Aktuelles Archiv 8 (IT-Blog von Thomas Murr)

In eigener Sache: Unser Forum besteht ein Jahr (11.03.2006)

Unser Forum hat heute ersten Geburtstag. Wir bedanken uns bei allen Gastlesern und Mitgliedern (derzeit 71) für Ihre passive bzw. aktive Teilnahme. Es wurden 639 deutsche und 105 englische Beiträge aufgenommen, die von 90472 Besuchern 267.525 mal vom 11.03.2005 bis 11.03.2006 gelesen wurden.

Weltgrößter Filesharing-Server “Razorback2” beschlagnahmt (22.02.2006)

Gestern haben belgische Behörden den weltgrößten eDonkey/eMule-Server “Razorback2” abgeschaltet und beschlagnahmt. Zeitgleich wurde dessen Betreiber von Schweizer Behörden verhaftet. Somit ist auch der letzte wichtige eDonkey-Server in Europa gefallen. Bisweilen hatte “Razorback2” 1,3 Millionen eDonkey/eMule-User beherbergt und einen Index von rd. 170 Millionen Dateien im P2P-Netzwerk (Peer to Peer) bereitgestellt.
Quelle: Pressemitteilung von “Motion Picture Association of America” (MPAA).

Google Desktop-Software 3 (10.02.2006)

Wer seine Privatsphäre schützen will, sollte von der Software “Google Dekstop (3)” die Finger lassen. Wie schon vorherige Versionen kann diese lokale Office-, PDF-, Medien- und Textdaten indizieren, darüber hinaus kann Version 3 aber auch die Google-Indices anderer Rechner durchsuchen, die unter dem gleichen Google-Account laufen. Auch ist es möglich auf die Internet-Verlaufs-Daten des Microsoft Internet Explorers, Firefox, Netscape oder Mozilla-Browser der beteiligten Rechner zuzugreifen. Der Clou: Die Indices werden auf einem Google-Server gespeichert (!), damit die indizierten Daten auch zur Verfügung stehen, wenn die beteiligten Rechner abgeschaltet sind. Dies hat jedoch eine ganz entscheidende rechtliche Auswirkung ! Zur Einsichtnahme der dort gespeicherten privaten Daten bedarf es keinem Durchsuchungsbefehl - wie bei Speicherung auf einer privaten Festplatte stets erforderlich. Im Klartext bedeutet dies, dass z.B. bei Verfügungen von Regierungsbehörden oder Privatklägern viel leichter an sensible Daten heranzukommen ist, ganz zu schweigen von u.U. wirkendem ausländischem Recht. - Vor dem Hintergrund, dass die US-Regierung derzeit versucht Einsichtnahme in Google-Log-Daten zu nehmen (das US-Justizministerium verlangt umfangreiche Daten über Suchanfragen der Nutzer, die über gespeicherte Cookies und IP-Adressen im Nachhinein indentifizierbar sind), ist es gar lächerlich, dass “Google” ein solches Vertrauen von seinen Nutzern in Form der Preisgabe privater Daten erwartet. Zudem bietet die Speicherung der Indices bei “Google” eine überaus geeignete zentrale Anlaufstelle der privaten Daten eines Users für Angreifer aller Art dar, die in den Besitz des Passwortes kommen (wie leicht es ist an unsichere Passwörter zu kommen erfahren Sie hier). So bekommt das Google-Hacking sozusagen ein erweitertes Feature, indem nicht “nur” noch Webserver, sondern auch Privatrechner für Hacker “angeboten” werden...; bestimmt sind auch die Regierungsbehörden schon voller Vorfreude auf die sich neu bietenden Datenbasen....

E-Mail-Wurm “Nyxem” (01.02.2006)

“Nyxem” verbreitet sich seit dem 20.01.2006 rasend schnell per E-Mail-Anlage und ist ein Virus mit echter Schadroutine, die am dritten jeden Monats - also erstmalig am kommenden Freitag den 03.02.2006 - aktiv wird. Er löscht bzw. überschreibt u.a. Office-Dokumente (.doc, .xls u.s.w.) sowie Archivdateien (.zip, .rar). Auch wenn es für den Privatmann sehr schmerzlich wäre, wichtige Dokumente zu verlieren, so wäre es für Firmen schlicht eine Katastrophe! Wenn Sie sich nicht absolut sicher sind, dass Ihr Rechner “clean” ist, sollten Sie Ihr System mittels eines aktualisierten Virenscanners (alle Dateien und Registryeinträge, nicht nur nach Dateierweiterungsliste!) überprüfen oder sicherheitshalber eines der angebotenen Tools zur Entfernung herunterladen (siehe nähere Infos z.B. bei f-secure) und ausführen. - Wie von anderen Würmern her gewohnt, verbreitet sich “Nyxem” über eine eigene SMTP-Engine auf dem infizierten Rechner an E-Mail-Adressen, die er dort findet. Auch versucht er sich auf Netzwerkfreigaben mit schwachen Passwörtern einzunisten, indem er sich unter dem Namen WINZIP_TMP.exe dorthin kopiert. “Nyxem” deaktiviert die bekanntesten Virenscanner, welche noch nicht mit seiner Virendefinitionsdatei geladen sind, und verhindert ein Update derselbigen. Über den Kontakt mit einem Web-Counter zählt der Virus erfolgreiche Infektionen (Stand heute morgen: über 2 Millionen). Der Wurm ist als äusserst gefährlich einzustufen, weshalb wir noch - vor kommendem Freitag - zu obigem Workaround raten.

AntiVir PersonalEdition von H+BEDV: Version 7 (29.01.2006)

Parallel zur Version 6.x ist nun die neue Version 7 aus der Beta-Phase getreten. Die für private Nutzung freie Classic-Edition steht zum Download bei H+BEDV bereit. Der Installer erkennt eine evtl installierte frühere Version und deinstalliert diese zuvor. Nach dem Neustart des Rechners, wird das Installationsmenü für die Version 7 automatisch aufgerufen. Die neue Version wartet mit einem Kontroll-Center (neue Oberfläche) auf, mit diesem ist es u.a. möglich vordefinierte Suchläufe zeitgesteuert zu starten. Des weiteren ist ein inkrementelles Update bzgl. der Aktualisierung der Virendefinitionsdateien (VDF) berücksichtigt: bisher musste immer die gesamte Definitionsdatei (ca. 4 MegaByte) geladen werden, während künftig nur die Änderungen mit wenigen KiloByte aktualisiert werden.

WMF-Lücke gepatcht (06.01.2006)

Microsoft hat in der letzten Nacht das Patch zur WMF-Sicherheitslücke bereitgestellt und kann über die Windows-Update-Seite heruntergeladen und installiert werden. Wir empfehlen Windows-Systeme schnellstmöglich zu aktualisieren, da mittlerweile über 200 unterschiedliche, bösartige WMF-Dateien bekannt sind und täglich steigt ihre Anzahl. Nähere Informationen zum Patch erhalten Sie auf dieser Microsoft-Seite.

WMF-Sicherheitslücke (02.01.2006)

Eine gravierende Sicherheitslücke in Windows ermöglicht es derzeit, über ein manipuliertes Bild im WMF-Format (Windows Meta File), den Computer mit Trojanern oder Spyware zu infizieren. Der Exploit lädt beim Aufruf einer manipulierten Webseite mit dem Internet-Explorer das präparierte Bild und stellt es (je nach Konfiguration) automatisch mit der Windows Bild- und Faxanzeige dar und schleust in diesem Moment Schadcode in das System. Anschliessend lädt er korrupte DLLs aus dem Internet nach und verändert die Startseite des Internet Explorers. Die Verbreitung des schädlichen Exploits geht sehr schnell, Tausende von Webseiten (sog. Warez-Seiten) versuchen so mittlerweile die Rechner der Besucher mit Spyware zu infizieren, auch kursieren bereits E-Mails (gefälschte Google-Grußkarten und Neujahrsgrüße) mit schädlichem Anhang. Die WMF-Exploits sind äußerst gefährlich und sehr infektiös; liegt die WMF-Datei erst mal auf der Festplatte, genügt u.U. schon das Vorschaubild des Windows-Explorers, um die Schadroutine auszulösen. Microsoft hat bisher noch keinen Patch zur Verfügung gestellt. Als Erste-Hilfe-Massnahmen zur Vorbeugung empfehlen wir dringend folgenden Workaround:

• wenn möglich nicht den Internet-Explorer, sondern einen alternativen Browser verwenden (z.B. Firefox) Auch hier ist eine Infektion zwar möglich aber es muss das Öffnen der WMF-Datei explizit bestätigt werden, was man tunlichst unterlassen sollte. Der IE öffnet WMF-Dateien dagegen grundsätzlich automatisch.
• Die Verknüpfung von WMF-Bildern mit jeglichen Bild-Anwendungen sollten gelöscht werden. Dies ist im Windows-Explorer unter “Extras/Ordneroptionen/Dateitypen” zu konfigurieren.  Am besten verknüpft man das WMF-Format mit einem Texteditor (z.B. Notepad). Dann können zwar solche Bilder nicht mehr angesehen werden aber dafür kann eine Schadroutine nicht ausgelöst werden. Keinesfalls sollte das WMF-Format mit der Windows Bild- und Faxanzeige verknüpft sein, bis ein entsprechender Patch vorliegt und installiert wurde
• Update des Antivirenscanners (Virendefinitionsdateien)

Webserver-Wurm “Linux/Lupper” (27.12.2005)

Würmer befallen nicht nur Windows-Systeme, wie Anfang dieses Jahr schon der Wurm “Santy” eindrucksvoll bewiesen hat. Der im November aufgetauchte Wurm “Linux/Lupper” (07.11.2005) und “Linux/Lupper.b”  (09.11.2005) treibt vermehrt sein Unwesen. Er greift vor allem Linux-Server an und nutzt gezielt Lücken in PHP- oder CGI-Scripten aus, indem er bösartige http-requests auf TCP-Port 80 sendet. Ist der Server einmal infiziert, scant er nach dem Zufallsprinzip Class-C-Subnets nach Class-B-IP-Segmenten, um mit den Rechten des Users “nobody” oder “apache” weiter in dahinter liegende Systeme vorzudringen. Dazu öffnet er folgende Ports, um weitere externe Shell Commands oder Remote-Dateien zu empfangen: UDP 7111, 7222, 27015, 25555. Ein Befall ist u.a. über die Präsenz folgender Dateien im Verzeichnis /tmp/ zu entdecken: lupii, listen, update.listen sowie listen.log. Bei Betrieb eines eigenen Webservers oder hosted Homepage, sollten dringend alle evtl. vorhandenen PHP und CGI-Scripte auf Sicherheitslücken hin geprüft werden! Ferner raten wir auch auf Linux-Maschinen (Server wie Workstations) einen Unix-kompatiblen, selbstaktualisierenden Virenscanner mit Wächterfunktionen zu installieren, um auch für die Zukunft gerüstet zu sein. Z.B. “AntiVir-Workstation” für Linux/FreeBSD/Solaris (siehe http://www.free-av.de).

Trojaner Win32/Delf.DH (01.12.2005)

Seit Juni diesen Jahres ist ein Fehler im Internet Explorer von Microsoft bekannt, der es einem Angreifer ermöglicht beliebigen Code auf dem Zielrechner des Anwenders auszuführen. Der IE-User muss lediglich eine manipulierte Website besuchen, die entsprechenden JavaScript-Code enthält. Genau nach dieser Systematik arbeitet nun der erste öffentlich aufgetauchte Schädling hierzu, nämlich der Trojaner Win32/Delf.DH. Betroffen sind alle Windows-Systeme (ausser Windows Server 2003 mit aktivierter Enhanced Security Configuration). Derzeit gibt es auch von Microsoft keinen Patch zur Schliessung der Sicherheitslücke, weshalb man sich nur mit deaktiviertem ActiveScripting wirklich schützen kann. Diese Massnahme ist ohnehin grundsätzlich in der “Internet Zone” des Internet Explorers zu empfehlen (siehe auch grundsätzliches zur Browsersicherheit und Browser-Plugins). Des weiteren sollte der installierte Virenscanner aktualisiert werden (Virendefinitionsdateien).

Sober.Y/.Z (23.11.2005)

Die neue Variante (siehe im Archiv alle Vorgängerversionen) des Sober-Wurms ist seit gestern unterwegs und tarnt sich u.a. als E-Mail vom Bundeskriminalamt, in der behauptet wird, man hätte sich des Raubkopierens schuldig gemacht (siehe Originaltext). In der anhängigen Zip-Datei befindet sich dann der eigentliche Schädling. Diese Anlage sollte keinesfalls geöffnet werden. Der Wurm verbreitet sich wie üblich per eigener SMTP-Engine weiter und kann weiteren Schadcode aus dem Internet über ein Backdoor nachladen.

Vorbeugung: Wie immer sollte der gesunde Menschenverstand beim Surfen und E-Mailen im Vordergrund stehen. Des weiteren ist der installierte Virenscanner auf dem neusten Stand (Virendefinitionsdateien) zu halten.

In eigener Sache: Linux (07.11.2005)

Unsere Seiten zur Linux-Installation parallel zu Windows wurden um ein ausführliches Partitionsbeispiel erweitert. Die Distributoren-Links auf der Seite Linux contra Windows wurden angepasst.

zum Archiv7 (01.10.2005-15.06.2005)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |