Es gibt neue Entwicklungen bei der bösartigen Suchmaschinenoptimierung und einen neuen Trojaner, eine Anleitung für einen manuellen Schutz vor AutoRun-Würmern, eine neue Logging- und Reporting-Lösung und einen Bericht zur Skalierung der Rootzone des DNS. Vitaly Zaytsev beschreibt im Blog der McAfee Avert Labs die Analyse des polymorphen Virus W32/Xpaj, Gerry Egan von Symantec erklärt Symantecs neues reputationsbasiertes System Quorum, und Bruce Schneier beschreibt Angriffe auf Zwei-Faktor-Authentifizierungen und damit verbundene Identitätsdiebstähle.

Lokalisierte bösartige Suchmaschinenoptimierung

Trend Micro erweitert die Informationen über bösartige Suchmaschinenoptimierung um einen weiteren Aspekt: Dort hat man beobachtet, dass die suchmaschinenoptimierten Websites zum Verbreiten von Fake-Virenscannern, über die bereits mehrmals in den Security-Hinweisen berichtet wurde, z.B. am 14. September, über GeoIP-Prüfungen feststellen, woher ihre potentiellen Opfer kommen und nur bei Besuchern aus den USA ihre Schadsoftware frei schalten, während Besucher aus anderen Ländern lediglich eine HTTP-Fehlermeldung zu sehen bekommen.

Bösartiges Online-Monopoly-Spiel

Die McAfee Avert Labs warnen vor einer Spam-Welle, mit der die Opfer zu einem Online-Monopoly-Spiel gelockt werden sollen. Das dazu angeblich notwendige Programm ist natürlich ein Trojaner, sonst würde McAfee ja nicht davor warnen. Nach der Installation lädt der weiteren Schadcode nach, der den Rechner des Opfers in einen Spam versendenden Zombie verwandelt.

Manueller Schutz vor AutoRun-Würmern

Christian Potencia beschreibt im Blog von Trend Micro detailliert, wie man durch das Anlegen eines geschützten Verzeichnisses mit dem Namen AUTORUN.INF verhindern kann, dass sich ein AutoRun-Wurm auf einem USB-Stick einnistet.

Neue Logging- und Reporting-Lösung

Vom 'Unified Threat Management'-Appliances-Hersteller Cyberoam wurde eine neue Open Source Logging- und Reporting-Lösung vorgestellt: Cyberoam iView (SourceForge-Projektseite). Cyberoam iView läuft unter Windows und arbeitet als Syslog-Server, über den die Logdaten verschiedener Systeme gesammelt zur Verfügung gestellt werden. Verschiedene Tools helfen dabei, die Übersicht über die Lage im lokalen Netz zu behalten. Zur Zeit werden UTM- und Firewall-Lösungen von Cyberoam, FortiGate, 24Online und SonicWALL sowie der HTTP-Proxy Squid unterstützt.

Bericht 'Scaling the Root' veröffentlicht

Das Root Scaling Study Team der Root Scaling Steering Group der Internet Corporation for Assigned Names and Numbers (ICANN) hat seinen Bericht 'Scaling the Root' (PDF) zur Skalierung der Rootzone des DNS veröffentlicht. Demnach sollte erst DNSSEC implementiert werden, bevor weitere Top Level Domains aufgenommen werden.

Gefährliche Schwachstellen vom 22.09.2009

• BAROSmini - BAnner ROtation System mini:
  Einbinden entfernter Dateien über Parameter 'baros_path' im Skript include/common_functions.php sowie 'main_path' in mehreren Skripten
• DDL CMS (DDLCMS):
  Einbinden entfernter Dateien über Parameter 'wwwRoot' in mehreren Skripten
• Loggix Project:
  Einbinden entfernter Dateien über Parameter 'pathToIndex' in mehreren Skripten
• ProdLer:
  Einbinden entfernter Dateien über Parameter 'sPath' im Skript prodler.class.php
• BigAnt Messenger:
  Pufferüberlauf-Schwachstelle erlaubt Ausführung beliebigen Codes durch einen überlangen GET-Request (vom 16.09.2009, aktualisiert)

Carsten Eilers