Autor Thema: Trojaner 2.0 nutzen Web 2.0  (Gelesen 10555 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Banking-Trojaner ZeuS nimmt SMS-TAN-Verfahren ins Visier
« Antwort #60 am: 27 September, 2010, 15:19 »
Neue Varianten des Banking-Trojaners ZeuS nehmen jetzt das SMS-TAN-Verfahren (beziehungsweise mobile TAN, mTAN) ins Visier, berichtet  der Sicherheitsdienstleister S21sec in seinem Blog. Beim SMS-TAN-Verfahren werden Transaktionsnummern (TANs) für Online-Bankgeschäfte auf das Handy des Kunden geschickt, mit denen dieser über einen Webbrowser dann etwa eine Online-Überweisung legitimiert. Dieser zweite Übertragungskanal soll übliche Phishing- und Trojanerangriffe ins Leere laufen lassen. Das Verfahren lässt sich nämlich nur dann aushebeln, wenn der Anwender die in der SMS angegebenen Daten nicht sorgfältig prüft, sein Handy gestohlen wird oder das Gerät mit einem Trojaner infiziert ist, der die SMS an den Phisher weiterleitet.

Den letzten Weg haben nun die Entwickler von ZeuS implementiert, wobei sie mehrstufig vorgehen, um den Trojaner auf ein Gerät zu bekommen. Wichtigster Schritt bleibt weiterhin die Infektion eines Windows-PCs. Anschließend wird dem Opfer beim Aufruf einer Bankenseite eine nachgemachte Seite im Browser untergeschoben, die vorgibt, eine Sicherheitsaktualisierung für das Handy sei notwendig.

Dazu soll das Opfer seine Handynummer eingeben, um per SMS den Link zum Download zugesendet zu bekommen. Prompt verschickt der Trojaner über den infizierten PC eine SMS mit einem Link zu einem vermeintlich neuen Sicherheitszertifikat. Das soll der Anwender mit seinem Mobiltelefon herunterladen und installieren – eine Internetverbindung des Handys vorausgesetzt.

In der heruntergeladenen Datei steckt jedoch die Mobilversion von ZeuS, die alle eingehenden SMS analysiert und weiterleitet. Daneben führt es auch per SMS übermittelte Befehle aus. Laut S21sec gibt es eine Trojaner-Version für Symbian (.sis) und BlackBerry (.jad). Mit den zuvor bereits auf dem PC abgegriffenen Zugangsdaten zum Konto und der weitergeleiteten TAN ist der Betrüger schließlich in der Lage, Überweisungen auf dem Konto vorzunehmen. Bislang hat sich diese Variante von ZeuS aber offenbar noch nicht besonders weit verbreitet. Unabhängig davon zeigt es aber einen Weg, das SMS-TAN-Verfahren bei mehr oder minder unvorsichtigen Anwendern auszuhebeln. Vermutlich dürften weitere Trojaner-Entwickler bald auf diesen Zug aufspringen.

Derweil hat McAfee eine Analyse des Trojanerbaukastens "ZeuS Builder" in seinem Blog veröffentlicht, mit dem sich Kriminelle mit wenigen Klicks ihre maßgeschneiderte ZeuS-Version zusammenstellen können. Demnach ist ZeuS auch in der Lage, die Eingaben auf virtuellen Tastaturen mitzulesen, bei der man PINs und TANs nicht per Tastatur sondern per Mausklick eingibt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Lücke in ZeuS-Botnetzen ermöglicht Übernahme
« Antwort #61 am: 27 September, 2010, 17:25 »
Eine Schwachstelle im Webfrontend des Steuerservers (C&C-Server) für ZeuS-Botnetze ermöglicht es, die Kontrolle über ein System zu erlangen. Angreifer könnten damit die dazugehörigen Bots steuern, den C&C-Server unbrauchbar machen oder bereits abgelegte, gestohlene Daten auslesen (und/oder löschen). Das ab 500 US-Dollar erhältliche ZeuS-Toolkit ermöglicht es Kriminellen, individuelle Botnetze aufzubauen.

Der Fehler soll in den vor Januar dieses Jahres erschienenen Versionen des ZeuS-Toolkits zu finden sein. Der Sicherheitsspezialist Billy Rios hatte ihn während eine Analyse des Toolkits gefunden. Er beruht auf der unzureichenden Prüfung verbotener Dateiendungen beim Hochladen. So war es Rios möglich, über die Funktion zum Hochladen von Log-Dateien (BOTLOG) einzelner Bots ein eigenes PHP-Skript hochzuladen und später durch Angabe des richtigen Pfades im Webbrowsers mit den Rechten des Servers auszuführen.

Vor dem Hochladen des Skripts musste er jedoch den für jeden Bot einzeln vergebenen RC4-Schlüssel zum Verschlüsseln der Kommunikation finden – beispielsweise zur Laufzeit aus dem Speicher eines infizierten PCs. Rios hat ein Proof-of-Concept veröffentlicht, das einem C&C-Server einen Bot vorgaukelt und eine Backdoor auf einen verwundbaren Server lädt. Da der ZeuS-Code als Grundlage für andere Botnetze dient, dürfte der Fehler auch in deren C&C-Servern zu finden sein.

Witzigerweise hat Rios versucht, den Hersteller im Rahmen der verantwortungsvollen Offenlegung zu informieren – mit der Folge, dass er haufenweise Viagra-Spam-Mails erhielt.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Bugat-Malware macht ZeuS Konkurrenz
« Antwort #62 am: 14 Oktober, 2010, 11:36 »
In den letzten Jahren erfreute sich die nach dem Baukasten-System aufgebaute ZeuS-Malware enormer Beliebtheit bei Online-Kriminellen. Dieser Trend kehrt sich jedoch langsam um: immer mehr Online-Betrüger setzen statt auf ZeuS auf eine neuere Malware namens Bugat, berichten Experten.

Lange Zeit war ZeuS einer der beliebtesten Malware-Typen der Cybercrime-Szene. Die Malware funktioniert nach dem Baukasten-System und wird mit einer umfassenden Dokumentation auf dem Schwarzmarkt angeboten. Somit konnte jeder Nutzer die benötigten Features auswählen und hinzufügen.

Nun jedoch scheinen immer mehr Cyberkriminelle umzusteigen auf eine andere Malware namens Bugat. Noch hat Bugat nicht die Popularität von ZeuS, aber es tauchte bei aktuellen Attacken bereits mehrfach auf.

IT-Sicherheitsexperten sehen den Trend mit einiger Sorge. Sie berichten, durch spektakuläre Fälle seien viele Admins für die Gefahren von ZeuS sensibilisiert gewesen und hätten nach solchen Angriffen Ausschau gehalten. Bei einem neuen Malware-Typ würde dies vermutlich nicht mehr so gut funktionieren. Da ZeuS und Bugat häufig durch verseuchte E-Mails verbreitet werden, ist die Vorsicht der Benutzer häufig der beste Schutz.

Dies könnte natürlich einer der Gründe sein, wieso die Szene momentan zunehmend Alternativen zu ZeuS sucht. Die Internet-Sicherheitsfirma Trusteer bezeichnete das Verhältnis zwischen Online-Kriminellen und IT-Sicherheitsexperten als "Wettrüsten" - dazu gehöre es unter anderem, bekannte Malware häufig zu verändern oder nach einer Weile auf neue Malware-Typen umzusteigen.

Technisch gesehen bietet Bugat keine radikalen Neuerungen gegenüber anderen beliebten Malware-Typen. Der Schädling injiziert bösartigen Code in den Browser - offenbar funktioniert er momentan nur mit Internet Explorer und Firefox -, über den er dann Online-Banking-Daten stiehlt. Diese werden dann von den Cyberkriminellen für ihre betrügerischen Aktivitäten benutzt.

Quelle: www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Spion schluckt Spion
« Antwort #63 am: 26 Oktober, 2010, 12:30 »
Anfang des Jahres rivalisierten die vermutlich russischen Entwickler der Trojaner-Baukasten ZeuS (aka ZBot) und SpyEye noch miteinander, nun scheint der eine den anderen geschluckt zu haben. Laut Recherchen von Brian Krebs soll der ZeuS-Entwickler "Slavik" seinen gesamten Sourcecode an den SpyEye-Entwickler "Harderman" übergeben und sich aus der weiteren Entwicklung zurückgezogen haben.

Für Support-Anfragen, für die er ZeuS-Baukastenkäufern bislang zu Verfügung stand, soll er nicht mehr erreichbar sein. Laut Angaben des SpyEye-Entwickler soll die Übergabe des ZeuS-Codes jedoch an die Bedingung geknüpft gewesen sein, dass Hardermann den Support für bezahlte Baukästen übernimmt.

Über die Gründe für den Rückzug gibt es keine genauen Angaben, angeblich soll sich der ehemalige ZeuS-Entwickler komplett aus dem Internet zurückgezogen haben. Möglicherweise wurde ihm der Boden zu heiß, weil ihm aufgrund des Erfolgs von ZeuS einige Ermittler auf der Spur sein dürften und ZeuS immer mehr ins Rampenlicht gerät. ZeuS ist unter anderem für die steigenden Schadenszahlen beim Online-Banking verantwortlich. Kürzlich hatte Microsoft ZeuS-Signaturen in sein Malicous Software Removal Tool aufgenommen.

Ob der ZeuS-Code in weitere Entwicklungen von SpyEye einfließt, bleibt abzuwarten. Bislang verkaufte der SpyEye-Entwickler sein Produkt als ZeuS-Killer, der nicht nur bessere Funktionen aufweise, sondern ZeuS auf bereits infizierten PCs auch löschen könne.

Unterdessen scheint ein weiteres Botnetz das Zeitliche gesegnet zu haben. Niederländische Ermittlungsbehörden haben nach eigenen Angaben das Bredolab-Botnetz zu Fall gebracht, indem sie 143 Comand&Control-Server vom Netz genommen haben. Schätzungsweise 30 Millionen Windows-PCs sollen weltweit mit dem Trojaner Bredolab infiziert sein.

Nach Beobachtungen des "Dutch High Tech Crime Team" habe das Botnetz durch den Versand infizierter E-Mails monatlich 3 Millionen neue PCs befallen können. Interessanterweise wollen die Behörden offenbar die Struktur des Botnetzes nutzen, um betroffene Anwender über die Infektion ihres PCs zu informieren. Dazu sollen Anwender beim nächsten Login eine Nachricht mit Informationen über den Grad der Infektion sowie Tipps zur Desinfektion erhalten.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Ausgeschaltetes Bredolab-Botnet zeigt Rest-Aktivität
« Antwort #64 am: 29 Oktober, 2010, 18:47 »
Das Bredolab-Botnet ist eigentlich ein gutes Beispiel für einen erfolgreichen Takedown. Die meisten der "Command and Control"-Server des Botnets wurden erfolgreich an der Kommunikation mit den infizierten "Zombies" gehindert, die Opfer informiert und die mutmaßlichen Betreiber des Botnets in Armenien verhaftet. Eigentlich eine Erfolgsgeschichte. Allerdings zeigt Bredolab trotzdem noch Aktivität.

Im Zusammenhang mit Bredolab - einem Botnet, das vor allem dem Spamversand und der Verbreitung von Scareware diente - nahm die niederländische Polizei insgesamt 143 Server vom Netz. Insgesamt soll das Botnet 30 Millionen Rechner umfasst haben. Die niederländische IT-Sicherheitsfirma Fox-IT nutzte die Kommunikationskanäle des Botnets selbst, um betroffene Nutzer auf die Infektion ihres Rechners aufmerksam zu machen. Die Opfer wurden auf eine im Netz bereitgestellte Warn- und Informationsseite verlinkt.

Allerdings bleiben weiterhin zwei Kontrollserver des Botnets aktiv. Ein dritter zeigte eine kurzfristige Reaktivierung, scheint mittlerweile aber wieder offline zu sein. Da sich die Server in Kasachstan und Russland befinden, könnte sich ein Takedown schwierig gestalten.

Die IT-Sicherheitsfirma FireEye, die sich ebenfalls mit Bredolab befasst, vermutet, dass ein Teil des Botnets noch immer aktiv ist. Sie vermuten, dass die verbliebenen Zombies von einer zweiten Gruppe von Cyber-Kriminellen mit neuen Anweisungen versorgt werden. Ob es sich bei diesen Kriminellen jedoch um Menschen handelt, die den Quellcode des Botnets aus irgendwelchen Leaks entnommen und das Rest-Netz nun "gehijackt" haben oder ob womöglich Mieter eines Teils des Netzes dieses nun einfach weiterbenutzen, ist bisher unklar.

Die niederländische Polizei untersucht nach eigenen Angaben den Fall weiterhin und betrachtet auch den Takedown noch nicht als abgeschlossen.

Quelle: www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Honigtopf, vice versa
« Antwort #65 am: 03 November, 2010, 15:33 »
Kriminelle haben ihre Botnetz-Kontrollserver offenbar mit Funktionen ausgestattet, um Neugierige in die Irre zu führen und zu beobachten sowie Analysen zu erschweren. Das schreibt der Sicherheitsdienstleister Tllod (The Last Line of Defense) in seinem Blog. Demnach gaukelte der Server bei der Eingabe vermeintlich leicht zu erratender Zugangsdaten einen erfolgreichen Login in eine rudimentäre Weboberfläche vor.

Zum Login genügte etwa die Kombination admin/admin. Der untersuchte Server war sogar auf SQL-Injection-Angriffsversuche auf das Passwortfeld vorbereitet und täuschte vor, auf Eingaben wie 'or 1=1--" hereinzufallen. Nach dem Login protokollierte der Server sämtliche Aktivitäten mit. Nach Meinung von Tllod sei ein möglicher Zweck der Täuschung, die Vorgehensweise potenzieller Eindringlinge zu analysieren. Bislang kennt man solche Honeypots eigentlich nur mit dem umgedrehten Ansatz: Sicherheitsforscher wollen die Arbeitsweise von Kriminellen unter die Lupe nehmen.

Tllod hatte während der Analysen des Sourcecodes eines von Kriminellen installierten Kontrollservers zudem festgestellt, dass in der Statistik zur Anzahl der infizierten PCs (Bots) und der verwendeten Exploits der Server zufällige Zahlen anzeigte. Die Zahlen war also nicht zu gebrauchen – Botnetz-Forscher sollten bei Kontrollservern anderer Netze die Zahlen ebenfalls misstrauisch betrachten. In der Vergangenheit hatten Sicherheitsdienstleister des Öfteren die internen Statistiken übernommener Kontrollserver veröffentlicht.

Darüber hinaus täuschte die Weboberfläche des untersuchten Servers eine Funktion zum Hochladen einer ausführbaren Datei auf die Bots vor. Die Datei wurde jedoch nur gespeichert – vermutlich für spätere Analysen.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Koobface-Server vom Netz genommen
« Antwort #66 am: 14 November, 2010, 18:46 »
Ein britischer Internetprovider hat den Command-and-Control-Server des Social-Networking-Botnetzes Koobface vom Netz genommen, nachdem Fachleute der SecDev Group britische Ermittlungsbehörden über den Server informiert hatten. Das wird das Botnetz zwar vorübergehend behindern, aus dem Spiel sind die Hintermänner von Koobface damit aber nicht. Es ist vermutlich nur eine Frage der Zeit, bis die infizierten Rechner auf einen neuen Server umgeleitet werden.

Koobface (ein Anagramm von Facebook) verbreitet sich einer Analyse (PDF) der kanadischen SecDev Group zufolge vor allem über soziale Netzwerke. Dort verschickt es Links auf Webseiten, die den Computer mit Schadsoftware infizieren. Geld verdienen die Botnetz-Betreiber, indem sie die übernommenen PCs Klicks auf Online-Anzeigen oder Downloads von Scareware ausführen lassen. Obwohl jeder Klick nur einen minimalen Schaden verursacht, verdienen

Die Protagonisten von Koobface versuchen, sich bewusst von den "bösen Trojanern" wie Zeus zu distanzieren: "Unsere Software hat niemals Kreditkarteniformationen, Bankzugangsdaten, Passwörter oder andere vertrauliche Daten gestohlen. Und wird das auch nie tun" versicherten sie. Später sammelten sie dann aber doch Passwörter für E-Mail-, Facebook- und IM-Accounts ein.

Das Geschäftsmodell von Koobface mit unzähligen winzigen Transaktionen schützt die Hintermänner vor allzu zielstrebiger Verfolgung. Die Schäden belaufen sich im Einzelfall auf nur winzige Beträge, auch wenn letztendlich durch die Vielzahl der Fälle große Summen zusammenkommen. Die Protagonisten verdienen nach einer Analyse von SecDev rund 2 Millionen US-Dollar pro Jahr.

Die Polizei und Staatsanwaltschaften tun sich jedoch schwer, konkrete Straftaten oder Schadensfälle auszumachen, die den erforderlichen Ermittlungsaufwand für eine gezielte Verfolgung der Hintermänner rechtfertigen. Zudem läuft das Geschäft über Ländergrenzen hinweg, was zeitraubende Amtshilfeersuchen erforderlich macht. "Daher war es für uns nicht überraschend, dass es [im Falle von Koobface] keine Strafverfolgung oder Festnahme gab", resümiert die SecDev Group.

Der Schlag gegen Koobface läuft bereits seit zwei Wochen auf mehreren Ebenen: Das SecDev-Team unter Nart Villeneuve informierte ISPs über kompromittierte FTP-Accounts und benannte gegenüber Facebook und Google insgesamt mehrere hunderttausend Accounts, die von Koobface betrieben werden. Das Ende des Botnetzes wird das aber nicht sein. "Solange die Hintermänner frei herumlaufen, wird Koobface weiter arbeiten", vermutet Villeneuve.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Trojaner verschmäht lahme Rechner
« Antwort #67 am: 25 November, 2010, 15:18 »
Eine aktuelle Version des Zeus-Trojaners infiziert keine Rechner mit einer Taktfrequenz von weniger als 2 GHz, berichtet der AV-Hersteller F-Secure . Um einer vorzeitigen Entdeckung zu entgehen und die Arbeit von Viren-Analysten zu erschweren, testen viele Schädlinge beim Start zunächst, ob sie gerade analysiert werden. Entdecken sie dabei, dass der Prozess etwa unter der Kontrolle eines Debuggers abläuft, beenden sie sich ohne den Rechner zu infizieren.

Eine Standardmethode die Anwesenheit eines Debuggers zu entdecken, sind Timing-Analysen über den Befehl Read Time-Stamp Counter (RDTSC). Bei der Analyse eines aktuellen ZBots entdeckte ein Viren-Analyst von F-Secure jedoch eine seltsame Variante. Produziert dabei eine Programmpause von 2 Sekunden weniger als 2^32 Updates des Timers, nimmt der Trojaner an, dass die Rechnergeschwindigkeit durch einen Debugger verlangsamt wird und beendet sich sofort. Diese Anforderung erfüllen aber schon in ungebremsten Zustand nur Systeme mit einer Taktfrequenz von mindestens 2 GHz; lahme Enten mit weniger verschmäht der wählerische Bot also. In einer Probe auf's Exempel ließ F-Secure den Schädling auf einem IBM T42 Laptop mit 1.86 GHz los, das auch prompt verschont wurde. Ob das jedoch wirklich so beabsichtigt war oder vielleicht doch nur die Rechenschwäche des Trojaner-Autors demonstriert, bleibt unklar.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Trojaner verschmäht lahme Rechner [Update]
« Antwort #68 am: 26 November, 2010, 00:20 »
Es sieht so aus, als war die Analyse des F-Secure-Analysten etwas schlampig und die Schlussfolgerungen voreilig. Wie eine genauere Betrachtung des Assembler-Codes zeigt, ist es keineswegs so, dass Systeme mit weniger als 2 GHz gar nicht mehr infiziert werden. Es wird nur immer unwahrscheinlicher, je kleiner die Taktfrequenz und Rückgabewert im Register eax beim ersten Aufruf von RDTSC sind.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
ZeuS-Trojaner wird zunehmend gegen Payment-Dienste eingesetzt
« Antwort #69 am: 20 Januar, 2011, 16:40 »
Der populäre ZeuS-Trojaner, ein nach dem Baukastenprinzip aufgebauter Computerschädling, wird offenbar zunehmend gegen eine neue Art von Zielen eingesetzt. Bisher wurde ZeuS im wesentlichen für den Diebstahl von Online-Banking-Informationen verwendet. Nun kommen zunehmend Payment-Dienste wie PayPal unter Beschuss.

Der Trojaner "ZeuS" gehörte zu den verbreitetsten Malware-Typen im vergangenen Jahr. Der Schädling wird auf dem Untergrund-Markt an jeden interessierten und zahlungsfähigen Online-Kriminellen verkauft. Programmierkenntnisse sind zur Nutzung von ZeuS nicht erforderlich, was sehr zur Popularität des Trojaners beitrug. ZeuS funktioniert nach dem Baukastenprinzip; es stehen zahlreiche Konfigurationsmöglichkeiten und Plug-Ins zur Verfügung. So kann die Malware dem jeweiligen Verwendungszweck angepasst werden. Außerdem wird durch die unterschiedlichen Charakteristika der verschiedenen ZeuS-Typen eine Entdeckung erschwert.

Nun erobern die mit Hilfe von ZeuS agierenden Cyberkriminellen offenbar neues Territorium. Wie das Internet-Sicherheits-Unternehmen Trusteer berichtet, sind zunehmend Online-Bezahldienste das Ziel von ZeuS-Angriffen. Unter anderem sollen bereits die Dienste Money Bookers, Web Money und Nochex betroffen gewesen sein. ZeuS stiehlt dabei Login-Daten und andere sensible Informationen. Anschließend werden vom Account der Opfer Zahlungen an sogenannte "Money Mules" durchgeführt. Dabei handelt es sich um Accounts, die der Weiterleitung gestohlener Gelder dienen. Money Mules werden meist per Job-Anzeige als "Sachbearbeiter für Online-Zahlungen" oder ähnliches rekrutiert. Im Falle einer Entdeckung der kriminellen Aktivitäten drohen ihnen Strafen - obwohl sie oft gar nichts von den illegalen Handlungen wissen.

Die neben den Login-Daten gestohlenen Informationen können von den Betrügern auch auf weitere Arten missbraucht werden. So könnten beispielsweise Kreditkarten-Daten aus dem Account gestohlen werden. Diese könnten die Kriminellen dann entweder selbst missbrauchen oder auf dem Schwarzmarkt weiterverkaufen.

Trusteer vermutet, dass Angriffe auf derartige Dienste in nächster Zeit weiter zunehmen werden. Die steigende Popularität von Online-Payment-Diensten mache diese zunehmend zu einem attraktiven Ziel.

Quelle: www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Jnanabot: Cross-Platfom-Trojaner mit Sicherheitslücken
« Antwort #70 am: 20 Januar, 2011, 18:03 »
Das Stehlen von Daten und Kommandieren fremder PCs für Denial-Of-Service-Angriffe oder Email-Spam ist nach wie vor ein lukratives Geschäft, vor allem, wenn man Macs und Pinguin-PCs mit einbeziehen kann. Nur: Leicht ist das Geschäft nicht, wie man am Beispiel Jnanabot sehen kann.

Die Virenforscherabteilung von Symantec hat wieder einen Grund zum Warnen gefunden: Diesmal vor dem Trojan.Jnanabot, auch bekannt als OSX/Koobface.A oder trojan.osx.boonana.a. Das tückische an diesem Trojaner: Er macht sich auch über vermeintlich sichere Linux- und Mac-OSX-Rechner her.

Wie das geht? Mit Java. Dessen Sicherheitslücken benutzt die Malware, um sich verschlüsselt im System zu platzieren und anschließend weitere unerwünschte Daten aus dem Web zu laden. Dabei trifft es Windows- (XP, Vista und 7) und OSX-Systeme härter: Hier ist die Einnistung von Dauer, während ein Linux-Betriebssystem nach dem nächsten Reboot oder Aus-und-Einschalten wieder fit ist. Daher sind etwa 16 % der infizierten Maschinen Macs, was angesichts des geringeren Nutzeranteils der Apfelrechner eine Besorgnis erregend hohe Zahl ist und ein weiteres Mal darauf hinweist, dass es zwar keine eigentlichen "Apple-Viren", sehr wohl aber zahlreiche andere Bedrohungen für Macs gibt. Jnanabot verbreitet sich zeitgeistorientiert vor allem über ge-fake-te Facebooknachrichten in englischer Sprache.

Ironischerweise leidet dieser Trojaner aber seinerseits an Sicherheitsproblemen, die es den Security-Forschern möglich machten, den Schädling "umzudrehen" und für eigene, hoffentlich weniger finstere, Zwecke einzusetzen. Die Entwickler dieser Malware dürften also wenig Freude an ihrem Produkt haben, wobei man es als eine Frage der Zeit ansehen sollte, bis ein verbesserter Java-Trojaner in Umlauf kommt und dann im großen Stil Schaden anrichtet. Auch und vor allem auf dem mitunter ungeschützten und schlimmstenfalls nachlässig aktualisierten Mac.


Quelle: www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Trojaner hebelt cloud-basierte Virenscanner aus
« Antwort #71 am: 21 Januar, 2011, 12:03 »
Der vorwiegend in China verbreitete Trojaner Bohu hebelt Antivirenlösungen aus, die zur Einschätzung des Risikos einer Datei einen Server in der Cloud befragen. Das berichtet Microsofts Malware Protection Center. Bohu geht dabei auf verschiedenen Wegen vor, um einer Erkennung zu entgehen.

Laut Bericht hängt Bohu an seine eigenen Dateien zufällige Daten, um einer Erkennung auf Basis von Hash-Werten zu entgehen. Cloud-Scanner senden den eindeutigen Hash-Wert einer Datei an den Server, um zu ermitteln, ob für diese Datei bereits Informationen vorliegen. Die zufälligen Daten führen aber zu einem neuen Hash-Wert, sodass die Datei vom Server in der Regel als bislang unbekannt eingestuft wird.

Zusätzlich versucht Bohu den Datenstrom zwischen Scanner und der Cloud zu stören. Dazu installiert er über das "Windows Sockets Service Provider Interface" (Winsock SPI) einen Filter. Zudem installiert er einen NDIS-Treiber, der laut Microsoft im Netzwerkstrom beziehungsweise in HTTP-Requests nach bestimmten Schlüsselwörter und Serveradressen sucht und bei einem Treffer das Hochladen der Daten an den Server blockiert.

Bohu versucht aber offensichtlich nur Verbindungen von Cloud-Scannern der populären chinesischen Hersteller Kingsoft, Rising und Qihoo zu stören. Bohu kommt als Videocodec getarnt auf den Rechner und installiert weitere Dateien. Allerdings ist Microsofts Bericht und den Beschreibungen des Schädlings nicht zu entnehmen, ob der Trojaner neben der Blockadefunktion noch Spionagefunktionen oder ähnliches in sich trägt.

Quelle : http://www.heise.de/newsticker/meldung/Trojaner-hebelt-cloud-basierte-Virenscanner-aus-1173233.html

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Waledac-Botnet nutzt gestohlene Mail- und FTP-Konten
« Antwort #72 am: 02 Februar, 2011, 08:33 »
Sicherheitsforschern des Unternehmens Last Line gelang es, sich einen detaillierten Einblick in das kürzlich upgedatete Waledac-Botnet zu verschaffen. Dabei stellten sie fest, dass das Botnet über die Daten von rund einer halben Million E-Mail-Konten verfügt. Die Experten gehen davon aus, dass diese Accounts für den Spamversand genutzt werden.

Das Waledac-Botnet gilt als Nachfolger des berüchtigten "Storm Worm". Es war zeitweise eines der zehn größten Botnets überhaupt, war nach einem Takedown Anfang vergangenen Jahres für längere Zeit weitgehend inaktiv. Momentan jedoch scheint sich ein Comeback von Waledac abzuzeichnen. Dabei greift man offenbar unter anderem auf zahlreiche gestohlene Mailkonten zurück. Laut Last Line hat Waledac die Passwörter für knapp 500.000 legitime POP3-Mailaccounts. Über legitime SMTP-Server, die nicht auf einschlägigen Blacklists zu finden sind, können so Spam-Mails versendet werden.

Daneben verfügt Waledac auch über Login-Daten für rund 124.000 FTP-Accounts. Über diese lädt das Botnet automatisiert Malware auf den Webserver, die diesen in eine Viren- und Werbeschleuder verwandelt. Die Besucher derart verseuchter Seiten werden auf Seiten weitergeleitet, auf denen Malware oder Werbung für gefälschte Arzneimittel zu finden sind. Nach Angaben der Sicherheitsforscher entdeckten sie im vergangenen Monat über 200 verschiedene Websites, die von Waledac platzierte bösartige Links aufwiesen.

Wie genau die Mail- und FTP-Konten entwendet wurden, wissen die Sicherheitsexperten bislang nicht. Sicher ist jedoch, dass sie den Cyberkriminellen nicht zu unterschätzende Dienste leisten werden. "Das Waledac-Botnet ist momentan noch ein Schatten seines früheren selbst, aber das wird sich vermutlich ändern, wenn man sich anschaut, wie viele kompromittierte Accounts die Waledac-Crew besitzt," vermuten die Sicherheitsforscher. Ein Takedown des Botnets könnte sich dabei äußerst schwierig gestalten: bei den Ende letzten Jahres installierten Updates des Waledac-Botnets wurde unter anderem auch die Command-and-Control-Struktur überarbeitet und verbessert.

Quelle: www.gulli.com

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Schädlingsbaukästen befeuern Botnetzepidemie
« Antwort #73 am: 17 Februar, 2011, 12:50 »
Innerhalb von einem Jahr hat sich die Zahl der mit Bots infizierten PCs weltweit versiebenfacht. Das schreibt der Antibotnet-Spezialist Damballa in einem aktuellen Bericht (PDF), ohne jedoch konkrete absolute Zahlen zu nennen. Die Ursache für das rasante Wachstum im Jahr 2010 sieht Damballa in der wachsenden Verbreitung sogenannter Exploit-Packs und Trojaner-Baukästen. Mit diesen Baukästen können sich Kriminelle ihre Angriffswerkzeuge und Schädlinge ohne Programmierkenntnisse auf einfache Weise zusammenklicken. Die Preise der Baukästen variieren zwischen 100 und 1000 US-Dollar.

Zu den populärsten Baukästen gehört, gemessen an der Zahl der Verbreitung, der mit Rootkit-Fähigkeiten ausgestattete Bot Alureon alias TDL. Alureon ist sogar in der Lage, die besonderen Sicherheitsmaßnahmen der 64-Bit-Versionen von Windows 7 und Vista auszuhebeln und sich im System einzunisten.

Ein von einer Cybergang namens RudeWarlockMob betriebenes Botnetz auf Basis von Alureon brachte es bei den insgesamt von Damballa beobachteten Infektionen auf einen Anteil von fast 15 Prozent. Auch Microsoft hatte im ersten Halbjahr 2010 ähnliche Beobachtungen gemacht, wobei Alureon in Deutschland sogar für ein Drittel der Infektionen verantwortlich gewesen sein soll.

Platz zwei der Damaballa-Statistik nimmt das Botnetz RogueAVBotnet ein, das offenbar der Verbreitung von Scareware dient. Auf Platz drei liegt der Online-Banking-Trojaner ZeuS, gefolgt von Monkif und Kobbface. Ein ZeuS-Botnetz der Cybergang FourLakeRiders soll es Mitte 2010 auf rund 1,2 Millionen Zombie-PCs gebracht haben. Insgesamt waren die 10 größten Botnetze für fast die Hälfte aller registrierten Infektionen verantwortlich.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )

Offline SiLæncer

  • Cheff-Cubie
  • *****
  • Beiträge: 189165
  • Ohne Input kein Output
    • DVB-Cube
Botnet-Studie: Größe ist nicht alles
« Antwort #74 am: 10 März, 2011, 12:09 »
Die Europäische Agentur für Internetsicherheit (European Network and Information Security Agency, ENISA) hat einen Bericht zur Erkennung, Messung und Bekämpfung von Botnetzen veröffentlicht. Der Bericht "Botnets: Measurement, Detection, Disinfection and Defence" (PDF-Datei) zeigt verschiedene Methoden in den einzelnen Disziplinen auf und kommt unter anderem zu dem Schluss, dass die Größe eines Botnetzes nicht aussagekräftig hinsichtlich seiner Bedrohung sei.

Vielmehr müssten die einzelnen Risiken für unterschiedliche Interessengruppen bewertet werden und wie groß etwa drohende Schäden für einzelne Gruppen seien, heißt es. Ohnehin sei die Erfassung von Botnetzen schwierig, weil etwa hinter einem Gateway liegende Bots in einem Firmennetz nur unter einer IP-Adresse erscheinen.

Die ENISA macht in ihrem Bericht auch Vorschläge, was sich über die technisch größtenteils bereits gelösten Probleme hinaus noch auf organisatorischer und politischer Ebene tun muss, um Botnetze künftig besser bekämpfen zu können. Beispielsweise müsste es für ISPs finanzielle Anreize geben, damit diese ihre Kunden bei der Malware-Bekämpfung unterstützen. Zudem müsse die Wertschöpfungskette der Botnetz-Betreiber angegriffen werden, um den Betrieb unprofitabel zu machen.

Hinderlich bei der Bekämpfung und Verfolgung von Botnetzen sei auch die unklare oder unterschiedliche Gesetzgebung in Europa. So sei etwa nicht einheitlich geregelt, ob eine IP-Adresse bereits zu personenbezogenen Daten gehört oder nicht. Darüberhinaus müsse der Informationsaustausch in den EU-Ländern verbessert werden.

Quelle : www.heise.de

Arbeits.- Testrechner :

Intel® Core™ i7-6700 (4 x 3.40 GHz / 4.00 GHz)
16 GB (2 x 8 GB) DDR4 SDRAM 2133 MHz
250 GB SSD Samsung 750 EVO / 1 TB HDD
ZOTAC Geforce GTX 1080TI AMPExtreme Core Edition 11GB GDDR5
MSI Z170A PC Mate Mainboard
DVD-Brenner Laufwerk
Microsoft Windows 10 Home 64Bit

TT S2 3200 ( BDA Treiber 5.0.1.8 ) + Terratec Cinergy 1200 C ( BDA Treiber 4.8.3.1.8 )