Trend Micro berichtet über JavaScript-Schadcode mit einer neuen Schutzfunktion. Es gibt weiterhin Scam- und Spam-Mails zu Michael Jackson, einige Promi-Twitteraccounts wurden manipuliert und ein neues Rootkit sowie eine neue Erweiterung für den Schädling Koobface entdeckt. Bruce Schneier berichtet über ein neues Schutzprogramm für Notebooks und Graham Cluley über einen guten Einsatz eines Keyloggers. Und im Handler's Diary des ISC wurden Hinweise auf zwei weitere Podcasts zur Konferenz SANSFIRE 2009 veröffentlicht: Using Passive DNS Data to Track Malicious Activities von Bojan Zdrnja und SOA and XML security von Mark Hofman.

JavaScript-Schadcode mit neuer Schutzfunktion

Trend Micro berichtet über JavaScript-Schadcode mit einer neuen Schutzfunktion zum Verhindern der Analyse des Codes: Für die Verschlüsselung des Codes wird der URL, an dem der Schadcode gespeichert ist, hinzugezogen, so dass die Entschlüsselung und damit Analyse des Codes nicht möglich ist, sofern der URL nicht bekannt ist. Außerdem wird dadurch verhindert, das der Schadcode einfach auf einen anderen Server kopiert wird: Da der URL nicht mehr stimmt, wird der Code nicht entschlüsselt und dadurch nicht ausgeführt.

Michael Jackson Scam & Spam

Sophos berichtet über einen weiteren Versuch, aus Michael Jacksons Tod Kapital zu schlagen: Cyberkriminelle verschicken Mails, in denen eine angebliche MICHAEL JACKSON ORGANIZATION um Spenden bittet. Das die nichts mit Michael Jackson zu tun hat, dürfte klar sein. Außerdem berichtet Sophos über verschiedene Spam-Kampagnen zum Verbreiten von Viagra-Werbung oder Phishen von Kreditkarten-Daten.

Britney Spears ist nicht tot

Passend zum Standpunkt Sicherheit vom Montag: Graham Cluley berichtet in seinem Blog, das Britney Spears Twitter-Account manipuliert und die Nachricht "Britney has passed today. It is a sad day for everyone. More news to come." verbreitet wurde. Die Nachricht kam über den zugehörigen TwitPic-Account, wie, ist noch nicht bekannt. Ähnliche Meldungen sollen über die Twitter-Accounts von Ellen DeGeneres und Sean Combs (Diddy, P. Diddy, Puff Daddy, Puffy) verbreitet worden sein.

Neue Rootkit-Variante Generic Rootkit.d

Die McAfee Avert Labs berichten über eine neue Rootkit-Variante, genannt Generic Rootkit.d. Dessen Versuch sich zu verbergen stört evtl. andere Programme, aber wie so oft ist den Entwicklern das herzlich egal, solange ihr eigener Code auf den meisten Systemen wie gewünscht läuft.

Noch eine neue Koobface-Funktion: DNS-Manipulationen

Trend Micro berichtet über eine weitere vom Schädling Koobface nachgeladene Komponente: Ein Programm, das die DNS-Registry-Einstellungen ändert. Dabei wird ein bösartiger DNS-Server eingetragen, der zur Zeit noch inaktiv ist. Sobald er aktiv wird, können Anfragen nach z.B. Bank-Websites auf Phishing-Seiten umgeleitet werden.

Aus der Hand gerissenes Notebook schützen

Bruce Schneier berichtet in seinem Blog über ein Programm, das den Computer sperrt, wenn nicht alle n Sekunden eine Taste gedrückt wird. Wird einem das Notebook geklaut, während man damit arbeitet, sorgt das Programm dafür, das der Dieb zumindest kein sofort funktionsfähiges Notebook hat. Bruce Schneiers Kommentar "Honestly, this would be too annoying for me to use, but you're welcome to try it." ist wenig hinzuzufügen.

Gute Nutzung eines Keyloggers?

Graham Cluley berichtet unter dem Titel A good use for a keylogger? über den Einsatz eines Keyloggers zur Verbesserung der Ergonomie einer Notebook-Tastatur: Lenovos neues ThinkPad T400s hat größere DEL- und ESC-Tasten (von Cluley mit "appears to have been pumped full of steroids" umschrieben), nachdem die Auswertung der Aufzeichnungen von Keyloggern auf den PCs von 30 Angestellten, die sich freiwillig für den Test gemeldet hatten, ergeben hat, das diese Tasten ca. 700 Mal pro Woche gedrückt wurden.

Gefährliche Schwachstellen vom 29.06.2009

• HP OpenView Network Node Manager:
  Schwachstelle beim Betrieb mit SNMP und MIB Ausführung beliebigen Codes und DoS-Angriffen möglich (vom 10.06.2009, aktualisiert)
• KDE:
  Mehrere Schwachstellen erlauben entfernten Angreifern die Ausführung beliebigen Codes (vom 26.06.2009, aktualisiert)

Carsten Eilers