Aktuelles Archiv 7 (IT-Blog von Thomas Murr)

ActiveX-Control-Sicherheitslücke im IE (01.10.2005)

Beliebige XMLHTTP-Requests können durch einen Fehler im ActiveX-Conrol im Internet-Explorer eingeschleust werden (siehe weitere Detailinfos hier). Eine manipulierte Website könnte somit Daten aus dem Browser-Cache auslesen oder mittels “man-in-the-middle-attack” in die Kommunikation zwischen Opfer und realem Ziel eingreifen. Einen Patch ist derzeit nicht erhältlich, weshalb wir zur Deaktivierung von ActiveX raten. Ohnehin sind Browser-Plugins mit Vorsicht zu geniessen, sehen Sie dazu unsere Seiten Web-Browser mit Unterthemen Zoneneinstellung des IE, Cookies, Plugins und Browsertest.

Wurm P2Load.A (17.09.2005)

Der Antivirenhersteller “Panda Software” hat diesen Wurm entdeckt. Google-Anfragen werden über eine manipulierte Hosts-Datei, die (nach Infektion auf Windows-Systemen) aus dem Internet nachgeladen wird, auf gut nachgemachte Seiten umgeleitet, die allerdings andere Werbung enthalten. Auch führen fehlerhafte Eingaben (z.B. www.gogle.de) zu gefälschten Websites. Zusätzlich wird eine Startseite mit Werbebannern im Browser eingerichtet. Die Verbreitung erfolgt über P2P-Netzwerke wie Shareaza, Imesh über eine gefakte Datei, die vorgibt ein Spiel zu sein. Genauer: “Knights Of The Old Republic” aus der Star-Wars-Welt. Bei genauerem Hinsehen sollte einem Auffallen, dass die Dateigrösse von 45 KB wohl kaum ein Computer-Spiel enthalten kann. Nähere Infos bei Panda Software.

Parite.A / Parite.B erfährt ein Revival (17.09.2005)

Vorsicht beim Download von Utilities des BIOS und Motherboard-Herstellers “American Megatrends” (kurz AMI). Wenigstens ein Utility (konkret: mbid14.exe zur Identifizierung des eingebauten Motherboards) ist mit einem Virus durchsetzt und infiziert Windows-Systeme beim Start mit dem schon älteren Virus “Parite”. Es handelt sich um eine selbstentpackende Archivdatei mit der üblichen Abfrage, wohin extrahiert werden soll. Nach dem Auspacken funktioniert das Tool zwar beanstandungsfrei aber der Virus beginnt seine Arbeit ebenso und infiziert ausführbare Dateien (.exe und .scr) und öffnet den Port 30167. Man erkennt eine Infektion an folgendem Registry-Eintrag:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF

Nähere Infos zu Parite bei Trend Micro.

Wurm Zotob (18.08.2005)

Wer untenstehende Updates (siehe 11.08.2005) nicht installiert hat, läuft Gefahr sich Wurm Zotob einzufangen (nutzt den Fehler in der Plug&Play Schnittstelle aus*). Obwohl der Wurm bisher nur Windows 2000 mit seinen Backdoor-Funktionen infiziert, kann er sich auch auf Windows 95/98/ME/NT4.0/XP einnisten, um diese Systeme zur Weiterverbreitung zu nutzen, um andere übers Internet erreichbare Rechner zu infizieren. Zahlreiche Unternehmen  sind weltweit bereits betroffen. Laut US-Medien sind z.B. Rechner von CNN, ABC, der Nachrichtenagentur AP, der New York Times u.v.m. infiziert. Auch sind die IT-Systeme von Disney, Kraft Foods und UPS betroffen gewesen. Des weiteren sind bereits Mutationen des Wurms im Netz (Symantec zählt z.B. bereits Variante E). Um sich zu schützen, ist ein Update des Betriebssystems sowie des Antivirenscanners unverzichtbar.

*betroffene Ports: TCP 8594, 8080 und 445 (Direct Hosting/SMB !!!), UDP 69 (TFTP !!!)

Windows: 6 wichtige Updates (11.08.2005)

Am gestrigen Patchday hat Microsoft 6 wichtige Patches zum Download bereitgestellt. U.a. werden kritische Lücken im Internet-Explorer sowie Plug&Play -Code beseitigt. Es ist dringend zu empfehlen das Betriebssystem zu aktualisieren.

Forum für Diabetes-Kids fertiggestellt und in Betaphase (11.08.2005)

http://www.diabsite4kids.org ist ab sofort erreichbar und das Forum funktionsfähig.

Forum für Diabetes Typ I Kinder und Jugendliche (03.08.2005)

Bauser-Enterprises-IT wird in Kürze ein Portal und Forum zu diesem Thema unter der Domain http://www.diabsite4kids.org ins Leben rufen. Diese Website soll gesicherte Informationen bieten sowie als Erfahrungsaustausch für betroffene Kinder, Jugendliche, Eltern, Geschwister, Grosseltern und Freunde...dienen. Die Moderation dieses Forums wird durch speziell ausgebildete Schwestern, Ärzte, Ergotherapeuten erfolgen, so dass kompetente Ratschläge und Tipps gegeben werden können. Fühlen Sie sich mit entsprechender Referenz angesprochen mitzumachen oder etwas Sinnvolles dazu beizutragen, bitten wir um eine Nachricht.

Cyber-Kriminalität nimmt rasant zu (11.07.2005)

Im ersten Halbjahr 2005 ist die Verbreitung von Viren, Würmer und Trojaner dramatisch angestiegen. Nach Angaben des Antivirensoftwareherstellers Sophos wurden in diesem Zeitraum 7944 neue Exemplare und Varianten derartiger elektronischer Schädlinge entdeckt; das sind nahezu 60 Prozent mehr als im Vorjahreshalbjahr. Äquivalent dazu schrumpft der durchschnittliche Zeitraum einer Infektion. Laut Sophos liegt die Wahrscheinlichkeit bei 50 Prozent, sich innerhalb von 12 Minuten mit einem ungepatchten System ohne Virenschutz einen Wurm einzufangen. Beängstigende Zahlen, vor allem die starke Zunahme von Trojaner, die Daten ausspähen oder gar das Fernsteuern des Systems ermöglichen.

Trojaner “Downloader.RY” / Backdoor Nibu.J (06.07.2005)

Der Trojaner “Downloader.RY” erreicht seine Opfer über eine E-Mail, die angeblich von der Telekom (Rechnung über € 610,12) stammt. Wie schon von ähnlichen Mails bekannt, ist die Absenderadresse natürlich gefälscht. Klickt man auf die E-Mail-Anlage “Rechnung.pdf.exe (4KB)” wird der Rechner infiziert und lädt sofort den Backdoor “Nibu.J” aus dem Internet nach. Hernach loggt Nibu.J alle Tastatureingaben und sendet die gesammelten Daten regelmäßig ins Netz. Nicht aktualisierte Antivirensoftware wird von Nibu.J gehindert auf ein Update zuzugreifen, indem die lokale Hosts-Datei manipuliert wird und so die Updateserver für das System nicht mehr erreichbar sind. Ihre Antivirensoftware sollte deshalb immer auf dem neusten Stand sein!

In eigener Sache (30.06.2005)

Die Geschäftsverbindung mit der Fa. “1&1” haben wir aufgelöst und unser Online-Shop steht nicht mehr zur Verfügung. Die aktuelle Geschäftspolitik sowie nicht verhandelbare Differenzen etc... haben zu diesem Schritt geführt. Möchten Sie in diesem Zusammenhang Produkte bestellen, wenden Sie sich bitte direkt an “1&1” und haben Verständnis, dass wir Leistungen (z.B. Installationen, Support) hierzu nicht mehr als kostenlosen Service erbringen, sondern nach Stundenaufwand zu unseren Konditionen abgerechnet werden. Dies setzt natürlich eine gewöhnliche Beauftragung unseres Hauses voraus.

URL-Spoofing-Leck prüfen (24.06.2005)

Das bekannte URL-Spoofing-Leck ist noch immer vorhanden (nicht ab WinXP SP2). Der Browser zeigt in der Statusleiste u.U. eine falsche Seite als Hyperlink an als tatsächlich verknüpft ist. Mit dem nachstehenden Link können Sie Ihren Browser prüfen. Zeigt die Statusleiste beim Link-Kontakt mit der Maus auf diese Seite <..../aktuelles.html> ist Ihr Browser hiervon betroffen, denn der Link führt tatsächlich zu unserem Forum. Zeigt er hingegen auf <..../forum_entry.php?id=472> ist alles in Ordnung. Das Verhalten ist unabhängig von den Browser-Sicherheitseinstellungen und betrifft alle InternetExplorer-Varianten unter Windows vor XP-SP2. Ein Patch für ältere Versionen ist nicht vorhanden; auch sind frühere Mozilla-Browser-Versionen von diesem Problem betroffen. Es ist Vorsicht geboten und wie immer gesunder Menschenverstand gefordert.

.

Browser-URL-Spoofingtest

Google Hacking (23.06.2005)

Was ist das und worum geht es ? Siehe unsere neue Seite Google Hacking.

Webbrowser-Attacks (15.06.2005)

Attacken von präparierten Websites, die über Sicherheitslücken in den verwendeten Webbrowsern Schadcode auf den Rechner einschleusen, nehmen stark zu. Der Anwender gelangt auf solche Seiten über Links in Spam- oder Phishing-Mails. Im Worst Case kann auch eine manuelle Eingabe einer Internet-Adresse im Browser auf eine andere gefährliche Seite führen, wenn der Rechner zuvor bereits mit Viren und Trojanern befallen ist, die Lücken in Web-Proxys oder DNS-Server ausnutzen (sog. Pharming-Attacks), um die Namensauflösung zu manipulieren, oder die gar die lokale Hosts-Datei überschreiben. Auf solche Art und Weise wird auch versucht an die Daten von Onlinebanking-Kunden zu gelangen.

Microsoft Patchday (15.06.2005)

Am heutigen Patchday stehen zehn Updates zur Verfügung, so u.a. für den Internet-Explorer und für das SMB-Protokoll unter Windows. Drei der Sicherheitslücken werden von Microsoft als kritisch eingestuft, weshalb eine Aktualisierung des Systems angeraten ist.

zum Archiv6 (14.06.2005-31.03.2005)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |