| Hoax-Info | Hoax-Liste | Weblog | Extra-Blätter | Sicherheits-Updates | E-Mail Hilfe | Presse |
|---|
| Aktuell |
|---|
💥 25+ Jahre 💥Hoax-Info Service |
☣ Extra-Blatt ☣zu Falschmeldungenüber das Coronavirus |
RSS Feed
Hoax-Info Service | Weblog | Archiv
Hier finden Sie Weblog-Einträge aus dem Juli 2008. Das aktuelle Weblog finden Sie hier.
30.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Olympia voraus: Malware-Verbreitung mit olympischen Themen
Malware-Spammer nutzen die bevor stehende Olympischen Spiele zur Verbreitung von Schädlingen. Vorgebliche Sensationsmeldungen sollen Mail-Empfänger zum Öffnen der Mails und zum Anklicken der enthaltenen Links verleiten.
Virenscanner angreifbar: Sicherheits-Update für AVG
Der Antivirushersteller AVG hat ein Update für seinen gleichnamigen Virenscanner bereit gestellt. Beim Umgang mit bestimmten komprimierten Programmdateien kann das Antivirusprogramm abstürzen. Außerdem sind etliche weitere Fehler beseitigt worden.
29.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Sturm-Wurm: Neuer Köder - FBI vs. Facebook
Die neueste Malware-Kampagne der Sturm-Wurm-Bande greift Medienberichte über Ermittlungen der amerikanischen Bundespolizei FBI beim sozialen Netzwerk Facebook auf. Der Köder soll neue Opfer für das Botnet anlocken.
Sophos-Report: Anstieg von Wirtschaftsspionage mit Malware
Im ersten Halbjahr 2008 ist laut dem Bericht eines Antivirusherstellers die Zahl infizierter Websites weiter gestiegen. Die Wirtschaftsspionage mit eingeschleuster Malware hat demnach ebenfalls stark zugenommen.
28.07.08PermaLink
FBI vs. Facebook
Sturm-Wurm greift Schlagzeilen auf
Die aktuelle Malware-Kampagne der so genannten Sturm-Wurm-Bande greift Medienberichte über FBI-Ermittlungen
beim sozialen Netzwerk Facebook auf. Die Spam-artig verbreiteten E-Mails kommen mit einem Betreff
wie „FBI Facebook Records“, „F.B.I. agents patrol Facebook“,
„F.B.I. wants instant access to Facebook“, „FBI Watching Hezbollah in Facebook“
oder „FBI Watching Possible Terrorists on Facebook“. Sie enthalten wie üblich nur eine
knappe Zeile Text, inklusive eines Links auf eine von vielen IP-Adressen im Sturm-Botnet. Die Zombie-Rechner
des Botnets liefern eine Web-Seite aus, die ein FBI- und ein Facebook-Logo zeigt. Das Bild und ein Text-Link
sind mit einer Datei namens "fbi_facebook.exe" verknüpft. Sie ist etwa 90 KB groß und stellt die
aktuelle Sturm-Malware dar. Wer sie ausführt, reiht seinen Rechner damit in das Sturm-Botnet ein.
Website ansehen (Abb.) |
Erkennung durch Virenscanner: + Details aus-/einklappen
| Antivirus | Malware-Name |
|---|---|
| AntiVir | Worm/Zhelatin.ZM |
| Avast! | -/- |
| AVG | -/- |
| A-Squared | -/- |
| Bitdefender | Trojan.Peed.JPS |
| CA-AV | Win32/Sintun.FK |
| ClamAV | -/- |
| Command | -/- |
| Dr Web | -/- |
| eSafe | File [100] (suspicious) |
| Ewido | -/- |
| F-Prot | -/- |
| F-Secure | Email-Worm.Win32.Zhelatin.afg |
| Fortinet | -/- |
| G Data AVK | Email-Worm.Win32.Zhelatin.afg |
| Ikarus | -/- |
| Antivirus | Malware-Name |
|---|---|
| Kaspersky | Email-Worm.Win32.Zhelatin.afg |
| McAfee | W32/Nuwar@MM |
| Microsoft | Backdoor:Win32/Nuwar.E |
| Nod32 | Win32/Nuwar.DG worm (variant) |
| Norman | -/- |
| Panda | suspicious file |
| QuickHeal | -/- |
| Rising | -/- |
| Sophos | Mal/Dorf-O |
| Spybot S&D | -/- |
| Sunbelt | -/- |
| Symantec | Trojan.Peacomm.D |
| Trend Micro | TROJ_NUWAR.DDJ |
| VBA32 | -/- |
| VirusBuster | -/- |
| WebWasher | Worm.Zhelatin.ZM |
28.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Sicherheitslücken gestopft: Sicherheits-Update für den Real Player
Real Networks hat die neue Version 11.0.3 seines kostenlosen Real Player bereit gestellt. Damit schließt der Hersteller mehrere zum Teil als kritisch eingestufte Sicherheitslücken in dem Abspielprogramm für Musik und Videos.
SSL komplett: Google Mail bekommt mehr Verschlüsselung
Der Mail-Dienst von Google kann bald standardmäßig über eine von Anfang bis Ende SSL-verschlüsselte Verbindung genutzt werden. Damit haben es Benutzer zukünftig einfacher sich vor Datendieben zu schützen.
25.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Cookie-Leck: Sicherheitslücke in Safari
Die Behandlung bestimmter Cookies in Safari ermöglicht die Umgehung von Sicherheitsschranken. Dabei verhält sich Safari zwar RFC-konform, aber eben nicht sicher. Ein korrigierendes Update gibt es noch nicht.
Rettungssystem mit Virenscanner: F-Secure stellt Rescue CD 3.00 bereit
Der finnische Antivirushersteller F-Secure stellt die neue Version 3.00 seiner Boot-CD zur Rettung bei Schädlingsbefall bereit. Das Linux-basierte System kann kostenlos herunter geladen werden.
24.07.08PermaLink
Rechnung oder Lastschrift mit Malware
Paypal Rechnungs-Mails mit Trojanischem Pferd
Heute werden E-Mails Spam-artig verbreitet, die vorgeblich eine Paypal-Lastschrift bestätigen. Die Mails
tragen einen Betreff wie „N 15801008 Rechnung“,
„Lastschrift N 12804352“,
„Rechnung 32531490“ oder ähnlich.
