zum Bauser-Enterprises IT Online Helpdesk
PHP Scripts: Tellafriend, Formmailer, Counter
Diese Webseite an Freunde, Bekannte...weiterempfehlen

Seite weiterempfehlen

Aktuelles Archiv 9 (IT-Blog von Thomas Murr)

Trojaner in vermeintlichem Windows-Update per eMail (29.05.2006)

Seit Sonntag 28.05.2006 kursiert eine eMail, die vorgibt von “Microsoft Windows Update” zu sein und als Anlage die virulente Datei “ms56.zip” (enthält wiederum die gepackte Datei “ms56.exe”) mitführt. Der enthaltene Trojaner ist als “Trojan Spy.Sinowal-25” bekannt.
Obwohl Microsoft niemals Windows-Usern eMails mit Updates schickt, ist davon auszugehen, dass viele unbedachte oder neugierige Anwender die ausführbare Datei starten. Hat sich der Trojaner erst einmal installiert, sind Passwörter und sonstige persönliche Daten ein offenes Buch für den Angreifer, da dieser u.a. sog. Keystrokes (Tastatureingaben) aufzeichnet und speichert. Auch lädt er weitere Malware (Schadcode) nach, d.h. die Virenlawine beginnt dann zu rollen. Vorbeugung: aktualisierter Virenscanner, wenn möglich mit Live-Überwachung von eMails (POP3). Haben Sie keinen Virenscanner mit eMail-Überwachung, siehe Bauser-Enterprises IT - Security Online Shop oder Sie lassen sich von uns beraten (siehe Kontakt).

Virulente Anlage in vermeintlicher eBay-Rechnung (29.05.2006)

In den letzten Tagen kursierte eine eMail, die vorgab eine Rechnung von eBay zu sein und eine als PDF-Datei getarnte Anlage enthielt, in der in Wirklichkeit jedoch der Trojaner namens “TR/Dldr.Small” bzw. “TROJ_YABE.G” steckte. Da der Trojaner keine eigene Verbreitungsroutine besitzt, wurde er offensichtlich manuell über Spamlisten verschickt, so dass nicht davon auszugehen ist, dass neue eMails eingehen. Trotzdem raten wir zur Vorsicht bei allen nicht erwarteten oder unverlangt zugesandten eMails. Anwender, die die Anlage bereits geöffnet haben, sollten Ihren Rechner gründlich auf Virenbefall hin untersuchen (vollständiger Virenscan).

Kritische Lücke im Antivirus-Programm von Symantec (27.05.2006)

Ein Virenscanner der Schadcode einschleust: Eine Horrorvorstellung, denn genau das sollte ein Virenschild doch verhindern. Nicht so derzeit bei den Produkten “Symantec 10.1” und “Client Security 3.1” der Fa. Symantec.
Entdeckt hat den Bug der nicht unbekannte Sicherheitsdienstleister eEye, welcher in der Vergangenheit schon reichlich Buffer Overflows in Antivirensoftware aufgdeckt und publik gemacht hat.
Vor dem Hintergrund, dass Symantecs AntiVirensoftware auf rd. 200 Millionen Systemen weltweit installiert ist, sollte es genug Anlass zur Sorge geben. Z.B. könnte ein Wurm die klaffende Lücke ausnützen.

Update (29.05.2006): betroffen sind lt. Symantec folgende Produkte:
Symantec Client Security 3.1 Build 3.1.0.394 und 3.1.0.400
Symantec Client Security 3.0 Build 3.0.2.2010 und 3.0.2.2020
Symantec Antivirus Corporate Edition 10.1 Build 10.1.0.394 und 10.1.0.400
Symantec Antivirus Corporate Edition 10.0 Build 10.0.2.2010und 10.0.2.2020
Für die englischen Produktversionen werden bereits Patches bereitgestellt (erstaunlich schnell), die die Lücke schliessen. Deutschsprachige Produktversionen werden wohl oder übel auf das Live-Update warten müssen.

In eigener Sache: B-E ist Vertriebspartner von Avira, Kaspersky und BitDefender  (23.05.2006)

Bauser-Enterprises IT OnlineShop Security SoftwareBauser-Enterprises IT ist ein Partnerkonzept mit den Securitysoftware-Schmieden “Avira” , “BitDefender” und “Kaspersky” eingegangen. Deren Produkte haben wir in unseren Onlineshop zu den Original-Hersteller-Preisen aufgenommen.

In eigener Sache: Umfrage Workshop (22.05.2006)

Um unser Schulungsangebot zu verfeinern, möchten wir alle Leser und Kunden bitten, unser Umfrageformular auszufüllen und bedanken uns hierfür im voraus.

Trojaner: Backdoor.Ginwui (21.05.2006)

Dieser Trojaner ist als hoch kritisch eingestuft. Er verbreitet sich als Word-Dokument (.doc) über eMail und tarnt sich als interne Nachricht, die von Mail- oder Antivirenscannern oft nicht gefiltert werden. Ein Alptraum für jeden Administrator eines privaten PC oder gar Firmennetzwerks, denn selbst restriktive Sicherheits-Massnahmen schützen hier nicht bzw. laufen ins Leere. Öffnet der unbedachte Anwender die Word-Anlage, passiert folgendes:
Es wird ein Backdoor-Port geöffnet über den der Angreifer später die komplette Kontrolle über das System übernehmen kann, dann überschreibt Backdoor.Ginwui das Word-Dokument und provoziert den Absturz der Word-Anwendung. Der PC-Benutzer geht einmal mehr davon aus, dass eben die Anwendung kurz gesponnen hat, denn öffnet er das Dokument erneut, erscheint harmloser Text.
Der nun installierte Trojaner sendet Backdoor-Pings an IP-Adressen in Asien, um seinen Schöpfern bzw. dem Angreifer zu signalisieren, wo er erreichbar ist. Vor Entdeckung schützt sich Backdoor-Ginwui mit ausgefeilten Rootkit-Techniken und ist zudem in der Lage ihm bekannte Antivirensoftware lahm zu legen. Auch sammelt er Informationen über das Betriebssystem und installierte Software sowie Inhalte von Ordnern und Dateien.
Es gibt derzeit keinen Patch für Word und aktuelle Virenscanner sind momentan nur spärlich in der Lage den Trojaner zu erkennen.
Backdoor.Ginwui eignet sich bestens für einen gezielten Angriff auf eine Person oder ein Unternehmen aber auch für Massenangriffe (Verbreitung per eigener SMTP-Engine auf dem infizierten Rechner), um zu schauen, ob beim wahllosen Ziel “was zu holen” ist oder weiteren Schadcode nachzuladen bzw. einzuschleusen. Auch können befallene Rechner zum Angriff auf einen Dritten verwendet werden, um die Identität des Angreifers zu verschleiern. Kann der Angreifer nun aus einem Fundus von Hunderten oder gar Tausenden Rechnern auswählen, ist der potentielle Schaden unschwer vorstellbar.....

Deshalb lautet unser Ratschlag wie schon so oft: Keine Anlagen von Mails mit zweifelhaftem Text öffnen, auch nicht von bekannten Personen (deren PC könnte durch Viren mißbraucht sein und e-mails automatisch verschicken und/oder die Absenderadresse wurde gefälscht, siehe auch SPAM) ! Anlagen aller Art sollten vor dem Versand oder wenigstens vor dem Öffnen telefonisch zwischen Absender und Empfänger abgestimmt werden. Wie im obigen Beispiel erkennbar, reicht ein einziger falscher Mausklick, um die “Virenlawine” ins Rollen zu bringen!.
Kurz gesagt, der gesunde Menschenverstand ist die beste Verteidigung und sollte deshalb stets mit “an Bord sein”.
Diese Massnahmen sind zwar aufwendig aber nicht so bitter wie Datenverluste, Spionageopfer zu sein oder zeitaufwendige Systemreparaturen durchführen zu müssen.

Microsoft-Patchday: 3 wichtige Updates (10.05.2006)

2 der Updates betreffen Windows, die kritische Bugs zum vorinstallierten Flashplayer (in Windows XP, 98 und ME) sowie zum MSDTC-Dienst (betrifft Windows XP, 2000 und Server 2003) beheben. Das dritte Update betrifft Exchange-Server 2000 und 2003. Die Fixes sollten unbedingt eingespielt werden, da es einem Angreifer in allen 3 Fällen möglich ist mit geeigneten Mitteln Schadcode in ungepatchte Systeme zu schleusen und die Kontrolle über betroffene Systeme zu übernehmen.

Wurm Mytob.HJ/HI alias W32.Mytob.PI@mm (22.04.2006)

Wie die Vorgängerversionen verbreitet sich dieser Wurm per eigener SMTP-Engine auf dem infizierten Rechner und nutzt die Adressbücher des befallenen Systems, um sich per eMail als Attachement (Anlage) zu versenden. Auch stoppt er laufende Sicherheitsanwendungen wie Virenscanner (die ihn anhand mangelnder Aktualisierung noch nicht erkennen) und Desktop-Firewalls: Neu daran ist, dass er dies anhand einer Liste von 500 Sicherheitsprogrammen bewerkstelligt, also praktisch alle führenden Hersteller von Sicherheitssoftware im Visier hat. Auch ist Mytob.HJ/HI in der Lage die Hosts-Datei (zur Umgehung eines DNS-Lookup) zu manipulieren, um den Aufruf von Webseiten der Sicherheitssoftware-Hersteller zu verhindern (z.B. symantec.com, sophos.com, mcafee.com...). D.h. weder der Anwender noch die installierte Sicherheitssoftware ist in der Lage, diese Webseiten zu kontaktieren. Als “Krönung” öffnet der Wurm ein IRC-Backdoor über die sich der Rechner fortan fernsteuern läßt. Mehr Infos auf der Seite von SOPHOS.

Virus Win32.Polipos (21.04.2006)

Ein klassischer Windows-Virus wie schon lange nicht mehr da gewesen, weil in den letzten Jahren von den Würmern verdrängt. Die Technik des “Polipos” ist so alt wie genial: Er infiziert ausführbare Dateien mit einem Schadcode, den er in regelmäßigen Abständen selbst ändert, was ein Aufspüren über ein signatur-basiertes Verfahren erschwert oder gar unmöglich macht. Diese ausgefeilte Technik wendet “Polipos” so gut an, dass fast alle Virenscanner Polipos-infizierte Dateien derzeit als “sauber” diagnostizieren (einzige Ausnahme: Dr. Web). Nach einer Infektion bleibt derzeit nur die Daten zu sichern und das System komplett neu zu installieren. Die Verbeitung erfolgt hauptsächlich über Gnutella-basierende P2P-Tauschbörsen.

Microsoft: letzte Updates können Probleme verursachen (17.04.2006)

Die letzten Sicherheitsupdates (MS06-015) vom 12.04. können u.U. auf manchen Computern, auf welchen HP-Software installiert ist (z.B. HP-PhotoSmart, HP-Deskjet-Drucker mit Kartenlesegerät, HP-Scanner, HP-Kameras) üble “Nebenwirkungen” verursachen. Z.B. kann es vorkommen, dass sich der Ordner “Eigene Dateien” nicht mehr öffnen lässt oder das Klicken auf das Pluszeichen im Windows-Explorer zum Öffnen eines Verzeichnisbaumes keine Auswirkung mehr zeigt. Auch ist es möglich, dass die Adresseingabe im Internetexplorer wirkungslos bleibt. Nähere Informationen und Abhilfeverfahren zu diesen evtl. auftretenden Problemen dokumentiert Microsoft auf dieser Seite.

Empfehlungsscript (16.04.2006)

Sie möchten Ihren Homepage-Besuchern die Möglichkeit bieten, Ihre Seite weiter zu empfehlen, nähere Details.

Mozilla Foundation: Schliessung von 7 Sicherheitslücken im “Firefox” (14.04.2006)

5 der 7 korrigierten Sicherheitslecks stufen die Entwickler als kritisch ein. Ferner soll der Firefox durch die Updates (auf Version 1.5.0.2) allgemein stabiler laufen. Auch wurden die bestehenden Lücken im Mozilla Browser sowie dem Mailclient “Thunderbird” gestopft. Anwender dieser Mozilla-Programme sollten schnellstmöglich updaten. Nähere Infos bei mozillaZine.

