Die McAfee Avert Labs warnen vor einer mit einem Trojaner versehenen Toolbar für StudiVZ. Im Handler's Diary des ISC wurden weitere Tricks des RPC-Wurms vorgestellt, Symantec hat einen der aktuellen Trojaner für Mac OS X analysiert und Trend Micro berichtet, das immer öfter politische Themen zur Verbreitung von Schadsoftware verwendet werden.

Trojaner in StudiVZ-Toolbar

Die McAfee Avert Labs berichten über eine mit einem Trojaner versehene Toolbar für StudiVZ. Nur zur Erinnerung: Software lädt man tunlichst nur von der Website des Herstellers oder aus vertrauenswürdigen Archiven herunter.

Weitere Tricks des RPC-Wurms

Im Handler's Diary des ISC wurden weitere Tricks des RPC-Wurm Conficker/Downadup vorgestellt: So versucht der Wurm, sein Löschen aus der Registry zu verhindern, indem er die ACL so ändert, das ein Löschen nur mit SYSTEM-Rechten möglich ist. Außerdem prüft er, ob er in einer Virtuellen Maschine gestartet wurde, und legt sich gegebenenfalls für 29826 Stunden schlafen, um einer Analyse zu entgehen. Na dann: Gute Nacht!

Mac OS X Trojaner analysiert

Symantec hat einen der aktuellen Trojaner für Mac OS X analysiert. Der Schädling enthält gefälschte Dialogboxen, um sich die Zugangsdaten eines Administrators zu erschleichen.

Politische Themen als Aufhänger für Schädlingsverbreitung

Im Blog von Trend Micro wird berichtet, das immer öfter politische Themen ausgenutzt werden, um Schadsoftware zu verbreiten. Aktuell sind es die Wahlen in Israel, Deutschland dürfte dann im Herbst dran sein.

Gefährliche Schwachstellen vom 10.02.2009

• ZeroShell:
  Schwachstellen in der Web-Console erlauben Ausführung beliebiger Shellbefehle und Lesen beliebiger Dateien
• AdaptCMS:
  Einbinden entfernter Dateien über Parameter 'sitepath' im Skript plugins/rss_importer_functions.php
• Hedgehog-CMS:
  Mehrere Schwachstellen erlauben Einbinden lokaler Dateien und Ausführung beliebigen Codes
• PHP Director:
  SQL-Injection über Parameter 'searching' im Skript index.php
• SnippetMaster:
  Einbinden entfernter Dateien über Parameter '_SESSION[SCRIPT_PATH]' im Skript includes/vars.inc.php und Parameter 'g_pcltar_lib_dir' im Skript includes/tar_lib/pcltar.lib.php
• Webframe:
  Einbinden entfernter und lokaler Dateien über verschiedene Parameter und Skripte
• BlackBerry Application Web Loader:
  Pufferüberlauf-Schwachstelle im RIM AxLoader ActiveX-Control erlaubt Ausführung beliebigen Codes
• Microsoft Exchange Server:
  Zwei Schwachstellen erlauben die Ausführung beliebigen Codes und DoS-Angriffe (MS09-003)
• Microsoft Internet Explorer:
  Zwei Schwachstellen erlauben Ausführung beliebigen Codes (MS09-002)
• FeedDemon:
  Pufferüberlauf beim Verarbeiten präparierter OPML-Dateien erlaubt Ausführung beliebigen Codes (vom 05.02.2009, aktualisiert)
• WB News:
  Einbinden entfernter Dateien über Parameter 'config[installdir]' in mehreren Skripten (vom 27.01.2009, aktualisiert)

Carsten Eilers