsloch Code in das Windows-Betriebssystem einschleusen und mit Rechten des angemeldeten Benutzers ausführen. Öffnen Sie keine PDF-Dokumente mehr von unbekannten Websites oder E-Mail-Absendern, solange Sie Ihren Acrobat-Reader nicht auf Version 6.0.2 aktualisiert haben. Adobe stellt ein entsprechendes Update für die Version 6(.0.1) zur Verfügung (im Menü über “Hilfe/Updates...”). Frühere Versionen (4 und 5) müssen durch den neuen Reader 6 ersetzt werden (anschließend auf Version 6.0.2 updaten !).

Internet-Explorer-Erweiterungen und  Online-Banking (02.07.2004)

Eine weitere Schwachstelle: Durch einen Trojaner im Browser Helper Object (BHO) ist es möglich, dass Online-Banking-Daten ausspioniert werden. Aktuell sind 49 Banken betroffen (Veröffentlichung ISC), darunter “deutsche-bank.de”, “citibank.de”, “sparkasse-banking.de”, “banking.lbbw.de”, “dit-online.de”, “dab-bank.com”.

Vorbeugung: Sind Sie mit Browser-Erweiterungen aller Art vorsichtig und verwenden Sie lieber spezialisierte Clientprogramme. Selten sind All-in-One-Produkte sehr gut. Z.B. ist eine Waschmaschine und ein Trockner dem Kombigerät aus beidem vorzuziehen. Im Falle des Home-Banking heißt das, auf das Browser-Interface verzichten und z.B. Software wie “Starmoney” oder “Quicken” benützen, welche ohnehin wesentlich komfortabler in der Bedienung und auf das Produkt Banking ausgerichtet sind.

Sicherheitsloch im Internet-Explorer 6 von Microsoft (30.06.2004)

Erneut (wie früher beim IE 3 und 4 möglich) kann eine Website auf Frames in geöffneten Browserfenster zugreifen und Code einschleusen (z.B. Trojaner) oder Inhalte auslesen. Dies wird durch sog. Cross-Frame- bzw. Cross-Site-Scripting erreicht. Es gibt derzeit kein Patch oder Workaround, um das Sicherheitsloch zu stopfen, d.h. ein selbst komplett gepatchter IE unter Windows XP ist verwund- und angreifbar ! Wir empfehlen deshalb dringend einen alternativen Browser wie z.B. Mozilla zu verwenden !

Browser-Hijacking (22.06.2004)

Ist nicht neu (und betrifft nur den Internet-Explorer von Microsoft) aber dennoch häufen sich sog. Browser-Hijacks in letzter Zeit. Es wird die gewählte Startseite nicht mehr, sondern eine gänzlich andere Seite im Internet, angezeigt. Jegliche Änderungen zur Wahl der  Startseite werden ignoriert. Dies geschieht mittels eines trojanischen Pferdes, welches den Internetbesucher einfach umleitet. Vorbeugen gegen Befall kann man so:

  • Deaktivierung von Java (Virtual Machine), Active Scripting und Active X im IE (Zone “Internet”), sehen Sie hierzu auch unseren Beitrag “Browsersicherheit”.
  • Sofern Sie Outlook (Express) verwenden: E-Mail-Format “Nur-Text (kein HTML), Sicherheitszone “Eingeschränkte Sites” auswählen.
  • Update des Betriebssystems

In eigener Sache: Textklau (12.06.2004)

Leider haben wir feststellen müssen, daß Texte von unserer Website (Rubrik Sicherheit Wireless LAN) kopiert wurden und an anderer Stelle im genauen Wortlaut oder ganz erstaunlich ähnlichen Formulierungen auftauchen. Wir verweisen hier auf unser Copyright und bestehen wenigstens auf Quellenangaben ! Das einfachste wäre aber doch, einfach unsere Seite wie folgt zu verlinken:

<a href=”http://www.bauser-enterprises.com”>www.bauser-enterprises.com - Tipps zur IT-Sicherheit</a>

Wurm Korgo/.A-.F (03.06.2004)

Nutzt die LSASS-Sicherheitslücke (Microsoft-Patch KB835732 ) zu den Betriebssystemen Windows 2000 und Windows XP. W32.Korgo.F (letzte Variante) dringt über den TCP-Port 445 ein und öffnet anschließend Port 113, 3067 sowie weitere willkürlichen Ports und versucht sich über Port 6667 mit IRC-Servern zu verbinden, um weitere Intruktionen/Befehle zu erhalten.

Es handelt sich hierbei um folgende IRC-Server:

gaspode.zanet.org.za / lia.zanet.net / irc.tsk.ru / london.uk.eu.undernet.org / washington.dc.us.undernet.org  / los-angeles.ca.us.undernet.org / brussels.be.eu.undernet.org / caen.fr.eu.undernet.org / landers.be.eu.undernet.org / graz.at.eu.undernet.org / moscow-advocat.ru / gaz-prom.ru

Abhilfe:

  • Oben verlinkten Patch von Microsoft einspielen
  • Antivirensoftware (Virensignaturen laden)  updaten, Scan der Festplatte(n) durchführen und Virus löschen. S.a. Wurmbeschreibung von Trendmicro.

zum Archiv1 (14.08.2003-01.05.2004)

 zum Empehlungs-Formular Diese Seite weiterempfehlen   zum Gästebuch ins Gästebuch eintragen

 
© Copyright Bauser-Enterprises-IT: Secured with Digital Watermarking and Patent Protection 

zum Seitenanfang  

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |