Thema: Trojaner 2.0 nutzen Web 2.0

[SiLæncer]

Der Computerschädling SpyEye erfreut sich in der Cybercrime-Szene zunehmender Beliebtheit. Nun erhielt SpyEye eine neue Funktionalität: künftig sollen mit dem Tool auch DDoS-Angriffe durchgeführt werden können. Primäres Ziel dieser Funktionalität sind offenbar Sicherheitsexperten, die sich der Bekämpfung von SpyEye verschrieben haben.

Die modular aufgebaute SpyEye-Malware - die mittlerweile auch Elemente des früheren Konkurrenten ZeuS enthält, nachdem dessen Quellcode an den SpyEye-Entwickler verkauft wurde - erhielt in einer relativ aktuellen Version ein neues DDoS-Plugin. Das primäre Ziel sind offenbar SpyEye- und ZeuS-Tracker, wie sie einige Sicherheitsexperten betreiben. Diese Seiten informieren über aktuelle Kampagnen der Cyberkriminellen und versuchen so, die Nutzer davor zu warnen. Zudem helfen diese Seiten auch Internet-Providern, infizierte Rechner auf entsprechende Blacklists zu setzen und so an der Kommunikation mit den Kontrollservern des Botnets zu hindern.

Sicherheitsexperten vermuten nun, dass diese Seiten den Kriminellen wirklich empfindlichen Schaden zufügen - anderenfalls hätten diese sich kaum die Mühe gemacht, extra ein DDoS-Tool zu programmieren. Und bereits vor diesem Schritt waren diese Seiten Opfer zahlreicher DDoS-Angriffe und auch anderer Angriffsformen wie Social-Engineering-Kampagnen. In Cybercrime-Foren wird sogar über die Ermordung führender Botnet-Jäger diskutiert - ob diese Pläne allerdings einen realen Hintergrund haben oder doch eher lediglich der Frustration der Botnet-Herder entspringen, ist sehr fraglich.

Das DDoS-Plugin bietet momentan die drei Modi SYN Flood, UDP Flood und Slowloris Flood an. Dabei handelt es sich um drei bekannte DDoS-Taktiken. Es wird sich zeigen, ob diese Funktionalität zukünftig noch ausgebaut wird und in welchem Kontext sie Verwendung finden wird.


Quelle: www.gulli.com

[SiLæncer]

Microsofts Digital Crimes Unit hat nach eigenen Angaben das berüchtigte Rustock-Botnet infiltiriert, das aus etwa einer Million verseuchter, zu kriminellen Zwecken fernsteuerbarer PCs bestanden haben soll. Mit aufwendiger Forschungsarbeit und rechtlichen Mitteln habe sich das Unternehmen unter anderem Zugang zu den Steuer-Rechnern ("Command and Control Server") bei fünf Hosting-Providern in sieben US-Städten verschafft, sie analysiert und schließlich abschalten lassen. Die Vorgehensweise war ähnlich wie vor gut einem Jahr, als Microsoft das Waledac-Botnetz außer Betrieb gehen ließ.

Microsoft will weitere Schläge gegen kriminelle Infrastrukturen folgen lassen und legt Wert auf die Feststellung, dass dies kein einzelnes Unternehmen leisten könne, sondern dass international koordiniertes Vorgehen erforderlich sei. Im aktuellen Fall hätten unter anderem der Pharmahersteller Pfizer, die Sicherheitsfirma FireEye, Fachleute von der Uni Washington und die niederländische Polizei ihren Teil dazu beigetragen, das Botnetz lahmzulegen. Auch zum Entfernen der Rustock-Malware, die ja immer noch auf den Anwender-PCs lauert und auf neue Kommandos wartet, sei nun ein koordiniertes Vorgehen mithilfe von Internet-Providern nötig.

Rustock soll vor allem dazu gedient haben, Spam-Mails zu verbreiten. Ein spürbarer, nachhaltiger Rückgang des weltweiten Spam-Aufkommens könnte nun die Folge sein. IT-Sicherheitsfachmann und Journalist Brian Krebs beschreibt einen vollkommenen Zusammenbruch des von Rustock ausgehenden Spams. Auch die Statistiken des Anti-Spam-Projekts "NiX Spam", die nicht nur den Rustock-Ausstoß aufzeichnen, zeigen seit zwei Tagen einen Rückgang der als Ausgangspunkt von Spam registrierten IP-Adressen.

Quelle : www.heise.de

[SiLæncer]

Der Online-Banking-Trojaner SpyEye kann nun auch gezielt Zugangsdaten von Chrome- und Opera-Nutzern ausspähen, wie Sicherheitsexperte Brian Krebs berichtet. Bislang haben sich SpyEye und seine kriminellen Verwandten in erster Linie an die Fersen von Internet Explorer und Firefox geheftet.

Zwar war das Keylogger-Modul des Spionageprogramms schon zuvor in der Lage, Tastatureingaben des Opfers systemweit mitzuschneiden,das hat jedoch dazu geführt, dass viel Datenmüll produziert wurde, den die Angreifer mühevoll nach lukrativer Beute durchwühlen mussten. Die neuen Formgrabber-Module hängen sich nun in den Webbrowser und sammeln gezielt Daten, die das Opfer in Web-Formulare einträgt – etwa Kreditkarteninformationen oder die Zugangsdaten für das Online-Banking – und die dazugehören URLs.

SpyEye basiert auf dem Baukasten-Prinzip. Um den Schädling an die aktuelle Kampagne anzupassen, muss der Kriminelle nur ein paar Buttons im SpyEye-Builder anklicken, Programmierkenntnisse sind nicht notwendig. Das Programm spuckt anschließend den fertig konfigurierten Schädling aus. Auch um das Formgrabber-Modul hinzuzufügen genügt ein Häkchen an der richtigen Stelle. Für den Sicherheitsexperten ist der Angriff auf Chrome und Opera eine besorgniserregende Entwicklung, da sich viele Nutzer durch den geringen Marktanteil der beiden Browser in Sicherheit wiegen.

Da ist was faul: Google wirbt auf seinen Seiten
vermeintlich für ein Investmentprogramm

Auch der ehemalige Konkurrent ZeuS, der vor einem halben Jahr vom SpyEye-Entwickler "Harderman" übernommen worden sein soll, wird nicht müde, den Nutzern infizierter Rechner das Geld aus der Tasche zu ziehen: Kriminelle nutzen den Schädling, um seriös wirkende Werbebanner in Suchmaschinen wie Google und Bing sowie namhaften Webseiten wie AOL, Amazon, Apple, CNN, Citibank, Forbes, und ESPN einzuschleusen. Dies meldet Truster. Die Banner sind an das Design der jeweiligen Seite angepasst und werben für ein Investmentprogramm – von dem jedoch nur die Kriminellen profitieren.

Quelle : www.heise.de

[SiLæncer]

An mehreren Stellen im Internet ist ein Archiv aufgetaucht, dessen Inhalt sich als der Quellcode von ZeuS (Version 2.0.8.9) entpuppt. Dies hat der Malware-Experte Thorsten Holz im Gespräch mit heise security bestätigt. Er weiß nach eigenen Angaben schon seit mehr als zwei Wochen von dem Archiv. Inzwischen hat auch das IT-Sicherheitsunternehmen CSIS in einem Blogbeitrag die Entdeckung dokumentiert. Holz hält die heise security vorliegende RAR-Datei für authentisch und auch CSIS bestätigt, dass sich der Sourcecode für Trojaner und dazu gehörendes PHP-Panel kompilieren lässt. Im Archiv enthalten ist auch der Builder, der zum Erzeugen der ausführbaren Malware benötigt wird.

Unklar ist, wer den Quellcode in Umlauf gebracht hat und warum. Eines der kursierenden Archive ist mit einem Passwort geschützt, das üblicherweise AV-Hersteller zum Austausch von Viren in Archiven verwenden. Ob ein AV-Hersteller den Quellcode versehentlich preisgegeben hat, ist unklar. Andere Archive haben das Passwort zeus. Das Auftauchen des Codes erstaunt auch deshalb, da er erst vor knapp zwei Monaten erstmals in einem Untergrundforum zum Verkauf angeboten wurde. Nachdem der ZeuS-Autor ein Komplettpaket zuvor für zirka 10.000 Dollar verkauft hat, hielt der Sicherheitsfachmann Aviv Raff einen Preis von 100.000 US-Dollar für den Code für realistisch. Wahrscheinlicher dürften aber deutlich niedrigere Summen bis in den vierstelligen Bereich gewesen sein.

Mit Auftauchen des Sourcecodes wird ZeuS möglicherweise einen zweiten Frühling erleben, nachdem es zuvor vergleichsweise still wurde um die Malware. Berichten zufolge übergab im vergangenen Jahr der ZeuS-Entwickler "Slavik" seinen gesamten Sourcecode an den SpyEye-Entwickler "Harderman" und zog sich aus der weiteren Entwicklung zurück. RSA hat bestätigt, dass in SpyEye 1.3 Quellcodeteile von ZeuS enthalten sind. Laut Kaspersky ist im März aber noch eine neue, bislang nicht bekannte ZeuS-Version aufgetaucht. Dies spräche laut Kaspersky-Blog dafür, dass ein Entwickler aus Gründen der Kundenpflege neue Funktionen in den Trojaner integriert hat.

Des kursierenden ZeuS-Programmcodes werden sich jetzt mit großer Wahrscheinlichkeit verschiedene Programmierer annehmen. Sie können auf Basis des Quellcodes leicht neue Versionen erzeugen und in Umlauf bringen. Da die Codebasis aber auch den Antivirenherstellern seit längerem bekannt ist, dürfte eine neue Generation jedoch leichte Beute für AV-Scanner werden.

Quelle : www.heise.de

[SiLæncer]

Zwei Wochen nachdem der Quellcode des ZeuS-Bots seinen Weg ins Internet gefunden hat, sinkt die Einstiegshürde für Cyberkriminelle weiter: Unbekannte haben nun die Exploit-Packs BlackHole und Impassioned Framework in Umlauf gebracht, die unter Ausnutzung diverser Sicherheitslücken Windows-Systeme mit der eigentlichen Malware wie etwa ZeuS infizieren.

BlackHole zählt zu den professionellsten illegalen Angriffswerkzeugen, die man derzeit auf dem Schwarzmarkt erwerben kann, wie Threatpost berichtet. Normalerweise schlägt es mit 1500 US-Dollar jährlich zu Buche, weitere Angriffsmodule sind gegen Aufpreis erhältlich. Die Entwickler des Impassioned Frameworks verlangen 4000 Euro für die Jahreslizenz, wie heise Security in einem Untergrundforum in Erfahrung bringen konnte.

Zwar handelt es sich zumindest bei der veröffentlichten BlackHole-Version nicht um die aktuellste Ausgabe mit den neuesten Exploits. Da ein großer Teil der Windows-Nutzer die auf ihrem System installierten Anwendungen jedoch nicht regelmäßig aktualisieren, könnte ein Angreifer auch mit dem älteren Toolkit noch größeren Schaden anrichten.

BlackHole ist zwar erst seit kurzer Zeit auf dem Markt, wurde aber von Kriminellen schon für großflächige Angriffe eingesetzt. Das Framework besteht nach ersten Erkenntnissen von heise Security hauptsächlich aus PHP-Dateien, deren Quelltext mit dem Encoder ionCube geschützt ist. Eine Besonderheit von BlackHole ist laut Threatpost das Traffic Direction Script, mit dem man die Opfer in spe abhängig vom eingesetzten Browser und Betriebssystem auf verschiedene Landingpages umleiten kann.

heise Security warnt ausdrücklich vor dem Download der genannten Programme. Es handelt sich bei den Exploit-Packs um Schadsoftware, deren Besitz und Verbreitung im Sinne des Hackerparagraphen illegal ist. Außerdem kann die Software Hintertüren enthalten und unter Umständen auch das System befallen, auf dem sie ausgeführt wird.

Quelle : www.heise.de

[SiLæncer]

Sicherheits-Experten haben ein Botnetz entdeckt, das durch sein spezielles Design nahezu unzerstörbar ist. Die Betreiber haben sich offenbar intensiv Gedanken gemacht, wie die es verhindern können, dass ihnen die Infrastruktur weggenommen werden kann, indem ihnen die Kontrolle über die Command-and-Controll (C&C)-Server entzogen wird.

Das Botnetz wird unter dem Namen TDL-4 geführt. Es basiert auf einem Trojaner, der sich im Master Boot Record von infizierten Systemen festsetzt und dann für Sicherheits-Tools nur sehr schwer zu entdecken ist. Rund 4 Millionen Computer sollen inzwischen in die Botnetz-Infrastruktur integriert sein.

Die Verteilung von Aufgaben, die das Botnetz im Dienste seiner Betreiber ausführen soll, erfolgt über Peer-to-Peer-Technologien. Es ist also nicht mehr zwingend notwendig, einige zentrale C&C-Server zu betreiben, bei denen sich die einzelnen Zombie-Rechner ihre Instruktionen abholen. Allerdings gibt es auch bei TDL-4 noch C&C-Server als zweiten Kommunikations-Kanal, über den vermutlich schnelle Operationen durchgeführt werden sollen.

Um Fremden nicht die Gelegenheit zu geben, Instruktionen an das Botnetz zu senden, haben die Betreiber moderne Kryptographie-Verfahren in den TDL-4-Trojaner integriert. "TDL-4 ist praktisch unzerstörbar" schlussfolgerte Sergey Golovanov, Security-Forscher beim russischen Sicherheits-Dienstleister Kaspersky Labs. Dem stimmen auch andere Botnetz-Experten weitgehend zu.


TDL-4 belegt damit - auf seine zweifelhafte Weise - eindrucksvoll, dass der Wettbewerb zwischen Online-Kriminellen und Sicherheits-Experten zu einer neuen Entwicklungsstufe bei Malware geführt hat. "Die TDL-Leute tun ihr Bestes, um nicht die Nächsten zu sein, die ihr Botnetz verlieren", so Roel Schouwenberg, Malware-Forscher bei Kaspersky.

Um sich möglichst gut zu tarnen greift der TDL-4-Trojaner auch andere Malware an, die sich möglicherweise auf dem System befindet. So soll offenbar verhindert werden, dass andere Schadprogramme den Besitzer eines PCs auf sich aufmerksam machen und dafür sorgen, dass dieser bessere Security-Programme installiert.

Das Spektrum an Aufgaben, die das Botnetz ausführen kann, ist relativ breit angelegt. So können DDoS-Angriffe gegen bestimmte Systeme gefahren sowie Spam- und Phishing-Kampagnen durchgeführt werden.

Die Verbreitung des Trojaners erfolgt über "Geschäftspartner" der Betreiber. Diese betten die Malware unter anderem die von ihnen betriebenen Webseiten ein, auf denen Pornographie, Bootlegs oder Streaming-Dienste angeboten werden. Für jeweils tausend Installationen, die sie den Botnetz-Betreibern so bringen, erhalten sie im Rahmen einer Art Affiliate-Programms zwischen 20 und 200 Dollar.

Quelle : http://winfuture.de

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor einer neuen Variante des Online-Banking-Trojaners "ZeuS" gewarnt. Kriminelle versuchen derzeit, die Variante über Spam-Mails mit Download-Links zu verbreiten. Die laut BSI in nahezu fehlerfreiem Deutsch verfassten E-Mails sollen den Empfänger dazu verleiten, den in der E-Mail enthaltenen Link anzuklicken.

Über den Link wird eine Zip-Datei heruntergeladen, die den Trojaner enthält. Der versucht sich als DOC-Datei zu tarnen, obwohl es sich um eine ausführbare EXE-Datei handelt ("UploadDocIndex30.Doc_______________.exe"). Die Namen des ZIP-Archivs können etwa "Konto055.zip" oder "UploadDocIndex30.zip" tragen.

Die Betreffzeilen der Spam-Mails lauten unter anderem "Werkzeuge 425-736", "Die Zahlung 785-774" oder einfach nur "Antwort". Der Mailtext beginnt mit Formulierungen wie "Die Antwort auf Ihre Frage uber das Profil finden Sie auf unserer Webseite", "Der Gesetzentwurf muss bis zur nachsten Woche bezahlt werden" oder "Anbei senden wir Ihnen die Lizenzschlussel und die entsprechenden Downloadlinks fur folgende Produkte".

Die neue Schädlingsvariante wird auf Virustotal bislang nur von wenigen Virenscannern als ZBot (ZeuS) erkannt. Das BSI empfiehlt daher, derartige E-Mails umgehend zu löschen und keinesfalls den darin angegeben Link anzuklicken oder die heruntergeladene Datei zu öffnen.

Quelle : www.heise.de

[SiLæncer]

Der Microsoft-Anwalt Richard Boscovich hat Äußerungen des russischen Security-Unternehmens kritisiert, wonach dessen Spezialisten mit TDL-4 ein Botnetz entdeckt hätten, das nahezu unzerstörbar ist. Boscovich war selbst direkt mit an der Abschaltung des Rustock-Botnetzes beteiligt.

Die Einschätzung Kasperskys basiert darauf, dass TDL-4 keine zentrale Command-and-Controll (CnC)-Infrastruktur voraussetzt. Statt dessen verbreiten die Zombie-Rechner Aufgaben über verschlüsselte P2P-Kommunikationswege. Damit kann das Botnetz nicht mehr ausgeschaltet werden, indem man die Standorte der CnC-Server herausfindet und diese unter eigene Kontrolle bringt, wie es bei den meisten bisherigen Aktionen der Fall war.

Laut Boscovich müsse man sich im Falle von TDl-4 eben andere Wege einfallen lassen. "Wenn jemand sagt, dass ein Botnetz unzerstörbar ist, ist derjenige technisch oder juristisch nicht besonders kreativ", sagte der Chef-Anwalt der Digital Crime Unit gegenüber dem US-Magazin 'ComputerWorld'. "Nichts ist unmöglich."

Er geht davon aus, dass Microsoft auch einen wichtigen Beitrag zur Ausschaltung von TDL-4 beitragen kann. Immerhin habe der Konzern in den letzten beiden Jahren umfangreiche Erfahrungen in der Stillegung der Botnetze Waledac, Coreflood und Rustock gemacht. "Zu sagen, dass es nicht geschafft werden kann, unterschätzt die Fähigkeiten der guten Seite", so Boscovich weiter. "Die Leute neigen dazu, zu sagen, die schlechten Jungs seien intelligenter und besser. Aber die Antwort darauf ist ein Nein."

Auch bei Waledac seien seinerzeit P2P-Kommunikationskanäle vorhanden gewesen. Es sei aber gelungen, erfolgreich Code in diese einzuschleusen und das Botnetz damit für seine eigentlichen Betreiber zu verschließen. Jede Botnetzabschaltung sei zwar anders und auf ihre Art kompliziert, woraus aber keinesfalls geschlossen werden könne, dass es nicht möglich ist, erklärte der Anwalt.

Quelle : http://winfuture.de

[SiLæncer]

Microsoft hat ein Kopfgeld in Höhe von 250.000 US-Dollar für Hinweise ausgeschrieben, die zur Ergreifung der ehemaligen Betreiber des Rustock-Botnets führen. Der Konzern hatte bereits mit Anzeigen in russischen Tageszeitungen um Hinweise gebeten, die jedoch offensichtlich nicht zum erwünschten Erfolg führten. Rustock wurde im März dieses Jahres mit einem juristischen Trick von Microsofts Digital Crimes Unit (DCU) außer Gefecht gesetzt.

Das Botnetz war für einen erheblichen Anteil des weltweiten Spam-Aufkommens verantwortlich und konnte auf rund 1,6 Millionen infizierte Rechner zurückgreifen – die Hälfte davon soll nach wie vor mit der Schadsoftware infiziert sein. Laut Microsoft war das Botnetz zu Spitzenzeiten in der Lage, 30 Millionen Spam-Nachrichten täglich zu versenden. Detaillierte Informationen über den laufenden Prozess gegen die Kriminellen liefert eine eigens eingerichtete Website. Hinweise auf die Täter nimmt Microsoft unter der Mailadresse avreward@microsoft.com entgegen.

Quelle : www.heise.de

[SiLæncer]

Die Sicherheitsexperten aus dem Hause BitDefender haben einen neuen Trojaner identifiziert, der sich über bekannte Plattformen wie Facebook und YouTube verbreitet, getarnt als Update für den Flash-Player auf den Rechner gelangt und dann AntiViren-Software sowie die automatischen Windows-Updates deaktiviert.

Im Falle des als Trojan.FakeAV.LVT bezeichneten Schädlings erhält das Facebook-Mitglied einen Link von einem Bekannten, der zu einem Video führt, in dem der angeschriebene User angeblich auftritt. Klickt der Nutzer die URL an, wird er auf das Videoportal YouTube weitergeleitet und sieht zunächst den Titel des Clips, der seinen vollständigen Namen enthält. Außerdem sind gefakte Kommentare von Facebook-Freunden zum Video aufgeführt. Um die Aufzeichnung sehen zu können, muss der User ein Update seines Flash Player durchführen – und lädt sich damit den Trojaner auf seinen Rechner.

Nach dem Download schaltet der Trojaner sämtliche vorhandenen Antivirus-Programme ab. Dabei geht er besonders listig vor. Denn der Threat erkennt die eingesetzte Sicherheitssoftware und imitiert daraufhin eine gefälschte Informationsmeldung im Design des Programms mitsamt der verwendeten Spracheinstellung.

In dem Info-Pop-Up wird der User dazu aufgefordert, seinen Rechner neu zu starten, damit das Programm angebliche Desinfizierungen vornehmen kann. Danach startet das System automatisch im gesicherten Modus, da der Schädling die Boot Configuration Data (BCD)-Dateien infiltriert und nach seinen Zwecken manipuliert.

Zusätzlich erstellt der Schädling einen Registrierungsschlüssel in "%SYSTEM%" und fügt sich entweder eigenständig als erlaubte Applikation in den Windows Firewall-Regeln hinzu oder deaktiviert gleich die komplette Firewall. Des Weiteren schaltet Trojan.FakeAV.LVT die Benachrichtigungsfunktion der Firewall sowie die Systemupdates ab.

Nicht zuletzt bringt der Übeltäter noch eine Download-Komponente mit sich, die in Abhängigkeit vom Betriebssystem Dateien von verschiedenen URLs abruft. Diese enthalten eine Liste verseuchter IP-Adressen, die unter %windir%\front_ip_list.txt abgespeichert werden. Zwischen dem Rechner und den anderen kompromittierten Systemen erfolgt daraufhin ein permanenter Austausch von Schadsoftware.

Quelle : http://winfuture.de

[SiLæncer]

Das so genannte Miner-Botnetz hat nachgeladen: Zusätzlich zu den Komponenten zur Bitcoin-Erzeugung verfügt es nun über ein Modul, um gezielt Web-Seiten lahmzulegen. Im Visier sind vor allem deutsche Pizza-Dienste und Immobilien-Portale.

Das Bot-Netz hat es in sich. Zunächst kommuniziert es nicht über einen zentralen Server sondern über ein verteiltes Peer-to-Peer-Netz. Primärers Einsatzszenario war zunächst das Erschaffen von Bitcoins, einer Art vituelle Web-Währung. Doch Kaspersky-Experte Tillmann Werner hat entdeckt, dass die infizierten Rechner kürzlich eine neue Datei namens "ddhttp.exe" nachgeladen haben. Diese Datei entpuppte sich bei näherer Analyse als eine Variante des Bots für HTTP-Flooding-Angriffe, die Web-Server durch massenhafte Abfragen lahmlegen.

Die Liste der Opfer wird von dem Programm regelmäßig aus dem Botnetz bezogen. Wie Tillmann Werner gegenüber heise Security erklärte, beschränken sich die Angriffe auf 31 deutsche und 2 österreichische Sites und da offenbar auch nur auf bestimmte Branchen: Alle Zielsysteme hosten entweder Immobilienportale oder Portale aus der Lebensmittelbranche, etwa Pizza-Bestelldienste.

Nur kurze Zeit später wurde noch ein weiteres Modul für Distributed Denial of Service Angriffe (DDoS) nachgeladen, diesmal für UDP-Flooding-Attacken. Die Opferliste dafür ist kürzer, aber nicht weniger interessant: Sie enthält IP-Adressen von Dienstleistern mit Lösungen zur DDoS-Abwehr. Möglicherweise handelt es sich hier um eine Reaktion der Botnetz-Betreiber auf Gegenmaßnahmen ihrer Opfer, um diese doch noch effektiv zu schädigen.

Einige der Firmen auf der Liste haben Kaspersky gegenüber den DDoS-Angriff bestätigt und zählen mehrere Hunderttausend angreifende Systeme. Eines der bekanntesten Opfer ist das Portal pizza.de. Die Firma registrierte während eines Angriff über 3 Stunden Zugriffe von rund 50.000 IP-Adressen, die etwa 20-30.000 Anfragen pro Sekunde erzeugten.

Die Frage nach der Motivation für die Angriffe ist noch ungeklärt. Glücklicherweise werden seit gestern alle Attacken ausgesetzt. Das Botnetz existiert jedoch unverändert fort, da sich ein Peer-to-Peer-Netz nicht ohne weiteres stilllegen lässt. Im schlimmsten Fall ist nach einem ersten Warnschuss nun mit Angriffen von längerer Dauer zu rechnen.

Quelle : www.heise.de

[SiLæncer]

Wie bereits berichtet hat sich das Bot-Netz Miner mittlerweile auf DDoS-Attacken auf deutsche Web-Sites spezialisiert. Betroffen sind vor allem Pizza-Dienste wie pizza.de und Seiten aus der Immobilien-Branche. Nachdem das Bot-Netz eine kurze Pause eingelegt hatte, berichten nun Leser, dass die Angriffe am Donnerstagabend um 20 Uhr erneut begonnen hätten.

Die über 100.000 Bot-Netz-Clients rufen dabei massenhaft Seiten ab und versuchen so dafür zu sorgen, dass der Server wegen Überlastung nicht zu erreichen ist. Die Anfragen lassen sich in den Log-Dateien leicht an ihren charakteristischen User-Agent-Strings erkennen. Viele haben etwa als Sprache "ru" gesetzt.

Tillmann Werner von Kaspersky bestätigt die neue Angriffswelle. Die Liste der Ziele für das HTTP-Flooding ist dabei gleich geblieben; nur ein neues Opfer für UDP-Flooding ist hinzugekommen. Ein Teil der Betroffenen greift jetzt zu harten Maßnahmen, um die Server erreichbar zu halten. So filtern sie etwa auf vorgelagerten Routern Zugriffe von allen IP-Adressen, die nicht aus Deutschland stammen. Das sperrt zwar unter Umständen auch legitime Nutzer aus, hält den Dienst aber für die Mehrzahl der Anwender erreichbar. Eine Denial-of-Service-Attacke aus der Sicht eines Betroffenen beschreibt übrigens der Artikel Tatort Internet: Nach uns die SYN-Flut.

Quelle : www.heise.de

[SiLæncer]

In einschlägigen Untergrundforen wird ein funktionierender Botnet-Baukasten "Aldi Bot" für 10 Euro angeboten. Das berichtet der AV-Hersteller G DATA in seinem Blog. Demnach beruht der "Aldi Bot Builder" vermutlich auf dem vor einigen Wochen im Netz aufgetauchten Quellcode des ZeuS-Bots. Mit der Lebensmittelkette hat der Schädling jedoch nichts zu tun. Warum die Namenswahl des Malware-Autoren ausgerechnet auf Aldi fiel, ist unklar. Vermutlich liegt es am vergleichsweise geringen Discount-Preis.

Aldi Bot kann (gespeicherte) Passwörter aus dem Firefox-Browser, dem Messenger Pidgin und dem Download-Tool JDownloader auslesen und an einen im Lieferumfang enthaltenen Comand&Control-Server senden. Daneben kann Aldi Bot "Distributed Denial of Service"-Attacken durchführen, was der "Aldi Bot"-Autor in einem Video auf YouTube anhand der Webseite des Bundeskriminalamts demonstriert. Der Bot lässt sich zudem als SOCKS-Proxy einrichten, um infizierte Rechner als Proxy für beliebige Protokolle zu missbrauchen. Um ein System mit dem Discount-Schädling zu infizieren, sind allerdings zusätzliche Maßnahmen erforderlich, etwa Exploit-Packs auf infizierten Webseiten.

Aldi Bot wird laut G DATA in seiner Reinform von aktuellen Virenscannern erkannt. Um dies zu umgehen, präparieren Maware-Autoren ihre Software in der Regel mit speziellen Packern oder Crypt-Tools. Der niedrige Preis des Volks-Bot erklärt der Autor laut G DATA mit dem Desinteresse an Geld. Er sei am Programmieren interessiert. Trotz des niedrigen Preises soll sogar Support per Chat zum Bot-Paket gehören. Dabei soll der Autor auch Laien, Skript Kiddies und anderen Noobs die Installation und Bedienung erklären. Die Spezialisten von G DATA befürchten nun, dass sich Botnetze zum Massenmarkt entwickeln könnte – dabei sei es egal, ob zum Geld machen oder nur zum Spaß.

Quelle : www.heise.de

[SiLæncer]

Der IT-Gigant Microsoft beteiligte sich offenbar an einer weiteren erfolgreichen Aktion gegen ein Botnet. Auf juristischem Wege gelang es Microsoft eigenen Angaben zufolge, das Botnet "Kelihos", das auf das Abgreifen sensibler Daten von infizierten Rechnern sowie auf den Versand von Spam-Mails spezialisiert war, auszuschalten.

Kelihos war angeblich in der Lage, bis zu vier Milliarden Spam-Mails am Tag zu versenden, und umfasste zuletzt rund 42.000 infizierte Rechner. Dagegen ging Microsoft auf juristischem Wege vor. Das Software-Unternehmen erlangte einen geheimen Richterbeschluss, der 21 Domains - darunter cz.cc, einen freien Domain-Registrierungs-Service in der tschechischen Republik - vom Netz nahm. Dadurch wurden die Command-and-Control-Server von Kelihos ausgeschaltet und das Botnet somit unbrauchbar, da die Bots keine Befehle oder Updates mehr empfangen konnten. Erst hinterher wurde der zugrunde liegende gerichtliche Prozess öffentlich gemacht.

Auf ähnlichem Wege gelang es Microsoft zuvor, die Botnets Rustock und Waledac auszuschalten. Wie Experten anmerken, waren Waledac und Kelihos sich im Hinblick auf ihren Quellcode äußerst ähnlich. Womöglich handelte es sich bei Kelihos sogar um einen Versuch der Waledac-Betreiber, ihr Botnet wieder aufzubauen. Dementsprechend schrieb Richard Domingues Boscovich, einer der leitenden Juristen in Microsofts "Digital Crimes Unit", am gestrigen Dienstag in einem Blog-Eintrag: "Der Kelihos-Takedown soll eine starke Botschaft an diejenigen hinter den Botnets schicken, dass es nicht klug von ihnen ist, einfach zu versuchen, ihren Code zu aktualisieren und ein Botnet wieder aufzubauen, sobald wir es auseinander genommen haben. Wenn Microsoft ein Botnet vom Netz nimmt, beabsichtigen wir, dass es auch inaktiv bleibt - und wir werden weiterhin aktiv werden, um unsere Kunden und Plattformen zu schützen und Bot-Herder für ihre Aktionen zur Verantwortung zu ziehen".

Der Betreiber von cz.cc, Alexander Piatti, soll nicht nur bei Kelihos eine maßgebliche Rolle durch das Ausstellen von Domains gespielt haben. Er soll auch bei anderen Online-Betrügereien, darunter der "Mac Defender"-Scareware, eine ähnliche Rolle gespielt haben. Auf ihn könnten nun rechtliche Konsequenzen zukommen.

Quelle: www.gulli.com

[SiLæncer]

Mit der populären Malware "ZeuS" kontrollierte Botnets werden künftig schwerer auszuschalten sein. Dafür sorgt ein Update, das ZeuS eine Peer-to-Peer-Funktionalität spendiert. So können die Bots beim Wegfall der Kommando-Server Befehle und Updates untereinander weitergeben und so handlungsfähig bleiben. Andere Botnets arbeiten teilweise schon seit Jahren mit derartigen Techniken.

Das Update steht allerdings bislang nur für eine speziell angepasste ZeuS-Variante namens "Murofet" zur Verfügung. Es dürfte Regierungen und Sicherheitsexperten das Ausschalten von Murofet-Botnets durch Ausschalten oder Infiltrieren der Command-and-Control-Server erheblich erschweren, wie die Experten vom "Zeus Tracker" erklären. Ein Mitarbeiter des Zeus Tracker, der ungenannt bleiben will, berichtete, man habe bereits 100.000 mit der neuen, robusteren Malware-Variante infizierte Systeme ausfindig gemacht.

Murofet-Rechner verfügen bei Installation offenbar über eine Liste von IP-Adressen, zu denen sie dann per P2P Kontakt aufnehmen. Von diesen Rechnern erhalten sie dann die Adressen weiterer mit dem Netzwerk verbundener Bots. Falls die kontaktierten Maschinen über eine aktuellere Software-Version verfügen, verschicken sie diese zusätzlich als Update.

Andere Botnets wie TDL-4 oder Waledac verfügen schon seit Jahren über eine P2P-Funktionalität. So ist es keine Überraschung, dass die äußerst populäre ZeuS-Malware nun nachzuziehen beginnt.

Sicherheitsexperten sehen aber noch immer Angriffsvektoren, über die sich auch Murofet-Botnets ausschließen ließen. Dies sei zwar schwieriger als bisher, aber "der neue Super-Trojaner" sei ZeuS auch in der neuen Variante nicht, erklärte der anonyme Zeus Tracker-Mitarbeiter.

Quelle: www.gulli.com