Im Text ist von einer Abbuchung von mehreren tausend Euro die Rede, die Details möge man dem Anhang entnehmen.
Der Anhang besteht aus einem ZIP-Archiv namens "Rechnung_S833.zip" (~20 KB), das eine Datei
"Rechnung________NRDKJH8833423444229.exe" enthält. Dabei handelt es sich um ein Trojanisches Pferd.
Es soll den Rechner zu einem Teil eines Botnets machen und ihn so in eine fremdgesteuerte Spam-Schleuder
verwandeln.
E-Mail ansehen (Abb.) |
Erkennung durch Virenscanner: + Details aus-/einklappen
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Spy.ZBot.iewo |
| Avast! | -/- |
| AVG | -/- |
| A-Squared | -/- |
| Bitdefender | -/- |
| CA-AV | -/- |
| ClamAV | Trojan.Zbot-1712 |
| Command AV | W32/Trojan2.AUFK |
| Dr Web | -/- |
| eSafe | -/- |
| Ewido | -/- |
| F-Prot | -/- |
| F-Secure | Backdoor:W32/Agent.DES |
| Fortinet | -/- |
| G Data AVK | -/- |
| Ikarus | Win32.Outbreak.Invoice |
| Antivirus | Malware-Name |
|---|---|
| Kaspersky | -/- |
| McAfee | -/- (Spy-Agent.bw trojan)* |
| Microsoft | Backdoor:Win32/Koceg.gen!C |
| Nod32 | Win32/AutoRun.TW worm |
| Norman | W32/DLoader.IPLD |
| Panda | -/- |
| QuickHeal | -/- |
| Rising | -/- |
| Sophos | Troj/Spy-AT |
| Spybot S&D | Worldsecurityonline.FakeAlert,Malware,Executable |
| Sunbelt | -/- |
| Symantec | -/- |
| Trend Micro | -/- (WORM_OTORUN.C)* |
| VBA32 | Malware-Cryptor.Win32.General.2 (suspected) |
| VirusBuster | -/- |
| WebWasher | Trojan.Spy.ZBot.iewo |
24.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Apple tut es schon wieder: iTunes 7.7 installiert heimlich Zusatz-Software
Mit der Installation von iTunes 7.7 gelangt als Überraschungspaket ein Programm auf den Windows-Rechner, das zur Steuerung von Apples kostenpflichtigen Online-Dienst "MobileMe" dient und dafür Werbung macht.
Erneute UPS-Mails: Mails vom Paketdienst enthalten Trojanisches Pferd
Auch in dieser Woche werden wieder vorgeblich vom Paketdienst UPS kommende Mails verbreitet, die im Anhang ein Trojanisches Pferd enthalten. Dieses soll neue Zombie-Rechner für ein Botnet rekrutieren.
23.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Multi-Messenger: Mehr Sicherheit für Miranda
Die neue Version 0.7.8 des freien Multiprotokoll-Messenger Miranda bietet nun auch eine eingebaute Unterstützung für verschlüsselte Verbindungen. Außerdem haben die Entwickler einige Fehler korrigiert.
Download-Probleme: Firefox 3 übernimmt IE-Sicherheitseinstellungen
Wer mit dem neuen Firefox 3 Probleme beim Download von Dateien hat, sollte die Sicherheitskonfiguration im Internet Explorer 7 überprüfen. Von dort bezieht der neue Firefox nämlich die betreffenden Einstellungen.
22.07.08
PC-WELT Online - heute ist folgender Artikel von mir erschienen:
Neue Währung: Neue Malware-Kampagne mit dem Sturm-Wurm
Eine neue Spam-Kampagne der so genannten Sturm-Wurm-Bande macht sich bestehende Verschwörungstheorien zu eigen und meldet eine angebliche neue Währung in Nordamerika. Tatsächlich geht es wieder nur um die Verbreitung von Malware.
22.07.08PermaLink
Sturm-Wurm als Währungshüter
Neuer Malware-Spam vom Sturm-Wurm
Die neue Spam-Kampagne der so genannten Sturm-Wurm-Bande berichtet von einer angeblichen neuen Währung in
Nordamerika. Die USA, Kanada und Mexiko sollen gemeinsam den "Amero" (wohl in Anlehnung an den Euro)
einführen. Der Amero spukt als (bestenfalls) hypothetische Währung einer zukünftigen Nordamerikanischen
Union (ähnlich der EU) bereits seit einiger Zeit durch im Internet verbreitete Verschwörungstheorien.
Die Mails tragen einen Betreff wie „Dollar is replacing by new currency“,
„Collapse of the Dollar“,
„One Currency for Canada, U.S and Mexico - The Amero“
„The AMERO currency replacing the Dollar“
oder dergleichen mehr. Sie enthalten einen Link auf eine IP-Adresse im Sturm-Botnet. Auf den
zahlreichen gekaperten Rechnern liefert ein Mini-Web-Server eine Seite aus, die eine Abbildung
der angeblichen neuen Währung zeigt. Wer darauf klickt, startet den Download einer Datei
"amero.exe" (~90 KB). Dabei handelt es sich um die Sturm-Malware, die ein Rootkit
installiert. Die Erkennung durch Antivirusprogramme ist, wie meist am Beginn einer neuen Kampagne,
noch recht dürftig. Die Seite enthält außerdem Javascript-Code, der Sicherheitslücken im Internet
Explorer ausnutzen soll, um den Schädling automatisch einzuschleusen.
Website ansehen (Abb.) |
Erkennung durch Virenscanner: + Details aus-/einklappen
| Antivirus | Malware-Name |
|---|---|
| AntiVir | Worm/Zhelatin.zi |
| Avast! | Win32:Zhelatin-DIO [Wrm] |
| AVG | I-Worm/Nuwar.V |
| A-Squared | -/- |
| Bitdefender | Trojan.Peed.JPS |
| CA-AV | -/- |
| ClamAV | -/- |
| Command | -/- |
| Dr Web | -/- |
| eSafe | File [100] (suspicious) |
| Ewido | -/- |
| F-Prot | -/- |
| F-Secure | Email-Worm.Win32.Zhelatin.aep |
| Fortinet | -/- (W32/Dorf.AEP@mm)* |
| G Data AVK | Email-Worm.Win32.Zhelatin.aep |
| Ikarus | Email-Worm.Win32.Zhelatin.aep |
| Antivirus | Malware-Name |
|---|---|
| Kaspersky | Email-Worm.Win32.Zhelatin.aep |
| McAfee | W32/Nuwar@MM |
| Microsoft | Backdoor:Win32/Nuwar.gen!D |
| Nod32 | Win32/Nuwar.DF worm (variant) |
| Norman | -/- |
| Panda | -/- |
| QuickHeal | Win32.Email-Worm.Zhelatin.aep.3 |
| Rising | -/- |
| Sophos | Mal/Dorf-O |
| Spybot S&D | Smitfraud-C.,Malware,Executable |
| Sunbelt | -/- |
| Symantec | Trojan.Peacomm.D |
| Trend Micro | -/- |
| VBA32 | -/- |
| VirusBuster | -/- |
| WebWasher | Worm.Zhelatin.zi |
18.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Vorgebliche Promi-Videos: Falsche MSN-Mails mit Malware-Link
Spam-artig verbreitete Mails fluten die Mailboxen, die vermeintlich vom Empfänger selbst kommen und ihm ein Video einer unbekleideten Hollywood-Schönheit andienen. Sie geben sich dabei als MSN-Abo aus.
PDF-Exploit: 2012 - Das Ende des Internets?
Antivirusfirmen berichten über manipulierte PDF-Dateien, die ein Trojanisches Pferd installieren. Sie kommen mit Spam-Mails, die über das Ende des Internets im Jahr 2012 orakeln.
17.07.08
PC-WELT Online - heute ist folgender Artikel von mir erschienen:
Sicherheit: Updates für Firefox 3, Seamonkey & Flock
Die Update-Welle rollt weiter bei der Mozilla-Familie. Nachdem am 16. Juli Firefox 2.0.0.16 erschienen ist, steht jetzt mit Firefox 3.0.1 das erste wichtige Sicherheits-Update für die neue Firefox-Generation bereit. Ebenfalls aktualisiert wurden Seamonkey und Flock.
16.07.08PermaLink
Neues Sicherheits-Update für Firefox und Co.
Kritische Lücken in Firefox 2.x und 3.0, Seamonkey, Flock
Die Mozilla-Entwickler haben zwei als kritisch eingestufte Sicherheitslücken im Web-Browser Firefox
geschlossen. Betroffen sind der 2.x-Zweig bis einschließlich der gerade vor zwei Wochen veröffentlichten
Version 2.0.0.15 sowie Version 3.0. Die neue Version 2.0.0.16 ist bereits
allgemein verfügbar. Firefox 3.0.1 ist zwar ebenfalls bereits seit 11. Juli
fertig, wird jedoch noch nicht offiziell angeboten.
Eine der beseitigten Schwachstellen ermöglicht es einem lokalen Script oder Programm Firefox mit mehreren
geöffneten Tabs (Karteireitern) und beliebig vorgegebenen Web-Adressen zu starten, falls der Browser noch
nicht läuft. Die andere betrifft einen unterdimensionierten Zähler für Referenzen auf CSS-Objekte
(Cascading Stylesheets). Ein Angreifer könnte diesen Zähler mit einer speziell präparierten Web-Seite zum
Überlaufen bringen. Dadurch würde Firefox abstürzen und eingeschleuster, potenziell schädlicher Programm-Code
könnte ausgeführt werden. Hierbei handelt es sich um die von ZDI/Tipping Point bereits kurz nach der
Veröffentlichung von Firefox 3.0 gemeldete Schwachstelle (nebenbei bemerkt ein äußerst fragwürdiges Timing...).
Die Websuite Seamonkey bis einschließlich Version 1.1.10 und das E-Mail-Programm
Thunderbird bis 2.0.0.14 sind ebenfalls anfällig, da sie intern Firefox-2-Technik einsetzen.
Seamonkey 1.1.11 ist bereits fertig und allgemein verfügbar, Thunderbird 2.0.0.16 hingegen noch nicht.
Gleichfalls betroffen sind auf Mozilla bzw. Firefox basierende Browser wie Flock (Update bereits
verfügbar), Splashtop, K-Meleon oder auch der interne Browser von Second Life.
→Liste von Sicherheits-Updates |
→Download-Links |
Mozilla Security Center
16.07.08
PC-WELT Online - heute ist folgender Artikel von mir erschienen:
Überleben im Internet: Wie lange bleibt ein PC ohne Updates sauber?
Wie lange bleibt heutzutage ein frisch installierter Windows-PC ohne Sicherheits-Updates, der an das Internet angeschlossen wird, frei von Malware?
15.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Neue UPS-Mails: Wieder falsche Paketdienst-Mails mit Malware
Es sind neue Malware-Mails unterwegs, die vorgeblich vom Paketdienst UPS kommen. Im Anhang dieser Mails ist eine ZIP-Datei, die ein Trojanisches Pferd enthält.
Chiffrier-Lehrer: Neue Version von Cryptool
Die kostenlose Lern-Software Cryptool soll Einsteigern grundlegende Kenntnisse der Kryptographie vermitteln. Die Entwickler haben die neue Version 1.4.21 bereit gestellt, die Verbesserungen bei der Bedienung enthält.
14.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Sicherheits-Update: Neuer VLC Player beseitigt Schwachstelle
Die VideoLAN-Entwickler haben die neue Version 0.86i des VLC Player freigegeben. Sie haben darin eine Sicherheitslücke geschlossen, die das Einschleusen von Code ermöglichen kann.
Malware-Olympiade: Vorsicht bei olympischen Mails
Auch für die Verbreiter von digitalen Schädlingen gilt der olympische Gedanke "Dabei sein ist alles". Sie sollen vor allem mit schädlichem Code präparierte Office-Dokumente an den Start bringen.
Altlasten: Unix-Fehler nach 33 Jahren beseitigt
Ein Unix-Entwickler hat einen Software-Fehler entdeckt und beseitigt, dessen Spuren bis in das Jahr 1975 zurück reichen. Er steckt in OpenBSD, das mit dem Apple-Betriebssystem Mac OS X verwandt ist.
14.07.08PermaLink
UPS-Mails mit Malware
Neue Welle von Malware-Spam mit vorgeblichem UPS-Lieferschein
Heute schwappt eine neue Welle Spam-artig verbreiteter Mails in die Mailboxen, die vorgeblich vom
Paketdienst UPS kommen. Wie schon vor einer Woche tragen sie einen Betreff wie „Ihr UPS Paket
N??????????“ (?: Ziffern)
und die gefälschte Absenderangabe „UPS Packet Service“. Der Text der deutschen Varianten
ist ebenfalls mit dem aus der letzten Woche identisch. Es gibt jedoch auch englische Versionen, deren Betreff
„UPS Paket N??????????“ lautet. Bei den
deutschen Mails heißt der Anhang "UPS_Lieferschein_8102.zip". Dieses ZIP-Archiv enthält eine
Datei namens "UPS_Lieferschein.exe" (8 KB). Bei den englischen Versionen heißt der Anhang hingegen
"ups_invoice.zip" und enthält eine "ups_invoice.exe", die mit der EXE-Datei in den
deutschen Fassungen identisch ist. Es handelt sich dabei um ein Trojanisches Pferd, das weitere Malware aus dem
Internet herunter lädt. Eine Infektion kann dadurch erkannt werden, dass es im Verzeichnis
C:\Windows\system32 eine Datei namens "userini.exe" und eine nur 8192 Bytes große
"userinit.exe" gibt. Letztere ist der Schädling, erstere eine Kopie der Originaldatei
"userinit.exe", die zu Windows gehört. Diese also nicht löschen, nur umbenennen! Die Erkennung
des Schädlings durch Antivirusprogramme weist noch ein paar Lücken auf.
E-Mail ansehen (dt.) (Abb.) |
E-Mail ansehen (engl.) (Abb.) Erkennung durch Virenscanner: + Details aus-/einklappen
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Dldr.Tiny.brm |
| Avast! | Win32:Tiny-UR [Trj] |
| AVG | SHeur.BWIM (Trojan horse) |
| A-Squared | -/- |
| Bitdefender | Trojan.Downloader.Gadja.C |
| CA-AV | Win32/SillyDl.EUC |
| ClamAV | Trojan.Agent-30547 |
| Command | W32/Trojan2.ATAB (destructive program) |
| Dr Web | Trojan.DownLoad.1379 |
| eSafe | -/- |
| Ewido | Downloader.Obitel.a |
| F-Prot | W32/Trojan2.ATAB |
| F-Secure | Trojan-Downloader.Win32.Obitel.a |
| Fortinet | W32/Agent.UP!tr.dldr |
| G Data AVK | Trojan-Downloader.Win32.Obitel.a |
| Ikarus | Trojan-Downloader.Win32.Tiny.brm |
| Antivirus | Malware-Name |
|---|---|
| Kaspersky | Trojan-Downloader.Win32.Obitel.a |
| McAfee | Generic Downloader.ab trojan |
| Microsoft | Trojan:Win32/Agent.EE |
| Nod32 | Win32/TrojanDownloader.Tiny.NDM trojan |
| Norman | -/- |
| Panda | Trj/Agent.JEN |
| QuickHeal | TrojanDownloader.Tiny.brm |
| Rising | -/- |
| Sophos | Troj/Agent-HFU |
| Spybot S&D | -/- |
| Sunbelt | -/- |
| Symantec | Downloader (Trojan Horse)* |
| Trend Micro | TROJ_DLOADR.GG |
| VBA32 | -/- |
| VirusBuster | -/- |
| WebWasher | Trojan.Dldr.Tiny.brm |
11.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Update für ZoneAlarm: ZoneAlarm-Nutzer können wieder ins Internet
Checkpoint hat eine neue Version seiner Firewall-Software ZoneAlarm bereit gestellt, bei der die Verbindungsprobleme nach dem Microsoft Patch Day behoben sein sollen.
Phishing-Blocker: Mehr Sicherheit bei Google Mail
Der Mail-Dienst von Google soll sicherer werden. Zu den neuen Sicherheitsfunktionen gehört eine Sperre für gefälschte Paypal- und eBay-Mails sowie eine Kontrollmöglichkeit für fremde Zugriffe auf das eigene Konto.
Malware ohne Malware: Hintertür durch legitime Programme
Mit Hilfe von per Script steuerbaren Installations- oder Archivprogrammen lässt sich ein Schädling herstellen, der keine für sich genommen schädlichen Komponenten enthält sondern nur legitime Programme.
11.07.08PermaLink
ZoneAlarm-Problem gelöst
Internet-Blockade nach Microsoft Sicherheits-Update
Etliche Nutzer der Firewall-Software ZoneAlarm kommen nach der Installation des wichtigen
Sicherheits-Updates "KB951748" aus dem Security Bulletin MS08-037 (DNS-Client) nicht mehr ins
Internet. Ursache ist ein geändertes Verhalten des DNS-Clients, der nun zufällige IP-Ports zwischen 49152
und 65535 benutzt. ZoneAlarm blockiert diese Ports, wenn die höchsten Sicherheitsstufe eingestellt ist.
Mit einer auf "medium" oder "mittel" eingestellten Schutzstufe klappt der Internet-Zugriff
jedoch. Der ZoneAlarm-Hersteller Checkpoint hat inzwischen die neue Version 7.0.483.0
bereit gestellt (alle Varianten, auch auf Deutsch).
10.07.08
PC-WELT Online - heute ist folgender Artikel von mir erschienen:
Java Update: Kritische Sicherheitslücken in Java
Die Java Laufzeitumgebung JRE enthält eine Reihe von zum Teil kritischen Sicherheitslücken, die böswilligen Applets den Zugriff auf das lokale Dateisystem ermöglichen. Eine neue Version behebt diese Schwachstellen.
09.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Sturm-Wurm: Malware ködert mit US-Einmarsch in den Iran
Die neueste Malware-Kampagne der Sturm-Wurm-Bande berichtet über einen angeblich bevorstehenden dritten Weltkrieg, weil die USA in den Iran einmarschiert seien. Letztlich ist es jedoch wieder nur ein Köder zur Rekrutierung neuer Zombies.
Office-Angriffe: Neue Sicherheitslücke in Word
In Word ist eine bis dahin unbekannte Schwachstelle entdeckt worden, die bereits für gezielte Angriffe ausgenutzt wird. Microsoft hat dazu eine Sicherheitsmitteilung veröffentlicht.
Patch Day: Microsoft-Patch kollidiert mit ZoneAlarm
Nach der Installation der neuesten Sicherheits-Updates von Microsoft bekommen Nutzer der Firewall-Software ZoneAlarm plötzlich keine Verbindung ins Internet mehr.
Malware-Spam: Trojanisches Pferd in vorgeblichem UPS-Lieferschein
Spam-artig verbreitete Mails verkünden den Empfängern, dass ein UPS-Paket angeblich nicht zugestellt werden konnte. Die Mails enthalten einen schädlichen Anhang, der keineswegs das ist, was er zu sein vorgibt.
09.07.08PermaLink
Sturm über Iran
Malware-Spam prognostiziert den 3. Weltkrieg
Die so genannte Sturm-Wurm-Bande hat eine neue Malware-Kampagne gestartet. Spam-artig verbreitete E-Mails
berichten über einen angeblichen Einmarsch der USA in den Iran. Sie kommen mit einem Betreff wie
„The World War III has already begun“, „More than 10000 Iranians were
murdered“, „USA declares war on Iran“, „20000 US soldiers in
Iran“ oder „USA occupeid Iran“ und dergleichen mehr.
Sie enthalten einen Link auf eine neu gestaltete Website, die von gekaperten PCs ("Zombies")
des Sturm-Botnets serviert wird. Sie zeigt ein imitiertes Werbebanner von US-Veteranen, das mit einem Link
auf eine Datei namens "form.exe" (~118 KB) unterlegt ist. Ein zweites Bild zeigt eine vorgebliche
Vorschau auf ein Video, das angeblich die ersten Minuten des US-Einmarschs zeigen soll. Es ist mit einem
Link auf eine Datei namens "iran_occupation.exe" (~118 KB) unterlegt. Auf diese Datei zeigt zudem
ein Link im Text. Es handelt sich in beiden Fällen um die Sturm-Malware. Die Seiten enthalten weiterhin
Javascript-Code, der Sicherheitslücken im Internet Explorer ausnutzen soll, um heimlich die Sturm-Malware
einzuschleusen. Wird der Schädling ausgeführt, legt er eine Datei namens "msserv.exe" im
Windows-Verzeichnis an, die über einen Registry-Eintrag (HKLM/.../Run) automatisch geladen wird, wenn
Windows gestartet wird. Damit wird der PC zu einem Zombie des Sturm-Botnets.
Die Erkennung aktueller Schädlingsvarianten durch Antivirus-Software weist noch große Lücken auf.
E-Mail ansehen (Abb.) |
Website ansehen (Abb.) Erkennung durch Virenscanner: + Details aus-/einklappen
| Antivirus | Malware-Name |
|---|---|
| AntiVir | Worm/Zhelatin.zh |
| Avast! | -/- |
| AVG | I-Worm/Nuwar.U |
| A-Squared | -/- |
| Bitdefender | Dropped:Trojan.Peed.PM |
| CA-AV | Win32/Sintun.FB |
| ClamAV | -/- |
| Command | -/- |
| Dr Web | -/- |
| eSafe | File [100] (suspicious) |
| Ewido | -/- |
| F-Prot | -/- |
| F-Secure | Trojan-Downloader.Win32.Cntr.cg |
| Fortinet | -/- |
| G Data AVK | Trojan-Downloader.Win32.Cntr.cg |
| Ikarus | -/- |
| Antivirus | Malware-Name |
|---|---|
| Kaspersky | Trojan-Downloader.Win32.Cntr.cg |
| McAfee | -/- (W32/Nuwar@MM)* |
| Microsoft | -/- |
| Nod32 | Win32/Nuwar.DD worm (variant) |
| Norman | -/- |
| Panda | -/- |
| QuickHeal | -/- |
| Rising | -/- |
| Sophos | Troj/Tibs-UO |
| Spybot S&D | -/- |
| Sunbelt | -/- |
| Symantec | -/- |
| Trend Micro | -/- (TROJ_NUWAR.AB)* |
| VBA32 | -/- |
| VirusBuster | Worm.DR.Zhelatin.Gen!Pac.9 |
| WebWasher | Worm.Zhelatin.zh |
09.07.08PermaLink
Microsoft Patch Day: Vier Security Bulletins
Abhilfe für neun Sicherheitslücken
Beim monatlichen Patch Day hat Microsoft im Juli vier Security Bulletins veröffentlicht, die alle die
maximale Risikostufe "hoch" tragen. Die darin behandelten Sicherheitslücken stecken im Microsoft
SQL-Server (Erhöhung von Berechtigungen), im Windows Explorer (Ausführung von eingeschleustem Code), im
DNS-Dienst und -Client (Spoofing) sowie in Outlook Web Access (OWA) für Microsoft Exchange (Erhöhung von
Berechtigungen). Betroffen sind vor allem die Server-Versionen von Windows sowie in einigen Fällen Windows
2000, XP und Vista. Außerdem gibt es wie jeden Monat eine neue Version von Microsofts kleiner Wurmkur, dem
"Windows-Tool zum Entfernen bösartiger Software".
→Microsoft Download- und Info-Links | →Liste von Sicherheits-Updates
09.07.08PermaLink
Ihr UPS Paket ...
Vorgeblicher UPS Lieferschein mit Malware
Aus der Schweiz werden Spam-artig verbreitete E-Mails gemeldet, die vorgeblich vom Paketdienst UPS
kommen. Sie tragen einen Betreff wie „Ihr UPS Paket N??????????“
(?: Ziffern) und die Absenderangabe „UPS Packet Service“.
Im Text heißt es, ein Paket habe nicht zugestellt werden können. Man möge den angehängten Lieferschein
ausdrucken und das Paket abholen. Der Anhang der Mails besteht aus einem ZIP-Archiv namens
"UPS_Lieferschein.zip" (48 KB). Dieses enhält eine ausführbare Datei namens "UPS_Lieferschein.exe"
(56 KB). Dabei handelt es sich um ein Trojanisches Pferd. Es legt eine Datei "ntos.exe" im
System32-Verzeichnis von Windows an, die durch einen manipulierten Registry-Eintrag bei jedem Start von
Windows geladen wird. Die Erkennung der Malware durch Antivirus-Programme ist derzeit noch lückenhaft.
E-Mail ansehen (Abb.) |
Erkennung durch Virenscanner: + Details aus-/einklappen
| Antivirus | Malware-Name |
|---|---|
| AntiVir | TR/Spy.ZBot.dbi |
| Avast! | Win32:Zbot-AHQ [Trj] |
| AVG | Downloader.Agent.AICN (Trojan horse) |
| A-Squared | -/- |
| Bitdefender | Trojan.Spy.Zbot.GF |
| CA-AV | Win32/Kollah.LY |
| ClamAV | Trojan.Agent-30509 |
| Command | -/- |
| Dr Web | -/- |
| eSafe | File [100] (suspicious) |
| Ewido | -/- |
| F-Prot | -/- |
| F-Secure | Trojan-Spy.Win32.Zbot.dbi |
| Fortinet | -/- (Agent.HEY!tr)* |
| G Data AVK | Trojan-Spy.Win32.Zbot.dbi |
| Ikarus | Trojan-Spy.Win32.Zbot.dbi |
| Antivirus | Malware-Name |
|---|---|
| Kaspersky | Trojan-Spy.Win32.Zbot.dbi |
| McAfee | -/- (Generic.f trojan)* |
| Microsoft | -/- |
| Nod32 | Win32/Spy.Agent.PZ trojan |
| Norman | -/- |
| Panda | -/- |
| QuickHeal | TrojanSpy.Zbot.dbi |
| Rising | -/- |
| Sophos | Troj/Agent-HEY |
| Spybot S&D | Worldsecurityonline.FakeAlert,,Executable |
| Sunbelt | -/- |
| Symantec | XPAntivirus |
| Trend Micro | -/- (TSPY_ZBOT.NM)* |
| VBA32 | -/- |
| VirusBuster | -/- |
| WebWasher | Trojan.Spy.ZBot.dbi |
08.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
ActiveX-Angriffe: Sicherheitslücke im Microsoft Snapshot Viewer
Angreifer nutzen bereits eine Anfälligkeit in der ActiveX-Komponente des Snapshot Viewers aus, der zu Microsoft Office gehört. Microsoft hat eine Sicherheitsmitteilung herausgegeben, die Tipps zur Abhilfe enthält.
Endlich Vista-tauglich: Neue Version der Sunbelt Personal Firewall
Der Nachfolger der beliebten Kerio Personal Firewall ist jetzt auch für Windows Vista erhältlich. Die neue Version bringt zwar keine neuen Funktionen mit, ist jedoch an vielen Stellen verbessert worden.
07.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Antivirus-Spam: Betrügerische Sicherheits-Software
Spam-Mails werben für kostenlose Antivirus-Programme, die jedoch alles andere sind, nur keine Schutz-Software. Sie zeigen falsche Befunde an, um ihre Opfer zum Kauf einer ebenso nutzlosen Vollversion zu nötigen.
Truecrypt 6.0: Windows komplett verschlüsseln und verstecken
Die neue Version 6.0 der Verschlüsselungs-Software Truecrypt soll auf Mehrkernprozessoren viel schneller sein. Das kostenlose Programm kann eine Systempartition so verschlüsseln, dass deren Existenz kaum nachweisbar ist.
04.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Patch Day Vorschau: Microsoft kündigt vier Security Bulletins an
Am kommenden Dienstag will Microsoft vier Security Bulletins veröffentlichen. Keine der darin zu behandelnden Schwachstellen ist als kritisch eingestuft, aber alle immerhin als hoch.
US-Unabhängigkeitstag: Neue Sturm-Wurm-Kampagne zum 4. Juli
Die Sturm-Wurm-Bande hat ein aktuelles Ereignis aufgegriffen, um es als Köder für neue Opfer zu verwenden. Die neueste Malware-Kampagne nutzt dafür den heutigen Feiertag in den USA.
Chaos-Kongress: Aufruf zum 25. Chaos Communication Congress (25C3)
Der Chaos Computer Club lädt zu seinem 25. Chaos Communication Congress ein und ruft zugleich dazu auf Beiträge einzureichen. Die Veranstaltung findet wie immer kurz vor dem Jahreswechsel statt.
04.07.08PermaLink
Juli-Sturm der Zombies
Sturm-Wurm-Kampagne zum 4. Juli [Update]
Heute ist der amerikanische Unabhängigkeitstag (Independence Day), der wohl wichtigste Feiertag in den
USA. Dazu passend hat die Sturm-Wurm-Bande eine neue Kampagne gestartet, die sich dieses Themas bedient.
Die Spam-Mails tragen einen Betreff wie „Amazing firework 2008American Independence Day“,
„Celebrating Fourth of July“, „Fabulous Independence Day firework“,
„Happy Independence Day!!“, „Wish your friends a happy Independence Day“ und so fort.
Die dazu passende Website auf bereits gekaperten Rechnern zeigt ein Bild eines Feuerwerks, das mit einem
Link zu einem vorgeblichen Video unterlegt ist. Wird es angeklickt, startet der Download einer Datei
namend "fireworks.exe" (~118 KB). Dabei handelt es sich um die Sturm-Malware. Deren Erkennung
durch Virenscanner ist weiterhin lückenhaft.
E-Mail ansehen (Abb.) |
Website ansehen (Abb.) Erkennung durch Virenscanner: + Details aus-/einklappen
| Antivirus | Malware-Name |
|---|---|
| AntiVir | WORM/Zhelatin.Gen |
| Avast! | -/- |
| AVG | I-Worm/Nuwar.U |
| A-Squared | -/- |
| Bitdefender | Trojan.Peed.JLV |
| CA-AV | Win32/Sintun.FB |
| ClamAV | -/- |
| Command | -/- |
| Dr Web | Trojan.Packed.555 |
| eSafe | File [100] (suspicious) |
| Ewido | -/- |
| F-Prot | -/- |
| F-Secure | Trojan-Downloader.Win32.Cntr.ca |
| Fortinet | W32/PackTibs.M |
| G Data AVK | Trojan-Downloader.Win32.Cntr.ca |
| Ikarus | Trojan-Downloader.Win32.Cntr.ca |
| Antivirus | Malware-Name |
|---|---|
| Kaspersky | Trojan-Downloader.Win32.Cntr.ca |
| McAfee | W32/Nuwar@MM |
| Microsoft | Backdoor:Win32/Nuwar.gen!D |
| Nod32 | Win32/Nuwar.DC worm |
| Norman | -/- |
| Panda | -/- |
| QuickHeal | Win32.Trojan-Downloader.Cntr.ca.3 |
| Rising | -/- |
| Sophos | Troj/Dorf-BP |
| Spybot S&D | -/- |
| Sunbelt | -/- |
| Symantec | Trojan.Peacomm.D |
| Trend Micro | -/- |
| VBA32 | -/- |
| VirusBuster | Trojan.Tibs.AMZ |
| WebWasher | Worm.Zhelatin.Gen |
03.07.08PermaLink
Patch Day voraus
Microsoft kündigt vier Security Bulletins an
Am kommenden Dienstag, 8. Juli, ist wieder Patch Day bei Microsoft. Heute hat Microsoft für die nächste Woche vier Security Bulletins angekündigt. Die darin behandelten Sicherheitslücken sind mit der Risikostufe "hoch" versehen, als "kritisch" eingestufte sind nicht dabei. Betroffen sind in einem Fall Microsoft SQL-Datenbankprodukte, in einem anderen der Exchange-Server. Zwei weitere Security Bulletins betreffen nicht genauer bezeichnete Sicherheitslücken in Windows-Versionen von Windows 2000 bis Vista und Server 2008.
Microsoft Security Bulletin Advance Notification für Juli 2008
03.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Instant Messenger: Neue Version von Pidgin
Der Multiprotokoll-Messenger Pidgin ist in der Version 2.4.3 erschienen. Diese behebt eine Fehlermeldung im ICQ-Modul, die die Nutzung der Vorversionen im ICQ-Netz blockiert. Ein kürzlich bekannte gewordene Sicherheitslücke ist hingegen noch nicht gestopft.
Netzwerk-Tool: Sicherheits-Update für Wireshark
Das Netzwerkanalyseprogramm Wireshark ist in einer neuen Version erhältlich. Wireshark 1.0.1 beseitigt fünf Sicherheitslücken sowie diverse andere Fehler und enthält etliche Detailverbesserungen.
Sicherheitslücke: VLC Player stolpert über WAV-Dateien
Eine Schwachstelle beim Umgang mit präparierten WAV-Dateien kann dazu genutzt werden den VLC Player zum Absturz zu bringen. Dadurch könnte es möglich sein schädliche Code einzuschleusen. Ein Update ist noch nicht verfügbar.
02.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Sicherheits-Updates: Firefox und Seamonkey aktualisiert
Firefox ist ab sofort in der Version 2.0.0.15 erhältlich, Seamonkey in Version 1.1.10. In beiden Programmen haben die Mozilla-Entwickler etliche Sicherheitslücken beseitigt. Wer diese Programme nutzt, sollte also umgehend seine Version aktualisieren.
Freiwillige vor: Ergebnisse des McAfee Spam-Experiments
Den ganzen April hindurch haben sich 50 Freiwillige aus zehn Ländern mit Spam bombardieren lassen und ihre Erlebnisse protokolliert. McAfee hat jetzt die Ergebnisse dieses Experiments veröffentlicht.
02.07.08PermaLink
Neue Vertrags-Mails mit Malware
Malware-Spam, Runde 3
Bereits die dritte Welle von Spam-Mails mit vorgeblichen Vertragstexten schwappt derzeit in die Mailboxen. Schon im Mai und Anfang Juni gab es ähnliche E-Mails mit Malware im Anhang. Die Mails tragen einen Betreff wie „Abbuchungserlaubnis“, „Der Vertrag“ und ähnliche mehr. Der Anhang besteht aus einem 50 KB großen RAR-Archiv namens "Kostenauflistung.rar". Es enthält eine 57 KB große Datei mit dem Namen "Kostenauflistung.exe". Dabei handelt es sich um ein Trojanisches Pferd, das ein Rootkit (Tarnkappe für Malware) installiert und persönliche Daten ausspionieren soll. Die Erkennung durch Antivirusprogramme ist zurzeit noch gerng.
E-Mail ansehen (Abb.) |
Erkennung durch Virenscanner: + Details aus-/einklappen
| Antivirus | Malware-Name |
|---|---|
| AntiVir | -/- |
| Avast! | -/- |
| AVG | SHeur.BTYV (Trojan horse) |
| A-Squared | -/- |
| Bitdefender | -/- |
| CA-AV | -/- |
| ClamAV | Trojan.Agent-28851 |
| Command | -/- |
| Dr Web | -/- |
| eSafe | -/- |
| Ewido | -/- |
| F-Prot | -/- |
| F-Secure | Trojan-Spy.Win32.Zbot.cvq |
| Fortinet | -/- |
| G Data AVK | Trojan-Spy.Win32.Zbot.cvq |
| Ikarus | Trojan-Spy.Win32.Zbot.AAs |
| Antivirus | Malware-Name |
|---|---|
| Kaspersky | Trojan-Spy.Win32.Zbot.cvq |
| McAfee | -/- (Generic PWS.o trojan)* |
| Microsoft | PWS:Win32/Zbot.gen!F |
| Nod32 | Win32/TrojanDownloader.Nurech.NCL trojan |
| Norman | -/- |
| Panda | -/- (Trj/Sinowal.VNW)* |
| QuickHeal | -/- |
| Rising | -/- |
| Sophos | Troj/Agent-HEF |
| Spybot S&D | Worldsecurityonline.FakeAlert,,Execut |
| Sunbelt | -/- |
| Symantec | -/- (Infostealer.Banker.C)* |
| Trend Micro | -/- |
| VBA32 | -/- |
| VirusBuster | -/- |
| WebWasher | -/- |
02.07.08PermaLink
Sicherheits-Update für Wireshark
Version 1.0.1 beseitigt fünf Schwachstellen
Das früher unter dem Namen Ethereal bekannte Netzwerkanalyseprogramm Wireshark ist
in der neuen Version 1.0.1 erhältlich. Damit schließen der Entwickler Gerald Combs und sein Team insgesamt fünf
Sicherheitslücken, mit denen Vorversionen durch präparierte Datenpakete zum Absturz gebracht werden
könnten (DoS - Denial of Service). Außerdem haben die Entwickler eine lange Liste von Bug-Fixes eingepflegt
und die Unterstützung für eine Reihe von Protokollen verbessert. Wireshark ist Open Source Software.
