Es gibt Informationen zur neuen Version des RPC-Wurms Conficker/Downadup, der 'Reinfizierung' durch einen entfernten Trojaner, Trends, dem Pwn2Own-Wettbewerb und dem 10. "Geburtstag" von Melissa. Microsoft hat zwei Tools vorgestellt, die die Analyse von Schwachstellen erleichtern, und es gibt neue Paper über die Ausnutzung des System Management Mode (SMM) der Intel-Prozessoren zum Verbergen von Rootkits.

Neues zum RPC-Wurm

Symantec liefert weitere Informationen zur neuen Version des RPC-Wurms Conficker/Downadup, die keine Verbreitungsfunktionen mehr enthält, dafür aber bessere Fähigkeiten im Bereich der Kontrolle durch den Urheber und dem Schutz vor einer Enttarnung und Entfernung.

Ein Eintrag im Handler's Diary des ISC weist auf weitere neue bzw. aktualisierte Informationen hin: Das Paper von SRI International wurde um Informationen über die neue Variante erweitert, es gibt zwei interessante Blogeinträge in der New York Times ('The Conficker Worm: April Fool’s Joke or Unthinkable Disaster?' und Computer Experts Unite to Hunt Worm), und auch ein vorheriger Eintrag im Handler's Diary, der verschiedene Informationsquellen zusammenfasst, wurde aktualisiert.

'Reinfizierung' durch entfernten Trojaner

Trend Micro berichtet über einen Trojaner, der befallene Systeme nach dem Entfernen der bösartigen Dateien durch im Systemspeicher hinterlegten Code erneut infiziert. Darum sollte man ja auch von einem garantiert schädlingsfreiem Medium booten, bevor man einen Schädling entfernt. Außerdem ist das Entfernen eines Schädlings immer nur die zweite Wahl, sicherer ist eine vollständige Neuinstallation. Wer das ein paar Mal gemacht hat lernt dann vielleicht auch, sich ein bisschen mehr um die Sicherheit seines Systems zu kümmern.

Trends...

Im Threat Research & Response Blog von Microsofts Malware Protection Center beschäftigt sich ein Beitrag mit Trends im Internet und in der Schadsoftware im besonderen. Auslöser ist ein vollständig in AutoIt geschriebener Schädling: Win32/Cypaux. Auch Schadsoftware-Autoren folgen halt Trends, und Skriptsprachen sind nun mal "in".

Pwn2Own-Wettbewerb, Tag 2 und 3

Der Pwn2own-Wettbewerb ist zu Ende, hier die Ergebnisse des 2. und 3. Tages: Es gab keine. Dafür hat Charlie Miller erklärt, wieso er Safari unter Mac OS X in 10 Sekunden übernehmen konnte: Er hat eine bereits im vergangenen Jahr von ihm entdeckte und bisher geheim gehaltene Schwachstelle ausgenutzt, an dem Exploit hat er dementsprechend lange gearbeitet. Freundliche Kommentare darf er dafür nicht erwarten, mehr dazu im Standpunkt Sicherheit.

Happy Birthday, Melissa

Im Blog von Symantec wird daran erinnert, das am 26. März 1999 der Virus "Melissa" das Licht der Welt bzw. des Internets erblickte, einer der ersten, wenn nicht sogar der ersten Virus, der es auch in der allgemeinen Bevölkerung zu Bekanntheit gebracht hat. Eigentlich sollte man Schädlingen aber wohl eher zum Todestag gratulieren, oder?

Analyse leicht(er) gemacht

Microsoft hat zwei Tools vorgestellt, die die Analyse von Schwachstellen erleichtern: Das Plugin für den Windows-Debugger !exploitable ("bang exploitable") wertet nach einem Programmabsturz zwei Hashwerte aus und liefert Informationen darüber, wo die Ursache des Absturzes zu suchen ist und wie wahrscheinlich die mögliche Schwachstelle ausgenutzt werden kann. Damit soll es helfen, die richtigen Prioritäten für die Beseitigung von Programmfehlern zu setzen. Paladin dient der schnelleren Analyse aufgetauchter Exploits und basiert auf einem Vigilante genannten, älteren System.

Rootkit der nächsten Generation in Sicht

Joanna Rutkowska und Rafal Wojtczuk haben ein Paper präsentiert, in dem sie sich mit dem System Management Mode (SMM) der Intel-Prozessoren und dessen möglichen Ausnutzungen zur Installation eines Rootkits beschäftigen: 'Attacking SMM Memory via Intel CPU Cache Poisoning' (PDF). Wie so ein Rootkit aussehen könnte, haben Shawn Embleton, Sherri Sparks und Cliff Zou von der University of Central Florida in ihrem Paper 'SMM Rootkits: A New Breed of OS Independent Malware' (PDF) beschrieben.

Gefährliche Schwachstellen vom 20.03.2009

• Little cms:
  Mehrere Schwachstellen erlauben die Ausführung beliebigen Codes und DoS-Angriffe
• Sun Java System Identity Manager:
  Mehrere Schwachstellen erlauben u.a. das Umgehen der Authentifizierung und unter Unix/Linux die Ausführung beliebiger Programme

Carsten Eilers