30.05.2005 | Tipps
In dieser Woche haben Mytob.DN, Gorgs.A und PGPCoder.A vermehrt für Aufmerksamkeit gesorgt.
Mytob.DN
Dieser Wurm mit Backdoor Charakteristiken verbindet sich mit einem Server und wartet auf Anweisungen eines Remote Users. Zusätzlich lädt er weitere Malware, Faribot.A auf den infizierten Rechner herunter. Er verändert die Hosts Datei um den Zugriff auf Webseiten von Antivirenherstellern zu vermeiden.
Der Wurm verbreitet sich via LSASS Verwundbarkeit, die er über Angriffe auf zufällige IP Adressen auszunutzen versucht. Außerdem versucht er noch sich über gesammelte eMail Adressen via englischer eMail weiter auszubreiten und nutzt durch Faribot.A den MSN Messenger aus.
“ target=“_blank“>PGPCoder.A
Diese Malware hat einen neuen Trend „Ransom-Ware“ eingeleitet. Hierbei soll Geld durch Erpressung ergaunert werden. Der Trojaner verschlüsselt alle Dokumente mit DOC (Word), JPG (Bilder), XLS (Excel), HTML (Webseiten) Endung oder ZIP und RAR Formate. Die Erpressung setzt sich durch eine Text Datei mit Anweisungen für das Opfer in jedem Verzeichnis fort. Der User bekommt eine E-Mail-Adresse über die er dann sein Anliegen vortragen kann. Nach einer Zahlung von 200$ erhält man dann ein Decodierungsprogramm.
Der Inhalt der Textnachricht lautet im Einzelnen wie folgt:
{list|Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032}
Wichtig ist jetzt, seine Antivirenlösung auf den neusten Stand zu bringen. Panda Software hat die nötigen Updates bereits seinen Kunden zugängig gemacht.
18.05.2005 | Tipps
Kaspersky Lab, ein international führender Experte im Bereich IT-Sicherheit, informiert über eine neue gefährliche Modifikation des Email-Worm.Win32.Sober – Email-Worm.Win32.Sober.q.
Der Wurm wird von Maschinen herunter geladen, die bereits mit Sober.p infiziert sind. Der Wurm ist nicht in der Lage, sich selbst zu replizieren, vielmehr versendet er Spam mit rechtradikalem Inhalt an die E-Mail-Adressen, die er auf der infizierten Maschine vorfindet.
Ist Sober.q gestartet und aktiviert, kopiert er sich in das Windows Systemverzeichnis und registriert sich im Schlüssel für den Autostart des Systemregisters und im Schlüssel für den Start auszuführender Dateien. So übernimmt der Wurm bei jedem Start einer beliebigen auszuführenden Datei im infizierten System die Steuerung. Weiterhin erstellt er im Windows Systemverzeichnis einige Hilfsdateien mit diversen Namen. Anschließend scannt Sober.q das Datei-System des infizierten Computers und trägt in spezielle Dateien alle aufgefundenen E-Mail-Adressen ein, ausgenommen der Adressen führender Antivirus-Unternehmen und anderer Programmhersteller.
Das Schadprogramm führt eine Reihe von Aktivitäten durch, die auf die Standard-Aktivitäten der Wurmfamilie Sober nicht passen. Der Wurm erstellt eine Datei mit der Bezeichnung %system%\Spammer.ReadMe und dem folgenden Text in deutscher Sprache: „Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden 🙂 In diesem Sinne“. Dann verschickt das Schadprogramm an alle aufgefundenen Adressen, die zu den Domänen de, ch, at, li und gmx gehören, Briefe mit Texten rechtsradikalen Inhalts in deutscher Sprache, an alle übrigen Adressen versendet er englischsprachige E-Mails. Im Wurmkörper befindet sich ein Dutzend verschiedener Text-Versionen für den Versand dieser Art Texte.
Und schließlich, analog der Vorversionen, überprüft Sober.q regelmäßig die Systemzeit, indem er sich an einige NTP-Server wendet. Sollte das Datum dem 11. Mai 2005 oder einem späteren Datum entsprechen, so versucht das Schadprogramm, beliebige Dateien aus dem Internet zu laden. Sober.q sucht ferner im Systemspeicher nach Programmen, die in ihrer Bezeichnung die Zeilen microsoftanti, gcas, gcip, giantanti, inetupd, nod32kui, nod32, fxsob, s-t-i-n-g, hijack und sober enthalten und beendet diese.
Schutz-Prozeduren vor „Email-Worm.Win32.Sober.q“ sind bereits in der Datenbank von Kaspersky® Anti-Virus ergänzt.
Umfangreichere Informationen finden sie in unserer Virus-Enzyklopädie unter https://www.viruslist.com/de/viruses/encyclopedia?virusid=80864.
13.05.2005 | Tipps
Die meisten Viren und Würmer werkeln im Verborgenen. Sie haben gar kein Interesse daran, entdeckt zu werden – das würde nur ihre Verbreitung hemmen. Einige Viren und Würmer geben sich aber zu Erkennen. Der Antiviren-Spezialist Sophos hat eine Galerie solcher Viren und Würmer bereitgestellt.
https://www.sophos.de/pressoffice/imggallery/virusimg/
29.04.2005 | Tipps
Das trojanische Pferd aus der griechischen Mythologie kennen wohl die meisten: Griechische Krieger haben sich in einem Pferd aus Holz versteckt, das als angebliches Geschenk der Griechen an die Trojaner in die Stadt Troja geschoben wurde. Hinter das schützende Mauerwerk. Von dort konnten die Krieger dann einen Überraschungsangriff auf Troja starten. Eine arglistige Täuschung, die in dieser Form auch heute noch angewendet wird – und zwar in der Computerwelt.
Hier verstecken Betrüger ein so genanntes Schadprogramm (Malware), das den Computerbenutzer ausspioniert oder den Rechner manipuliert, in einem auf den ersten Blick sinnvollen Programm. Der Benutzer glaubt also, zum Beispiel ein Spiel aus dem Internet zu laden. Doch das Spiel ist nur die attraktive Hülle, die Interesse wecken soll. Quasi huckepack, aber bestens versteckt befindet sich ein Programm, das den User ausschnüffelt oder auf andere Weise Schaden anrichtet. Das Schadprogramm versteckt sich. Die Hülle wird als Trojanisches Pferd oder Trojaner bezeichnet.
Ein Trojanisches Pferd ist technisch betrachtet ein ganz normales Computerprogramm. Anders als ein Virus oder Wurm besitzt ein Trojaner normalerweise nicht die Fähigkeit, sich selbständig weiterzuverbreiten. Ein Trojanisches Pferd soll Menschen täuschen und sie in erster Linie zu Aktionen veranlassen, die sie sonst nicht unternehmen würden. Trojaner veranlassen die Menschen durch Tricks dazu, das letztlich schädliche Programm selbständig auf den PC zu holen.
Die Grenzen zwischen Viren, Würmern und Trojaner verwischen heutzutage allerdings immer mehr. Die Programmierer solcher virtuellen Schädlinge bedienen sich verschiedener Techniken und kombinieren diese, um ihr Ziel zu erreichen. Und so gibt es heute bereits einige Trojaner, die gleichzeitig Trojaner und Wurm sind. So sind letztlich doch in der Lage, sich weiterzuverbreiten.
BSI über das Thema „Trojanische Pferde“
https://www.bsi-fuer-buerger.de/viren/04_04.htm
21.04.2005 | Tipps
PandaLabs hat einen neuen Trojaner entdeckt, der auf das Stehlen von vertraulichen Daten programmiert wurde. Bancos.FC sendet dann Accountdaten an Hacker weiter.
Im Falle einer Aktivierung von Bancos.FC installiert der Trojaner eine Kopie von sich selbst auf dem System unter dem Namen FTPEX.exe und in einer anderen Datei namens FTPEX.dll.
Letztere beinhaltet zahlreiche Internetadressen von Finanzdienstleistern auf der ganzen Welt, hauptsächlich allerdings von spanisch sprechenden Ländern. FTPEX.DLL tritt jedes Mal in Aktion, wenn der User einen Prozess oder eine Anwendung ausführt, die ihn mit dem Internet verbinden kann.
Ist eine Verbindung aufgebaut überprüft er jede eingegebenen URL ob sie in seiner gespeicherten Liste eingetragen ist. Alle Eingaben (z.B. Username, Passwort, Kreditkartenummer) die der User macht können mitprotokolliert und an einen Internet Server übermittelt werden.
Der Trojaner kann nur agieren, wenn der User sich via Modem mit dem Internet verbindet. Findet die Verbindung über ein Local Area Network oder einen Breitbandzugang statt kann Bancos.FC seine Aktionen nicht ausführen.
Das Erscheinen dieses Trojaners zeigt einmal mehr, dass der Trend, nämlich Geld mit Malware-Attacken zu verdienen, anhält. Auch Methoden wie Phishing steigen um fast 20% jeden Monat an und werden weiter entwickelt. Pharming ist hier ein gutes Beispiel für eine Weiterentwicklung von Phishing Methoden.
Bancos.FC wurde auf einer Webseite entdeckt, wo er von Hackern frei herunter geladen werden konnte. Die Betreiber der Seite wurden bereits informiert, es ist jedoch sehr wahrscheinlich, dass der Trojaner noch auf zahlreichen anderen Seiten zu finden sein wird. Es ist also Vorsicht geboten beim Öffnen von emails oder beim Download von Dateien aus dem Internet und FTP Servern.
Nur eine korrekt aktualisierte Antivirenlösung ist in der Lage diesen neuen Wurm zu erkennen und eine Infektion zu verhindern. Panda Software Kunden, die bereits die neuen TruPrevent Technologien installiert haben waren auch ohne Signaturdatei vor einem Angriff geschützt. TruPrevent arbeitet auf Basis von Prozessanalysen und erkennt eine Vielzahl schädlicher Codes auch ohne Virussignaturdatei.
Weitere Informationen über TruPrevent erhalten Sie unter:
https://www.panda-software.de/HTML_2/Produkte/TruPrevent/HTML_TruPrevent_1.htm
Befreien Sie Ihren Rechner von Malware mit dem kostenlosen Onlinescanner ActiveScan: https://www.pandasoftware.com
07.04.2005 | Tipps
Innerhalb nur weniger Stunden sind vier neue Varianten (S, U, V und W) des Mytob Wurms erschienen.
Alle haben Backdoor Trojaner Charakteristiken, sie öffnen eine Hintertür im Computer über die Server 19.xxor.biz (S, U und W Variante) und irc.blackcarder.net (MyTob.V). Auf diese Weise ermöglichen Sie ihrem Programmierer die Kontrolle über jeden durch MyTob infizierten Computer zu übernehmen.
Eine der gefährlichsten Eigenschaften dieses Wurms liegt in seiner Fähigkeit die Host Dateien zu manipulieren. So kann er den Zugriff auf Webseiten von Antivirenherstellern blockieren. Auf diese Weise wird ein infizierter Rechner nicht mehr in der Lage sein eine Aktualisierung herunter zu laden.
So verbreitet sich MyTob
– Er nutzt die bereits lange bekannte LSASS Verwundbarkeit aus. Sie wurde bereits im Microsoft Bulletin MS04-011 bekannt gegeben. https://www.microsoft.com/technet/security/bulletin/ms04-011.mspx
– Über öffentliche Ordner mit einfach zu überwindenden Passwörtern.
– Via eMail mit einem Dateianhang .bat, .exe, .pif, .scr oder .zip Datei. Der Dateianhang mit dem Wurm könnte Data, Doc, Document, File, Readme, Text oder Body heißen. (auch weitere Bezeichnungen sind möglich)
Er sendet sich an alle Adressen, die er im System in den Dateien mit .adb,.asp, .dbx, .htm, .php, .pl, .sht und .tbb Endung und im Windows Adressbuch finden kann.
Mytob sendet sich nicht an eMail Adressen, die z.B. das Word panda enthalten. So wollte er vermeiden entdeckt zu werden -wenn auch erfolglos.
Um zu verhindern, dass mehrere Kopien des Wurms zur selben Zeit auf dem System laufen erstellt er verschiedene Mutex. Die Version S erstellt die Mutex ggmutexk2, die U Variante erzeugt ggmutexk1. Variante V nutzt die Mutex H-E-L-L-B-O-T-2-BY-DIABLO und die W Variante von Mytob legt die Mutex H-E-L-L-B-O-T an.
Weil diese Würmer die Kontrolle über IT Systeme erlauben ist es nahe liegend, dass die Autoren durch eine weite Streuung versuchen ein Netzwerk zu infizieren, in dem alle Rechner zur selben Zeit kontrolliert werden können. Es würde ihnen gestatten weitere Malware zu installieren wie z.B. Keylogger oder Spyware und die infizierten Rechner könnten zum Versenden von Spam missbraucht werden.
Weitere Informationen erhalten Sie hier: https://www.pandasoftware.com/virus_info/encyclopedia
25.03.2005 | Tipps
Immer mehr Hacker sind auf finanziellen Benefit ihrer Aktionen aus. Bisher war Phishing bekannt. Bei dieser Technik werden Anwender durch gefälschte eMails auf gefälschte Webseiten geleitet und dort zur Eingabe ihrer Kontoinformationen oder Zugangsdaten für sonstige Webdienste aufgefordert.
Jetzt ist eine weitere Technik zum Instrument der Hacker geworden und bildet eine vielleicht sogar noch größere Bedrohung: Pharming
Ein Phishing Angriff, der Domain-Spoofing-Techniken nutzt, wird Pharming genannt.
Pharming nutzt die Auflösung von Namen zu IP Adressen aus. Wenn ein User eine Adresse wie https://www.schieb.de eintippt, ergibt sich daraus für den Rechner ein Zahlencode: Die IP-Adresse. Diese so genannten Name Resolutions führen DNS-Server (Domain Name System) durch, die dazu Tabellen von IP-Adressen und Domain-Namen verwalten. Pharming Attacken können direkt an einen DNS Server gerichtet werden, so das jeder User der diesen Server anspricht angegriffen wird.
Auf jedem einzelnen Computer mit Windows Betriebssystem und Internet Explorer gibt es eine so genannte Host Datei welche von Hackern manipuliert werden kann (z.B. über Trojaner oder Softwaresicherheitslücken). Wenn Sie dann noch eine falsche Webseite erstellen kann eine Pharming Attacke gestartet werden. Die Host Datei beinhaltet eine Tabelle mit den meist genutzten IP Adressen, damit es nicht nötig wird einen DNS Server zu kontaktieren um Internet Adressen in IP Adressen umzuwandeln. Wird diese Datei überschrieben mit falschen Adressen z.B. einer Bank wird dem User bei jeder Anwahl die falsche Seite angezeigt.
Phishing war/ist durch Social Engineering Techniken erfolgreich geworden jedoch konnten viele Nutzer durch die Medien rechtzeitig gewarnt werden, so das der Erfolg sich in Grenzen hielt. Auch waren Phishing Mails auf einen einzigen Bankservice begrenzt. Pharming hingegen kann eine viel größere Zahl von Bankkunden angreifen.
Pharming ist im Gegensatz zu Phishing keine einmal Aktion sondern kann von einem Computer mehrfach ausgelöst werden.
Die Lösung liegt in den Antivirenlösungen. Pharming Attacken basieren auf einer Anwendung im verwundeten System beispielsweise eine .exe oder Script Datei. Bevor diese Datei gestartet werden kann muss sie das Betriebssystem erreichen. Der Code kann über viele Wege an sein Ziel kommen, ebenso wie Informationen ins System einfließen: eMail, Internet Download, CD, Diskette…In jedem dieser Fälle muss eine Antivirenlösung die Datei mit schädlichem Inhalt erkennen und stoppen. Vorausgesetzt die Software ist aktualisiert und es existiert bereits eine Virussignaturdatei.
Die Verbreitungsgeschwindigkeit der heutigen Malware ist so extrem hoch, das eine zeitnahe Bereitstellung der Signaturdateien immer schwieriger wird. Virenautoren stellen neue Kreationen anderen Hackern zur Verfügung, damit diese neue Varianten in Umlauf bringen und letztlich eine große Anzahl Rechner in wenigen Minuten infiziert werden kann.
Die Lösung müssen Anwendungen sein, die anhand von Prozessanalysen Anwendungen stoppen, die sich auffällig und / oder potentiell gefährlich verhalten.
Eine weitere Gefahr die von Pharming ausgeht sind die Proxyserver. Viele User nutzen Proxyserver um ihre eigene IP Adresse im Internet zu verbergen. Im schlimmsten Falle könnte die Adresse eines solchen Proxyservers angegriffen sein und der User sieht eine gefälschte Bankseite obwohl sein System einwandfrei arbeitet.
Nur mit Systemen, die Veränderungen an der IP Adresse erkennen und verhindern kann diese neue Bedrohung aufgehalten werden. Nutzen Sie eine Antivirenlösung mit reaktiven wie proaktiven Schutzsystemen. Installieren Sie eine Firewall auf Ihrem Rechner und führen Sie regelmäßig Updates durch auf diese Weise sichern Sie Ihr System um ein vielfaches.
23.03.2005 | Tipps
Der Athlon-64-Prozessor von AMD ist serienmäßig mit einem Virenschutz ausgestattet, der Angriffe von Viren und Würmer zwar nicht komplett verhindern, einige Auswüchse jedoch zumindest eindämmen kann. Der „Enhanced Virus Protection“ (EVP) genannte Service muss im Prozessor allerdings eingeschaltet werden.
EVP funktioniert nur, wenn auf dem Rechner Windows XP und das Service Pack 2 (SP2) installiert sind. Um den Virenschutz im Prozessor zu aktivieren, in der Systemsteuerung auf „System“ klicken und dort auf „Erweitert“. Anschließend unter „Systemleistung“ die Optioon „Einstellungen“ wählen und „Datenausführungsverhinderung“ ansteuern. Sofern ein Athlon eingebaut ist, lässt sich hier festlegen, ob und wann der Virenschutz aktiviert werden soll. Es lässt sich eine Liste von Programmen festlegen, bei denen der Virenschutz deaktiviert werden soll. Es empfiehlt sich zum Beispiel, den Virenschutz bei der Verwendung der Brenn-Software Nero abzuschalten, um Konflikte zu vermeiden. Sofern Nero installiert ist, gehört die Programmdatei in die Liste „Programme“ aufgenommen.
