Microsofts Schlag gegen das Waledac-Botnet war anscheinend erfolgreich. Es gibt eine neue Untersuchung des Trojaners Zeus, und angeblich wurde die erste Ransomware für Mac OS X entdeckt. AVG berichtet über 'Schlupflöcher ins Unternehmen: Wie sich Malware im Firmennetzwerk einnisten kann', Symantec nennt die in Spam am häufigsten genutzten Wörter, F-Secure zeigt, wie E-Mails für gezielte Angriffe aussehen können, Bruce Schneier verweist auf eine Untersuchung über die Sicherheit "geheimer Fragen" (Evaluating statistical attacks on personal knowledge questions), und Microsoft hat den March 2010 Security Bulletin Webcast und die zugehörigen Questions & Answers veröffentlicht.

Waledac: Ein Botnet am Boden

Microsofts Malware Protection Center berichtet über die Aktionen gegen das Waledac-Botnet, die ersten Erkenntnissen zu Folge recht erfolgreich waren. Sowohl die Kommunikation mit Zombies als auch die Anzahl der Neuinfektionen gingen drastisch zurück.

Zeus: Trojaner mit Kopierschutz

Kevin Stevens und Don Jackson von der SecureWorks Counter Threat Unit CTU haben den Trojaner Zeus analysiert. Zeus scheint der am weitesten verbreitete "Malware-Baukasten" zu sein und seine Entwickler haben die aktuelle Version durch ein Hardware-basiertes Lizenzierungssystem geschützt. Beim ersten Start wird ein Fingerprint des speziellen Rechners erstellt, für den die Entwickler dann einen genau angepassten Schlüssel erstellen. Da stellt sich ja spontan die Frage, ob es dann bald auch Raubkopien von Schadsoftware gibt - warum sollten gerade Cyberkriminelle sich von einem Kopierschutz stören lassen?

Ransomware: Mac OS X im Visier?

Ransomware, d.h. Software, die Daten mehr oder weniger gut verschlüsselt und dann für die Freigabe Geld verlangt, scheint es inzwischen auch für Mac OS X zu geben. Oder auch nicht. Entsprechende Berichte gibt es z.B. von Dancho Danchev ("Mac OS X SMS ransomware - hype or real threat?", mit Verweis auf "several web forums", die nicht genannt werden), dem Threat Researcher ("Mac OS X Ransomware", mit Verweis auf Danchevs Artikel) und Intego ("Mac OS X Ransomware Threat: Nothing to Worry About Yet", mit Verweis auf Danchevs Artikel und dem des Threat Researcher). Bei so viel "Hörensagen" besteht wohl keine Gefahr, dass die Bedrohung demnächst real wird.

Gefährliche Schwachstellen vom 16.03.2010

• HP Broadcom Integrated NIC Management Firmware:
  Nicht näher beschriebene Schwachstelle erlaubt Ausführung beliebigen Codes
• Trouble Ticket Express:
  Einschleusen beliebiger Shellbefehle möglich
  Kritisch, weil: Schwachstelle wird für Angriffe ausgenutzt
• osData:
  Einbinden entfernter Dateien über Parameter 'config[forum_installed]' im Skript forum/adminLogin.php und forum/userLogin.php
• IBM HTTP Server:
  Schwachstelle in mod_isapi erlaubt Ausführung beliebigen Codes
• Liquid XML Studio:
  Pufferüberlauf-Schwachstelle in der Methode OpenFile() des ActiveX-Controls LtXmlComHelp8.dll erlaubt Ausführung beliebigen Codes
• MaxDB:
  Pufferüberlauf beim Verarbeiten präparierter Handshake-Pakete durch serv.exe erlaubt Ausführung beliebigen Codes
• Adobe Flash Media Server:
  Schwachstelle in mod_isapi des enthaltenen Apache Webservers erlaubt Ausführung beliebigen Codes
• Apple Safari:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes und das Ausspähen sensitiver Informationen (vom 12.03.2010, aktualisiert)
• Open&Compact Ftp Server:
  Pufferüberlauf beim Verarbeiten eines überlangen Parameters für USER erlaubt DoS-Angriffe (vom 11.02.2010, aktualisiert)
• QuickZip:
  Pufferüberlauf beim Verarbeiten präparierter .zip-Dateien erlaubt Ausführung beliebigen Codes (vom 09.03.2010, aktualisiert)
• Spamassassin Milter:
  Einschleusen beliebiger Shellbefehle, die mit root-Rechten ausgeführt werden, möglich (vom 08.03.2010, aktualisiert)
  Kritisch, weil: Schwachstelle wird für Angriffe ausgenutzt

Carsten Eilers