Inhalte überspringen »

News

Montag, 17. August 2009 | News

Security-Hinweise zu Twitter-lesenden Bots und mehr

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/050597)

Ein Botnet wird über Twitter gesteuert (das am Samstag mal wieder eine 'unexpected downtime' hatte). Fast tausend chinesische Websites wurden für Drive-by-Infektionen präpariert, Ashley Greene folgt Erin Andrews als Lockvogel, ein Schädling tauscht die HOSTS-Datei aus, der Trojaner Koobface wurde teilweise infiziert, und es gibt neue Statistiken, Analysen und Angriffe. Microsoft hat das 'August 2009 Security Bulletin Webcast Video and Customer Q and A' und die zugehörigen 'Monthly Security Bulletin Webcast Q&A - August 2009' veröffentlicht, und im Handler's Diay des ISC werden einige 'Tools for extracting files from pcaps' gesammelt.

Botnet über Twitter gesteuert

Jose Nazario von Arbor Networks berichtet, dass ein Botnet über Twitter gesteuert wird. Über die Base64-kodierten Statusnachrichten werden die Links übertragen, von denen die Bots neue Befehle oder neuen Code laden sollen. Die Bots empfangen die Statusnachrichten über den RSS-Feed. Nachdem der betreffende Account upd4t3 von Twitter deaktiviert wurde, erschien er bei Jaiku und Tumblr, weitere Micro-Blogging-Dienste und andere Web-2.0-Angebote werden sicher folgen. Symantec hat auf einer Karte die Verbreitung des vom Bot Downloader.Sninfs (die Variante, die Jaiku nutzt, wird von Symantec Downloader.Sninfs.B genannt) nachgeladenen Schädlings, Infostealer.Bancos, markiert. Da der es auf Kunden einer brasilianischen Bank abgesehen hat, liegt dort auch sein Haupt-Verbreitungsgebiet.

Massenkompromittierung chinesischer Websites

Die Websense Security Labs berichten, dass fast tausend chinesische Websites für Drive-by-Infektionen präpariert wurden. Betroffen sind vor allem Bildungseinrichtungen wie Universitäten und Colleges, die ausgenutzten Schwachstellen stellen quasi die "Top 4" kritischer Schwachstellen der letzten Zeit dar.

Ashley Greene folgt Erin Andrews

Nach den Erin-Andrews-Videos (siehe Security-Hinweise vom 20., 23. und 27. Juli) dienen nun angebliche Videos von Ashley Greene als Lockvogel für die Verbreitung von Fake-Codecs, wie Graham Cluley berichtet. Nachdem einige Nacktfotos der Schauspielerin im Internet aufgetaucht sind, verbreiten Cyberkriminelle nun Links zu angeblichen Videos, getreu der Devise "Wo ein paar Fotos sind, ist vielleicht auch ein Video entstanden". So ein Link führt mit ziemlicher Sicherheit zu einer Website, die dann einen angeblichen Codec zum Download anbietet, wobei wie so oft in letzter Zeit auch die Mac-Benutzer berücksichtigt werden.

Statt DNS-Changer HOSTS-Datei ausgetauscht

Trend Micro berichtet, das bei einem neuen Angriff auf brasilianische Banken (was ist an denen eigentlich so interessant?) ein neuer (eigentlich alter) Trick zum Einsatz kommt: Der per Spam verteilte Schädling tauscht die HOSTS-Datei aus, so dass Zugriffe auf verschiedene brasilianische Banken-Websites auf Phishing-Seiten umgeleitet werden. Vermutlich hoffen die Cyberkriminellen, dass dieser alte Trick nicht so schnell auffällt wie die aktuell meist verwendeten DNS-Changer. Pech gehabt, zumindest Trend Micro ist er aufgefallen.

Koobface infiziert?

Der Trojaner Koobface lädt inzwischen nicht nur neue Versionen von sich selbst nach, sondern gleichzeitig weitere Schädlinge wie z.B. die Viren Scribble, Virut und Vetor, die sich normalerweise über infizierte Dateien verbreiten. Richard Cohen von Sophos vermutet, dass das gar keine Absicht ist, sondern dass die Update-Dateien, die Koobface von anderen mit Koobface infizierten Rechner lädt, auf diesen Rechnern durch dort bereits vorher vorhandene Viren infiziert wurden. Wenn man bedenkt, das die Viren auf einem infizierten Rechner jede ausführbare Datei mit ihrem eigenen Code infizieren, ist das sogar sehr wahrscheinlich.

Neue Statistiken, Analysen, Angriffe

Gunter Ollmann berichtet mit Bezug auf ein Forschungsergebnis von Panda Security, dass die Hälfte aller neuen Viren für die Cyberkriminellen nur einen halben Tag brauchbar sind, danach werden sie von den meisten Virenscannern erkannt und eliminiert. Die Cyberkriminellen reagieren darauf, indem sie ihre "Produkte" immer schneller aktualisieren, teilweise täglich oder sogar stündlich. Bis die Antivirenhersteller dann aus einem gefundenen Schädling eine Signatur entwickelt und die getestet und verbreitet haben, ist dann schon der Nachfolger dieses Schädlings im Umlauf.

Die NSS Labs haben ihren Q3 2099 Phishing Test Report und ihren Q3 Socially Engineered Malware Test Report veröffentlicht, in denen sie den Phishing- und Malware-Schutz gängiger Browser untersuchen. Demnach schneidet von den getesteten Browsern Apple Safari 4, Google Chrome 2, Microsoft Internet Explorer 8, Mozilla Firefox 3 und Opera 10 Beta der Internet Explorer 8 am besten ab, der 81% der "Social-Engineering-Malware" (Links, die direkt auf Schadsoftware zeigen) und 83% der Phishing-Angriffe erkannte. Dabei wurden nur die Browser selbst getestet, zusätzliche Schutzmaßnahmen wie Virenscanner oder auch die Firefox-Erweiterung Noscript kamen nicht zum Einsatz.

Gilou Tenebro beschreibt im Blog von Symantec in 'Waledac, Part 2: Its Bootstraps and Armor' weitere Aspekte (Teil 1) des Schädlings Waledac. Diesmal geht es um die Schutzfunktionen des Schädlings, dessen Einbindung in das zugehörige Botnet und die dabei zum Einsatz kommenden Verschlüsselungstechniken.

Mayur Kulkarni berichtet im Blog von Symantec, das die Cyberkriminellen weitere Dateiformate für ihre Angriffe nutzen: Nachdem Phisher bereits dazu übergegangen sind, ihre Phishing-Seiten direkt als HTML-Datei an die Mails anzuhängen, wird das gleiche jetzt mit den MHT-Dateien, die der Internet Explorer ab Version 5 als Webarchiv erzeugt, sowie dem eFax-Format EFX gemacht.