Manche Fake-Virenscanner tragen sich in den User-Agent-Header des Webbrowsers ein. Skriptkiddies aus dem Mittelmeer-Raum defacen Websites rund um den Globus, Sophos hat neue bösartige eCards entdeckt, der Cisco SAFE Security Reference Guide wurde aktualisiert und Trend Micro hat die Beschreibung von Pushdo fortgesetzt.

Fake-Virenscanner manipulieren Webbrowser

F-Secure berichtet, das manche Fake-Virenscanner den User-Agent-Header des Webbrowsers um eine eigene Kennung erweitern. Daran werden evtl. die für die Übernahme des betreffenden Rechners verantwortlichen Affiliates identifiziert, außerdem können Websites den so identifizierten Rechnern andere Inhalte anzeigen als normalen Besuchern. Was durchaus zweckmäßig ist: Beim Besuch einer zur Verbreitung eines Fake-Virenscanners gedachten Website bekommen bereits abgezockte Besucher dann eine "Prima, alles OK"-Meldung, während alle anderen vor den unheimlich gefährlichen Viren auf ihrem Rechner gewarnt werden. Praktischer Nebeneffekt der Kennzeichnung infizierter Rechner: F-Secure konnte die Header zählen. Im April wurden auf den Beobachtungsrechnern Zugriffe von Browsern mit dem zusätzlichen Eintrag 'AntivirXP08' im User-Agent-Header gezählt. Das Ergebnis: 63.000 eindeutige IP-Adressen, und das nur für diesen einen Eintrag, es gibt noch mehr. Der Vertrieb von Fake-Virenscannern scheint sich zu lohnen.

Skriptkiddies aus dem Mittelmeer-Raum

Trend Micro hat eine starke Zunahme von Defacement-Angriffen auf Websites beobachtet, die von Ländern aus dem Mittelmeer-Raum ausgehen. Genannt werden neben der Türkei Marokko, Algerien und Tunesien. Entsprechende Defacements findet man z.B. sehr häufig dann, wenn irgendwo neue Exploits veröffentlicht wurden, die mit direkten Links zu Demo-Sites versehen sind. Irgend ein Witzbold (oder auch mehrere nacheinander) kann dann unter Garantie nicht widerstehen und hinterlässt seine "Visitenkarte". Immer noch besser, als Code für Drive-by-Infektionen.

eCard mit Baby und Trojaner

Sophos hat eCards entdeckt, in denen ein hektisch herumzappelndes Comic-Baby die Empfänger zum Anklicken eines Links verleiten soll, der sie auf eine Seite zum Einschleusen eines Trojaners führt. Die Mails stammen angeblich von einem heimlichen Bewunderer. Ein heimlicher Bewunderer, der eine eCard mit zappelnden Baby darauf schickt - dümmer gehts wohl nicht mehr.

Cisco SAFE Security Reference Guide aktualisiert

Im Handler's Diary des ISC wird darauf hingewiesen, das der Cisco SAFE Security Reference Guide mit der Beschreibung von Design-Standards rund um die Netzwerksicherheit aktualisiert wurde. Weitere evtl. interessante Paper gibt es auf der Cisco SAFE Website.

Pushdo/Cutwail – Can't touch this

Trend Micro hat Teil 3 der Serie über den Schädling Pushdo veröffentlicht: 'Pushdo/Cutwail – Can’t touch this (Part 3 of 5)' beschreibt, wie der Schädling sich vor Virenscannern versteckt: Er vermeidet Schreibzugriffe auf die Festplatte, wann immer es geht. Dadurch kann er von Echtzeit-Scannern, die Schreibzugriffe auf Dateien überwachen, kaum entdeckt werden. Ansonsten verbirgt sich der Schädling im virtuellen Speicher, der i.A. vom Virenscanner ignoriert wird.

Gefährliche Schwachstellen vom 18.05.2009

• Harlandscripts Skripte:
  Einschleusen beliebigen Codes, teilweise auch SQL-Injection und Heraufladen beliebiger Dateien möglich
• Joomla/ArtForms Component:
  Einbinden entfernter Dateien über Parameter 'mosConfig_absolute_path' in mehreren Skripten
• Audioactive Player:
  Pufferüberlauf beim Verarbeiten präparierter .m3u-Dateien erlaubt Ausführung beliebigen Codes
• Good Mobile Messaging Server:
  Mehrere Schwachstellen beim Umwandeln von Anhängen erlauben die Ausführung beliebigen Codes
• httpdx:
  Mehrere Schwachstellen erlauben DoS-Angriffe, mindestens eine davon auch die Ausführung beliebigen Codes
• Microsoft Internet Information Server:
  Schwachstelle beim Verarbeiten von WebDAV-Requests erlaubt Umgehen der Authentifizierung für Passwortgeschützte Verzeichnisse und den Up- und Download beliebiger Dateien
• Winamp:
  Schwachstelle in libsndfile.dll erlaubt Ausführung beliebigen Codes beim Verarbeiten präparierter VOC-Dateien
• libsndfile:
  Pufferüberlauf beim Verarbeiten präparierter VOC- und AIFF-Dateien erlaubt Ausführung beliebigen Codes (vom 15.05.2009, aktualisiert)
• Oracle-Produkte:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes und das Ausspähen sensitiver Informationen (vom 15.04.2009, aktualisiert)
• Zervit Webserver:
  Pufferüberlauf beim Verarbeiten einer überlangen URL erlaubt Ausführung beliebigen Codes, Directory-Traversal-Schwachstelle herunterladen beliebiger Dateien (vom 17.04.2009, aktualisiert)

Carsten Eilers