Microsoft-Patchday: Schliessung von 14 Sicherheitslecks per Update (12.04.2006)

Am heutigen Patchday hat Microsoft fünf wichtige Updates zur Verfügung gestellt, die 14 Sicherheitslücken schliessen. U.a. wird die seit Wochen offene und als sehr kritisch eingestufte createTextRange-Lücke (siehe letzten Beitrag vom 27.03.) im IE beseitigt. Ferner wurden die HTA-Lücke, zwei neue Fehler im Zusammenhang mit dem Parsen von HTML-Tags im IE, ein grosses Sicherheitsloch im Windows-Explorer und OutlookExpress behoben. Anwender von “Windows 2000, XP und Server 2003” sollten das Update schnellstmöglich installieren! Das System ist hernach neu zu starten.

Internet-Explorer: erneutes Sicherheitsleck (27.03.2006)

Die jüngste, bisher ungepatchte, Lücke (“createTextRange()”-Code Execution) im Internet-Explorer von Microsoft scheint doch mehr Schaden als erwartet anzurichten. Es handelt sich hierbei einmal mehr um eine “marode” JavaScript-Funktion im Zusammenhang mit Radiobuttons. So ist es einer manipulierten Webseite durch entsprechenden Funktionsaufruf möglich in das System des Besuchers einzudringen und dort den Speicher mit eigenem Code vollzuschreiben. Die Anzahl der manipulierten Webseiten steigt. Laut Microsoft soll das Problem mit dem kommenden Patchday (12.04.) erledigt sein. Bis dahin sollten IE-User auf die JavaScript und Active Scripting-Funktion verzichten und dieselbigen deaktivieren, da man sich der besuchten Server im Internet nicht sicher sein kann (so kann auch ein Webserver in Unwissenheit des Betreiber infiziert sein).

Phisher haben Geldwäscheprobleme (15.03.2006)

Phishing über betrügerische E-Mails hat offenbar so grossen Erfolg und Hochkonjunktur, dass die Phisher mehr Daten gestohlen haben als sie selbst verarbeiten können (Überweisung von fremden Konten). Deshalb werden jetzt sogar Dritte in die Geldwäsche eingebunden, ohne dass diese unbedingt etwas davon bemerken müssen:

Trick 1: Es werden bei eBay Produkte ersteigert und ein wesentlich höherer Betrag als die Steigerungsendsumme überwiesen, mit der Bitte die “versehentliche” Mehrbezahlung in bar zurückzuzahlen (z.B. per Western Union o.ä. Weise) .
Trick2: Spam-Mails, die einen lässigen Nebenjob mit hohem Einkommen versprechen. Dabei geht es dann letztendlich nur um das Weiterreichen von Geldbeträgen gegen eine bestimmte Provision. Die “Arbeitgeber” verstehen es, diesen Job als glaubwürdig darzustellen, indem komplette seriöse Arbeitsverträge mit Urlaubsregelungen u.s.w. getroffen und für die Geldtransfers plausible Gründe aller Art erfunden werden
Trick3: “Versehentliche” Zahlungen auf Konten, welche über Rechnungsvordrucke von meist Kleinfirmen ausgekundschaftet wurden. Auch hier wird man gebeten, den Betrag doch bitte zurückzuzahlen (wie Trick1).

Die Phisher sind sehr erfindungsreich und sicherlich gibt es noch weitere Tricks. Der unbedarfte, leichtgläubige Helfer bekommt jedoch sehr schnell Ärger. Denn auch die Banken schauen nicht mehr einfach nur noch zu und zahlen auf Kulanz aus Angst vor riskanten Gerichtsverfahren mit ihren gelderleichterten Kunden, sondern reagieren mittlerweile sehr rasch auf Beschwerden Phishing-Geschädigter. D.h. der Besuch der ermittelnden Beamten lässt dann nicht lange auf sich warten (Unwissenheit schützt vor Strafe nicht), während der eigentliche Phisher oder Geldwäscher bereits über alle Berge ist.

Im Zusammenhang mit "Trick 2" tragen die derzeit auftretenden E-Mails folgende Betreffszeilen:

  • Transaction Manager position
  • Regional Manager
  • Sind Sie fertig Ihr Einkommen zu erhöhen?
  • Mitarbeiter gesucht! TheTraidingBay 2006
  • hi

zum Archiv8 (11.03.2006-07.11.2005)

 zum Empehlungs-Formular Diese Seite weiterempfehlen   zum Gästebuch ins Gästebuch eintragen

 
© Copyright Bauser-Enterprises-IT: Secured with Digital Watermarking and Patent Protection 

zum Seitenanfang  

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |