Archiv

Archive for the ‘Virus’ Category

Malware: Drive-by-Spam – die Gefahr lauert in der HTML Mail


Im Moment gibt es jede Menge neue Malware in Emails. Es handelt sich dabei um HTML Emails, bei denen kein Anhang geöffnet werden um den Virus zu aktivieren.

Das alleinige öffnen der Email reicht aus und schon kann der Virus unter Umständen ungehindert weiteren Schadcode nachladen.

  • Schutz: keine HTML Emails öffnen (evtl. lässt sich die Ansicht der Emails im Emailprogramm generell auf Textformat umstellen)
  • Firewall so konfigurieren, dass der Email Client nur mit den – für den Emailverkehr notwendigen – Ports und Servern Kontakt aufnehmen kann.
  • Spamfilter aktivieren
  • Virenscanner aktuell halten
  • Aktuelle Sicherheitsupdates für den Emailclient installieren
  • Vorsicht beim Öffnen von Anhängen (auch pdf und Bild Dateien können Viren enthalten !!!!)

Die Rückkehr der Bios Trojaner


Heute habe ich einen interessanten Artikel zum Thema Bios Trojaner gefunden:

Original Heise Artikel

Sehr lesenswert.

und wieder einmal Email mit Trojaner


Seit ein paar Tagen werden wieder per Spam Mail Trojaner verteilt. Getarnt als Anwaltsschreiben von FrHr. v. Grafenr**** (na wer kennt Ihn nicht).
Die Emails haben folgenden Inhalt (o.ä.)

„Sehr geehrte Damen und Herren,

wir vertreten die Ebay GmbH mit Sitz in Dreilinden in der nachfolgend genannten Angelegenheit. Das Vorliegen einer Vollmacht wird anwaltlich versichert.Genaue Übersicht Ihrer Verkäufe, Rechnungen, Daten und unsere Zahlungsaufforderung mit der Mahngebührenauflistung finden Sie im Anhang.

Sie bieten unter der Internethandelsplattform Ebay Computerartikel im Wege des Fernabsatzes an, ohne dabei auf das Verbrauchern zustehende gesetzliche Widerrufsrecht hinzuweisen, wie bei dem von Ihnen angebotenen Ebay Artikel mit der Nummer 9462591640015 geschehen.

Damit verstossen Sie gegen §312c Abs.1 BGB sowie gegen §1 Abs.1 S.10 BGB-InfoV und führen unlauteren Wettbewerb nach §3, §4 Abs.1 S. 11 UWG. Unserer Mandantin steht damit ein Unterlassungsanspruch gemäß §8 Abs.1,Abs. 3 S. 1 UWG zu.

Ebenso sind sie nach §9 UWG unserer Mandanten zum Schadensersatz verpflichtet und damit zur Uebernahme der Kosten unserer Beauftragung in Höhe der beigefügten Kostennote 950.94 Euro.

Die Wiederholungsgefahr kann nach ständiger Rechtsprechung nur durch Abgabe einer strafbewehrten Unterlassungserklärung beseitigt werden.

Wir fordern Sie daher im Namen unserer Mandantin auf, die beigefügte Unterlassungserklärung abzugeben. Dafür setzen wir Ihnen eine Frist bis zum 05.11.2008 – 18:00 Uhr bei uns eingehend.

Sollte die Erklärung innerhalb dieser Frist nicht oder nicht im geforderten Umfang bei uns eingehen, werden wir gerichtliche Schritte einleiten, durch die zusätzliche Kosten entstehen, die sie durch Abgabe der Erklärung vermeiden können.

Mit freundlichen Grüßen,

….“

Im Anhang findet man eine Zip Datei, welche mit einem Trojaner bzw. einem Trojaner Downloader versehen wurde.
Diese Mails am besten ungelesen löschen 😉

NF

Erneut erfolgreiche Angriffe auf DNS Server



Seit längerem ist bekannt, dass Nameserver im Internet – vor allem Caching Nameserver verwundbar sind. Über Cache Poisoning lassen sich falsche Informationen in den Cache einschleusen. Gut – das ist zwar nicht neu (jedenfalls in Hackerkreisen) – aber im Moment werden die Lücken wohl wieder vermehrt ausgenutzt.
Damit landet man nicht auf Server A (wo man eigentlich hinwollte) sondern auf Server B, der dann mit entsprechendem Schadcode aufwartet.
Die interessanten Ziele dürften Software-Updateserver und Seiten wie Ebay, Onlinebanken etc. sein. Es gibt bereits fertige Angriffsskripte für Java Updates, Winzip Updates etc. Dadurch wird dann nicht das eigentliche Update, sondern ein Trojaner oder ähnliches auf den Rechner geladen und ausgeführt.
Es ist also Vorsicht geboten – zumindest bei automatischen Updates oder OneClick Updates!!!

Das Problem daran: Kein Sicherheitsprodukt kann im Moment wirklich dagegen schützen!
Es gibt keinen wirksamen Schutz! Es sei denn, den Internet Service Providern gelingt es jetzt, so schnell wie möglich die DNS Server upzudaten.

Gruß NF

NTFS und eine kleine ADS Spielerei


NTFS steht in diesem Fall für das Filesystem, dass in den meisten Windows Versionen Verwendung findet. Heute werde ich mal auf ein altbekanntes „Problem“ mit diesem Filesystem eingehen, dass zwar schon oft beschrieben wurde, aber immer wieder aktuell ist.

Es gibt die Möglichkeit sogenannte Metadaten zu einer Datei zu speichern. Das Ganze nennt sich ADS (Alternate Data Stream). An und für sich ist diese Funktion dazu gedacht z.B. Vorschaubilder oder andere Eigenschaften zu einer Datei zu speichern. Leider kann ein Angreifer auch andere Informationen damit zu verknüpfen – z.B. einen Virus an eine Textdatei anzuhängen oder vor den Augen des PC Benutzers zu verstecken! Das funktioniert übrigens auch ohne Administrator Rechte! Auch der User „Gast“ könnte die ADS Funktion nutzen.
Wer es nicht glaubt, der sollte mal folgendes ausprobieren:
echo „geheimer Text“ >> Textdatei.txt:mystream.txt“
Jetzt wird eine Datei Textdatei.txt angelegt – aber mit einem Stream namens mystream.txt.
Beim Auflisten der Dateien wird man aber nur die Datei „Textdatei.txt“ zu sehen bekommen.
Der Befehl „type Textdatei.txt“ wird auch keinen Inhalt anzeigen. Wie kommt man also wieder an die Informationen heran?
Ganz Einfach mit type Textdatei.txt:mystream.txt -> zeigt uns: „geheimer Text“
oder mit „notepad Textdatei.txt:mystream.txtlässt sich der Stream sogar bearbeiten.
Auch wenn der Stream noch so groß wird – die Dateigröße der Datei „Textdatei.txt“ wird sich nicht verändern. Der Stream wird also nicht bemerkt werden – na ja ausser die Platte läuft langsam voll, weil die Keylogger Datei zu groß wird 😉

Datastreams lassen sich auch mit Verzeichnissen verknüpfen. Ebenfalls lassen sich Binärdaten – also ausführbare Dateien wie Viren oder andere Schadprogramme in solchen Streams speichern und bei Bedarf starten, ohne das Sie je entdeckt wurden. Abhilfe könnten hier Rootkit Erkennungsprogramme schaffen. Aber wie ich schon in einem älteren Post berichtete arbeiten Rootkit Scanner auch nicht immer zuverlässig. Ich werde mir vielleicht nochmal die Mühe machen und ein paar aktuelle Versionen testen.

Hier ein paar Links zu kostenlosen Rootkit Scannern:

andere Rootkit Scaner:

  • Avira Rootkit Detection
  • Bitdefender RootKit Uncover
  • F-Secure BlackLight
  • Grisoft AVG AntiRootkit
  • McAfee RootKit Detective
  • Panda Software Panda Anti-Rootkit
  • Sophos Sophos Antirootkit
  • Trend Micro RootKit Buster


NF

Der ultimative Virencheck


Wer sich mit der Materie mal etwas näher befasst hat, weiss daß die Hersteller von Antivirensoftware sehr unterschiedliche Ansätze verfolgen. Die Qualität der einzelnen Virenscanner unterscheidet sich auch zum Teil gravierend. Was liegt also nahe, einach mal alle Virenscanner auf einmal zu bemühen um eine Datei zu prüfen.
Auf der Seite http://www.virustotal.com kann man die zu prüfende Datei hochladen und mit so ziemlich jeden Virenscanner, der am Markt existiert, prüfen lassen। Interessanterweise ist Trendmicro nicht dabei – was das wohl bedeutet 😉

Alles in allem ein interessanter Service. Man kann aber davon ausgehen, daß auch Hacker sich dieser Dienste bedienen um Ihre Schadsoftware zu optimieren, damit Sie von Virenscannern nicht erkannt werden

NF

11 jähriges Kind verteilt IPhone Schadcode


Wie F-Secure in seinem Blog mitteilt hat, ist es wohl einem 11 jährigen Kind gelungen, ein Programm mit Schadroutinen für das IPhone im Internet zum Download anzubieten. Dieses Program soll relativ harmlos sein, außer daß es beim deinstallieren auch ein paar andere Dateien mit löscht, so daß bereits installierte Programme nicht mehr funktionieren. Na ja zugegeben – ein Trojaner ist das jetzt nicht gerade – aber wenn das so einfach ist, dann werden wohl bald richtige Trojaner folgen 😉

Link zum Blogeintrag bei F-Secure:
http://www.f-secure.com/weblog/archives/00001355.html

NF

%d Bloggern gefällt das: