Es gibt neue Informationen zum Angriff auf e107.org. Auch TechCrunch wurde kompromittiert, es gibt Informationen zu neuen und alten Schädlingen und Angriffen sowie eine neue Version von SpamAssassin. VMware hat eine Draft-Version des 'vSphere 4.0 Security Hardening Guide' veröffentlicht und bittet um Kommentare. Chester Wisniewski von Sophos berichtet mit Verweis auf einen Artikel des Christian Science Monitor, dass auch einige US-Ölfirmen Opfer von Cyber-Angriffen wurden, und Robert 'RSnake' Hansen berichtet über für bösartige Suchmaschinenoptimierung verwendete kompromittierte .edu-Websites.

Neues zu e107.org

Die Entwickler des Content Management Systems e107 haben zur Kompromittierung ihres Servers und der Backdoor in einem Archiv Stellung genommen. Wie bereits vermutet, wurde der Server über die in Version 0.7.17 behobene Schwachstelle kompromittiert, inzwischen wurde er aber bereinigt. Den Angreifern gelang es, ein von ihnen erstelltes ZIP-Archiv mit der Backdoor auf dem Server zu speichern und den Downloadlink für das Update entsprechend zu ändern. Die Entwickler weisen ausdrücklich darauf hin, dass Archive nur von Sourceforge heruntergeladen werden sollen. Die in der Vergangenheit lokal auf e107.org bereit gestellten Patches wird es in Zukunft nicht mehr geben.

Auch TechCrunch kompromittiert

Graham Cluley von Sophos berichtet, dass der Server von TechCrunch kompromittiert wurde, was von TechCrunch bestätigt wurde. Weitere Informationen will TechCrunch nach der Untersuchung des Vorfalls veröffentlichen.

Neue Angriffe und Schädlinge

Die Websense Security Labs warnen vor angeblichen Microsoft-Mails zum Security Bulletin MS10-001, die die Empfänger auf eine Seite mit Trojanern locken sollen.

Dancho Danchev berichtet über von ESET und BitDefender entdeckte Schädlinge, die sich als IQ-Tests tarnen und über Wechselmedien verbreiten. Als Schadfunktion wird nach 40 bzw. 20 Tagen der Master Boot Record der Festplatte überschrieben. BitDefender hat ein Video des Schädlings erstellt.

Trend Micro meldet, dass die Suche nach 'free printable' zur Zeit gefährlich ist: Unter den Suchergebnissen befinden sich Seiten, die auf bösartige Seiten umleiten. Bisher sind das Ziel der Umleitungen andere Suchmaschinen, es kann aber jederzeit auch zu Drive-by-Infektionen kommen.

F-Secure berichtet über ein neues Feature von Facebook mit Missbrauchspotential: "Reply to this email to comment on this status." Da die Reply-To-Adresse beliebig gesetzt werden kann, kann darüber Spam versendet werden.

Alte Schädlinge

Patrick Fitzgerald von Symantec beschreibt, wie sich der im Rahmen der "Operation Aurora" verbreitete Trojaner Trojan.Hydraq auf einem System einrichtet, um einen Neustart zu überleben.

Trend Micro beantwortet die Frage 'Where in the World Is DOWNAD/Conficker?'. "Soon on a computer near you" wäre gar nicht mal so falsch als Antwort, so aktiv wie der Wurm nach wie vor ist.

SpamAssassin 3.3.0 veröffentlicht

Die Apache Foundation hat den Mail-Spam-Filter SpamAssassin in Version 3.3.0 veröffentlicht. Zu den wichtigsten Änderungen gehören eine verbesserte IPv6-Unterstützung, Verbesserungen im DKIM-Plugin und das Auskoppeln der Regeln aus dem Paket, die nun separat verteilt und über das Tool sa-update installiert/aktualisiert werden.

Gefährliche Schwachstellen vom 26.01.2010

• bozohttpd:
  Pufferüberlauf beim Verarbeiten überlanger HTTP-Requests erlaubt Ausführung beliebigen Codes
• AOL:
  Pufferüberlauf-Schwachstelle im ActiveX-Control Phobos.dll erlaubt Ausführung beliebigen Codes
• Google Chrome:
  Mehrere Schwachstellen erlauben u.a. die Ausführung beliebigen Codes
• e107:
  Backdoor in Archiv der Version 0.7.17 gefunden (vom 25.01.2010, aktualisiert)
• e107:
  Unbekannte Schwachstelle erlaubt nicht näher beschriebenen 'very nasty exploit' (vom 25.01.2010, aktualisiert)

Carsten Eilers