02.07.08PermaLink
Adobe Reader 9 verfügbar
Neue Version integriert Flash in PDF
Adobe hat die neue Version 9.0 seines PDF-Readers bereit gestellt. Mit Adobe Reader 9 können Sie neben
PDF-Dateien auch Flash-, Shockwave und andere Medienformate betrachten. Ziel von Adobe ist es offenbar
ein Abspielprogramm für alle gängigen Medienformate zu schaffen. Mit dem bereits erhältlichen Acrobat 9
können PDF-Dateien mit integrierten Flash-Animationen, Videos und Präsentationen erstellt werden.
Außerdem soll Adobe Reader 9 PDF-Dateien deutlich schneller anzeigen als Version 8. Systemvoraussetzungen
sind Windows 2000 SP4 oder neuer bzw. Mac OS X 10.4.11 oder neuer.
02.07.08PermaLink
Sicherheits-Updates für Firefox und Seamonkey
Firefox 2.0.0.15 und Seamonkey 1.1.10 stehen bereit
Die Mozilla-Entwickler haben die neue Version 2.0.0.15 ihres Web-Browsers Firefox bereit gestellt.
Auch die Web-Suite Seamonkey, die auf Firefox basiert, ist in einer neuen Version, 1.1.10, erscheinen.
In Firefox sind insgesamt 12 Sicherheitslücken geschlossenen worden, davon sind vier als kritisch eingestuft.
Bei Seamonkey kommt noch ein bereits in Firefox 2.0.0.14 enthaltenes Update hinzu. In Firefox 3.0 sind die
meisten dieser Sicherheitslücken gar nicht erst enthalten.
→Liste von Sicherheits-Updates |
→Download-Links |
Mozilla Security Center
01.07.08PermaLink
Antivirus blind für Sturm-Malware
Sturm fegt übers Land, unerkannt
Eine neue Welle von Malware-Spam der Sturm-Wurm-Bande schwappt derzeit in die Mailboxen. Die E-Mails
tragen einen Betreff wie „Somebody loves you“, „I Knew I Loved You“
und dergleichen mehr. Sie enthalten einen Link auf eine von mehr als einem Dutzend verschiedener Domains.
Die Website ist immer gleich und wird von Mini-Web-Servern auf gekaperten PCs des Sturm-Botnets serviert.
Sie zeigt ein Werbebanner, das jeden Besucher als Nr. 10.000 begrüßt und einen Gewinn verheißt. Der Klick
auf das Banner startet den Download einer Datei namens "winner.exe". Darunter bietet ein kurzer
Text einen weiteren Link, auf die Datei "mylove.exe". Beide sind stets genau gleich groß (ca. 120 KB),
aber nicht unbedingt identisch. Es handelt sich dabei um die Sturm-Malware, die den PC in das Sturm-Botnet
einreiht. Die Erkennung durch Antivirus-Software war noch heute Mittag gleich null und ist derzeit immer
noch marginal.
E-Mail ansehen (Abb.) |
Website ansehen (Abb.) Erkennung durch Virenscanner: + Details aus-/einklappen
| Antivirus | Malware-Name |
|---|---|
| AntiVir | Worm/Zhelatin.Gen |
| Avast! | -/- |
| AVG | I-Worm/Nuwar.U |
| A-Squared | -/- |
| Bitdefender | Trojan.Peed.JLV |
| CA-AV | -/- |
| ClamAV | -/- |
| Command | -/- |
| Dr Web | Trojan.Packed.555 |
| eSafe | File [100] (suspicious) |
| Ewido | -/- |
| F-Prot | -/- |
| F-Secure | Trojan-Downloader.Win32.Cntr.ca |
| Fortinet | -/- |
| G Data AVK | Trojan-Downloader.Win32.Cntr.ca |
| Ikarus | Email-Worm.Win32.Zhelatin.zy |
| Antivirus | Malware-Name |
|---|---|
| Kaspersky | Trojan-Downloader.Win32.Cntr.ca |
| McAfee | W32/Nuwar@MM |
| Microsoft | Backdoor:Win32/Nuwar.gen!D |
| Nod32 | Win32/Nuwar.DC worm |
| Norman | -/- |
| Panda | -/- |
| QuickHeal | -/- |
| Rising | -/- |
| Sophos | Troj/Dorf-BP |
| Spybot S&D | -/- |
| Sunbelt | -/- |
| Symantec | Trojan.Peacomm.D |
| Trend Micro | -/- |
| VBA32 | -/- |
| VirusBuster | Trojan.Tibs.AMZ |
| WebWasher | Worm.Zhelatin.Gen |
01.07.08
PC-WELT Online - heute sind folgende Artikel von mir erschienen:
Mac Update: Apple schließt 25 Sicherheitslücken in Mac OS X
Apple hat ein neues Sicherheits-Update für Mac OS X sowie die neue Leopard-Version 10.5.4 bereit gestellt. Der Hersteller beseitigt damit auch Schwachstellen in Safari und Webkit.
Malware-Spam: Falsche Microsoft Updates öffnen Hintertür
Vorgeblich von Microsoft stammende Mails enthalten Download-Links, die zu einem Sicherheits-Update führen sollen. Tatsächlich laden sie Malware auf die Rechner der Opfer.
Narrenhände...: Vandalismus auf Myspace
Auf Myspace kämpfen die Nutzer einen scheinbar aussichtslosen Kampf gegen Trolle, Spammer und andere Cyber-Vandalen. Diese fluten Gruppenprofile mit Werbung oder sinnfreien Kommentaren.
Ältere Beiträge finden Sie im Weblog Archiv:
zum Anfang dieser Seite
