-
Internet-Tagebücher, so genannte Weblogs, liegen im Trend. Die Neugier der Internetsurfer, sich über das Leben anderer Nutzer zu informieren, birgt aber auch Gefahren.
Das US-Sicherheitsunternehmen Websense warnt davor, dass immer mehr Hacker auch darauf setzen, Viren, Würmer und Trojaner über Weblogs zu verbreiten. Im Rahmen einer Untersuchung seien mehrere Hundert Internetseiten ermittelt worden, auf denen virtuelle Schädlinge hinter Weblogs versteckt waren.
Geschickte Vorgehensweise
Die Vorgehensweise der Täter dabei ist gut durchdacht. So wird zum Beispiel ein renommierter Weblog-Anbieter ausgesucht, bei dem dann ein Blog angelegt und mit Spyware wie Keyloggern versetzt wird. Keylogger sind Programme, die sämtliche Tastaturanschläge des Users registrieren, speichern und an Dritte weiterleiten.
Mittels einer Spamflut oder Instant Messages, in denen der Link zum betreffenden Blog enthalten ist, werden dann Nutzer auf die präparierte Site gelockt. In manchen Fällen wird das Weblog auch einfach als Speichermechanismus genutzt. Hier werden dann Programme von Trojanern, die sich der User bereits anderswo eingefangen hat, abgerufen und auf dem Computer des Nutzers installiert.
Hacker bleiben meist unerkannt
Weblogs sind für Hacker besonders attraktiv, da deren Provider den Usern zumeist kostenlos großen Speicherplatz zur Verfügung stellen. Eine weitere Authentifizierung des Bloggers wird so gut wie nie verlangt.
Quelle : www.onlinekosten.de
-
MySpace entwickelt sich offenbar immer mehr zur Virenschleuder, die Besucher bereits beim Aufruf von Profilen und Seiten von Mitgliedern infiziert – ganz ohne Zutun des Nutzers. MySpace ist eine der größten englischsprachigen Social-Networking-Webseiten und hat bislang rund 100 Millionen Mitglieder registriert und verzeichnet wöchentliche Neuzugänge von über 500.000 Mitgliedern.
Nach Angaben von Michael La Pilla, einem Malware-Analysten des Sicherheitsdienstleisters iDefense, soll ein eingeblendetes Werbebanner eines Ad-Servers in den vergangenen Wochen versucht haben, Besucher von MySpace.com mit Spyware zu infizieren. Offenbar nutzten die Angreifer die Anfang des Jahres bekannt gewordene Lücke bei der Verarbeitung von WMF-Bildern in Windows.
Ein Patch steht zwar seit Januar zum Schließen der Lücke bereit, wer den aber immer noch nicht installiert hatte, bekam Spyware aus der PurityScan/ClickSpring-Familie untergeschoben, die den Nutzer mit Pop-ups zumüllt und sein Surf-Verhalten protokolliert. Eine türkische Webseite hätte dann unter anderem die Zahl der erfolgreichen Infektionen gezählt. Laut La Pilla sollen die dort abgelegten Daten darauf hingewiesen haben, dass rund eine Million Computer befallen wurden. Das ausgelieferte Werbebanner stammte von Deckoutyourdeck.com, danach verlieren sich die Spuren der Angreifer aber im Netz.
Anfang der Woche warnte MySpace seine Mitglieder zudem vor infizierten User-Profile-Seiten (about me), die über eine kürzlich veröffentlichte Lücke in Adobes Macromedia Flash Windows-PCs mit Würmer infizierten. Der soll dann wiederum die Profile-Seiten verunstaltet haben und Besucher auf Webseiten mit politischen Parolen umgeleitet haben.
Siehe dazu auch:
* Hacked Ad Seen on MySpace Served Spyware to a Million, Security-Blog der Washington Post
* MySpace Attacked by Flash Worm, Security-Blog der Washington Post
Quelle und Links : http://www.heise.de/security/news/meldung/75707
-
Ein Website, die eine Link-Sammlung zum bevorstehenden Halloween-Fest bereit hält, lädt mittels verschiedener Exploits Malware auf anfällige Windows-Rechner.
Wie Ivan Macalintal vom Antivirus-Hersteller Trend Micro im Weblog der Malware-Forscher berichtet, verbreitet eine Halloween-Website allerlei schädlichen Code. Die (zurzeit noch aktive) Website ist unter den vordersten Treffern bei Google, wenn nach Halloween-Themen gesucht wird.
Im HTML-Quelltext finden sich ganz am Ende der Seite zwei IFrames (Inline Frames, eingebettete Frames), die PHP-Seiten von einem russischen Web-Server laden (siehe Bild links). Diese Seiten enthalten verschleiernden Javascript-Code, der dazu dient, eine Web-Seite in das Browser-Fenster zu schreiben, die auch wieder Javascript-Code enthält. Dieser wiederum versucht etliche, teils ältere, teils neuere Sicherheitslücken im Internet Explorer auszunutzen. Damit soll eine Datei "win32.exe" auf den Rechner geladen und ausgeführt werden. Diese lädt weitere Schädlinge nach, die in JPEG-Dateien verborgen sind.
Der Besuch einer harmlos erscheinenden Website mit einem ungepatchten Internet Explorer kann also dazu führen, dass der eigene PC unter die Kontrolle eines russischen Kleinkriminellen gerät. Beim Besuch der Website mit Firefox oder Opera passiert hingegen - in diesem Fall - nichts. Die gute Nachricht ist, dass Google inzwischen eine Warnseite dazwischen schaltet, wenn Sie diese Website über einen Suchtreffer in Google aufrufen.
Quelle : www.pcwelt.de
-
Besucher der Website Asus.com bekommen derzeit unter Umständen Schadsoftware untergeschoben. Erste Hinweise erreichten heise Security im Verlaufe des gestrigen Abends. Das in eine Datei namens Tradue.com nachgeladene Programm erkennen die meisten aktuellen Virenscanner als PWS-Trojaner, der in erster Linie dem Passwortklau dient. Wer in den vergangenen Tagen die Website des Hardwareherstellers besucht hat, sollte seinen Rechner mit einem aktualisierten Antivirusprogramm auf Trojanerbefall überprüfen.
Im Quellcode der Webseite befindet sich ein unsichtbares IFRAME-Objekt, das auf JavaScript-Code vom Server www.ipqwe.com verweist, der offenbar nicht zu Asus gehört. Der dort hinterlegte Schadcode nutzt eine Schwachstelle im Active-X-Control RDS.Dataspace (MS06-014), die Microsoft am April-Patchday 2006 vor einem Jahr behoben hat, um den eigentlichen Trojaner nachzuladen und zu starten. Von dieser Schwachstelle sind nur Nutzer eines ungepatchten Internet Explorers betroffen.
Der Vorfall ist kein Einzelfall. Asus wurde in der Vergangenheit bereits mehrfach Opfer von derartigen Angriffen gegen seine Webserver. Ein Leserhinweis, der Schadcode versuche die erst vor wenigen Tagen gefixte ANI-Schwachstelle auszunutzen, konnte sich bislang nicht bestätigen. Trotzdem sollten IE-Benutzer vor dem Besuch der Asus-Website alle Windows-Updates einspielen, ihre AV-Software aktualisieren und sicherheitshalber vorübergehend ActiveX deaktivieren.
Siehe dazu auch:
* Asus-Server als Virenschleuder, Meldung von heise Security -> http://www.heise.de/security/news/meldung/82637
Quelle : www.heise.de
-
Eine weitergehende Analyse des Schadcodes hat ergeben, dass er auf IE-Browsern wie vermutet auch die ANI-Lücke ausnutzt. Allerdings ist die vom Server www.yyc8.com nachgeladene Datei bm3.exe, die vermutlich ebenfalls einen Trojaner enthielt, inzwischen nicht mehr abrufbar. Der ANI-Exploit verläuft demnach zurzeit ins Leere.
Quelle : www.heise.de
-
Inzwischen ist der Server, dessen HTML-Seiten auf den Schadcode verwiesen, stillgelegt. Offenbar waren nicht alle Server, auf die Asus die Auslieferung der Website verteilt, von dem Problem betroffen. Vergleicht man den aktuellen Vorfall mit dem Strickmuster des Vorfalls vom vergangenen Dezember, ergeben sich wesentliche Übereinstimmungen: Sowohl in überwiegenden Teilen der verwendete VBScript-Code als auch die beteiligten Domains ipqwe.com, ok8vs.com und yyc8.com, die auf demselben chinesischen Server liegen, sind identisch.
Quelle : www.heise.de
-
Eine relativ neue und weniger bekannte Methode zur Verbreitung von Malware sind Werbebanner, die schädlichen Code enthalten. Sie werden in Werbenetzwerke oder Bannertauschringe eingespeist und können so auf ansonsten harmlosen Websites erscheinen.
(http://images.pcwelt.de/images/pcwelt/bdb/94291/800x.jpg)
Das beliebteste Format für aktive Werbebanner ist Flash (.swf) mit seiner integrierten Script-Sprache Actionscript. Aktive Werbebanner können mehr als nur ein Bild oder eine Animation, die mit einem Link verknüpft ist. Solche Werbebanner sind nicht nur in den Netzwerken von Werbedienstleistern zu finden sondern auch in mehr oder weniger privat organisierten Bannertauschringen. Auch Online-Kriminelle haben längst die Möglichkeiten für sich entdeckt, die sich daraus ergeben. Bei Werbebannern, die schädlichen Code enthalten, spricht man auch von "Malvertising" (malicious advertising).
William Salusky vom Internet Storm Center hat festgestellt, dass solche schädlichen SWF-Dateien oft eine oder mehrere dieser Eigenschaften gemeinsam haben:
- sie sind mit kommerziellen Verschlüsselungsprogrammen vor dem Dekompilieren geschützt
- sie können komplexe Verschleierungstechniken einsetzen, um den schädlichen Actionscript-Code zu tarnen
- sie können Exploit-Code enthalten, der Sicherheitslücken im Rechner eines Besuchers ausnutzt
- sie können einfach nur als Sprungbrett zum eigentlichen Exploit-Server dienen
- sie können mit Hilfe von Social Engineering versuchen den Besucher zur Installation eines Programms zu bewegen
- sie enthalten zum Teil eine Zeitsteuerung, die schädlichen Code erst an einem bestimmten Tag und/oder zu einer bestimmten Zeit aktiviert.
Ansonsten können auf diesem Wege praktisch alle heute üblichen Schädlinge unters Volk gebracht werden. Es handelt sich bei Malvertising also lediglich um einen weiteren Angriffsvektor. Es muss sich auch nicht unbedingt um Werbebanner handeln - auch jede andere eingebettete Flash-Datei kann dem gleichen Zweck dienen.
Einen gewissen Schutz bieten zum Beispiel Firefox-Erweiterungen wie FlashBlock oder Noscript. Sie verhindern zunächst das Laden von Flash-Dateien und zeigen stattdessen ein Platzhaltersymbol an. Wenn Sie die Datei sehen wollen, genügt ein Mausklick. Doch in dem Moment ist es mit Schutz auch schon vorbei. Aktuelle Antivirus-Software, die (hoffentlich) wenigstens den eingeschleusten Schädling erkennt und unschädlich macht, ist dann bereits die letzte Bastion.
Quelle : www.pcwelt.de
-
Irgendwie wirkt die Erwähnung von FlashBlock hier etwas geringschätzig.
Ich finde jedoch, dass das automatische Öffnen von Flash inzwischen viel zu riskant ist.
Daher halte ich den Einsatz für unverzichtbar.
Besser einen Klick vom Müll entfernt, als default gleich automatisch mitten drin...
-
Immer öfter versuchen Software-Hersteller, mit so genannter Nörgel-Software (im englischen Nagware) ihre Produkte an den Mann zu bringen. Dabei wird ein Anwender in der Regel auf einer Webseite erst eingeschüchtert, um ihn dazu zu bewegen, sich eine Demoversion des Produkts zu installieren. Danach nörgelt die meist als Sicherheits- oder Systemrettungstool daherkommende Software aber mit zahlreichen Warnungen herum, das System sei unsicher, falsch konfiguriert oder sonstwie suboptimal eingestellt. Abhilfe bringe es nur, die kostenpflichtige Vollversion des Tools zu installieren.
Auf Nagware stößt der Anwender nicht nur auf dubiose Webseiten. Sie kann sich zum Beispiel über Links in Werbebannern auf bekannten Websites einschleichen. So Anfang 2007 bei Microsoft: Anwendern des Windows Live Messenger von Microsoft wurde Banner-Werbung für fragwürdige Software eingeblendet. Am Freitagabend hat es auch heise online getroffen: Ein nachträglich manipuliertes Werbebanner versuchte, Besuchern von heise online unerwünschte Software unterzuschieben. Einige Anwender bekamen dabei ein Fenster zu sehen, in dem ihnen ein System-Scan durch das vorgebliche Anti-Spyware-Programm "SysKontroller" vorgegaukelt wurde. Nutzer eines Virenscanners wurden vor dem Trojaner "Downloader.SWF.Gida.a" gewarnt.
Im Verlauf des simulierten Scans zeigte das Fenster mehrere unspezifische Warnungen an, die dem Nutzer wegen angeblich bevorstehender Datenverluste nahelegten, ein nachzuladenes Programm "setup_de.exe" zu installieren. Windows-Anwendern, die auf den "Weiter"-Button klickten, wurde nach einem weiteren Bestätigungsklick der SysKontroller auf dem PC installiert. In der Folge startete dieser bei jedem Booten und log dem Nutzer schwere Systemfehler und Datenverlust vor. Die angebotene Sofort-Reparieren-Funktion sollte nur mit der Bezahlversion möglich sein.
Nach bisherigen Erkenntnissen enthält SysKontroller sonst keine Schadfunktion und lässt sich über die Systemsteuerung wieder deinstallieren, allerdings nicht ganz rückstandsfrei. Der Rest lässt sich aber mit einem Virenscanner entfernen. SysKontroller wird unter anderem als Downloader.Win32.WinFixer.br erkannt. Einen kostenlosen Scanner gibt es beispielsweise von Avira unter http://www.free-av.de. Anwender, die nach der ersten SysKontroller-Meldung im Browser nichts weiter angeklickt haben, haben nichts zu befürchten, da sich die Nagware nicht selbsttätig installieren kann.
Nach Hinweisen von Lesern wurde das verursachende Banner gegen 1 Uhr nachts aus den Seiten von heise online entfernt. Nach bisherigen Analysen lud es ein Skript von den Seiten des Marketingdienstleisters traffalo.com nach, das wiederum ein Flash-Applet nachlud, welches mittels ActionScript weiteres JavaScript in die bestehende HTML-Seite einschleuste. Diverse Virenscanner erkannten bei diesem Versuch einen "Trojan-Downloader.SWF.Gida.a". Wieso das Skript nachträglich kompromittiert werden konnte, wird derzeit noch untersucht. Bei der initialen Prüfung des Werbebanners vor dem Einstellen auf heise online waren keine Unregelmäßigkeiten aufgetreten. Zudem wird untersucht, ob eine der zuletzt im Flash Player geschlossenen Sicherheitslücken bei dem Vorfall eine Rolle spielte.
heise online bedauert die Unannehmlichkeiten, die einigen Lesern entstanden sind, und bittet die Betroffenen um Entschuldigung. Aufgrund des Vorfalls sollen die Sicherheitskontrollen der von externen Servern zugelieferten Inhalte verschärft werden.
Quelle : www.heise.de
-
Das Online-Magazin eWeek ist Opfer einer Werbekampagne geworden, die den Website-Besuchern Schadcode statt bunter Bilder schickt. Laut dem Sicherheitsspezialisten Websense habe ein am gestrigen Dienstag auf eweek.com ausgeliefertes Werbebanner versucht, mit Hilfe eines manipulierten PDF-Dokumentes eine Scareware (Nörgel-Software) namens Anti-Virus-1 auf dem Rechner der Besucher zu installieren. Diese gebe fälschlicherweise zunächst vor, eine Infektion des Systems festzustellen, um den Anwender zum Kauf einer kostenpflichtigen Vollversion zu bewegen.
Inzwischen hat eWeek reagiert und die schädliche Werbekampagne gestoppt. In einer Erklärung zum Vorfall teilt eWeek mit, dass neben eweek.com auch andere Websites des Ziff-Davies-Netzwerkes das schädliche Banner ausgeliefert haben. Die Angreifer hätten es auf eine ältere Sicherheitslücke im Adobe Reader abgesehen, heißt es weiter. Es handelt sich demnach nicht um das bislang ungelöste Sicherheitsproblem, das erst kürzlich in Adobe-Produkten entdeckt wurde.
Angriffe über manipulierte Flash-Werbebanner sind keine Seltenheit. Für die betroffenen Portale ist es schwierig, sich gegen die Methode zu schützen, weil in der Regel externe Dienstleister die Banner vermarkten und teils mit eigenen Servern an die Website-Besucher ausliefern. Im vergangenen Jahr erwischte es beispielsweise Myspace, Excite.com und eine reihe populärer Tageszeitungen. Auch heise.de hat es Anfang 2008 getroffen.
Quelle : www.heise.de
-
Wer externe Inhalte in seine Webseiten einbindet, macht sich diese zueigen.
Er hat dafür einzustehen, als hätte er diesen Inhalt selbst eingestellt.
Insbesondere gilt das auch für Werbung auf redaktionellen Seiten.
Nicht anders als als in Zeitschriften und Büchern, nur leider viel riskanter für den Nutzer...
Gerade bei alteingesessenen Verlagen, zu denen heise zweifellos gehört, darf man eigentlich ausreichendes Bewusstsein für diese Problematik verlangen, zumal ausgerechnet heise sich Computersicherheit selbst zu einem Haupttätigkeitsfeld erwählt hat. Und so ein nicht eben kleines Verlagshaus sollte m.e. das Anzeigengeschäft als ureigene Aufgabe ansehen, die mit eigenen Kräften zu handhaben ist, nicht an beliebige Dritte übertragbar.
Insbesondere ist nicht hinzunehmen, dass Dritte eigene Skripte einbinden dürfen, bevor ein Nutzer ein Werbebanner zielgerichtet angeklickt hat. Natürlich erst recht nicht über einen vorgeblichen Schliessen-Button auf einem Popup. Das heisst, auch der Rahmen eines Popups bzw. eines sonstigen verdeckenden Elements darf samt Buttons nicht zu einer dritten Seite gehören.
Kurzum, ohne Flash- und Popup-Blocker sollte man sich offensichtlich nirgendwo mehr bewegen ::)
-
Kunden des auf Spiele-Peripheriegeräte spezialisierten Hardwareherstellers Razer haben sich möglicherweise beim Herunterladen von Treibern für Mäuse und Keyboards einen Trojaner eingefangen.
Dies meldet der Sicherheitsdienstleister Trend Micro, der Razer umgehend zu dem Problem informierte, woraufhin die Treiber-Seiten vorläufig vom Netz genommen wurden. Nach Angaben von Trend Micro erhielten die Kunden von Razer beim Versuch, einen Treiber herunter zu laden, einen Trojaner, der wiederum einen Wurm nachlädt.
Dieser Wurm namens WORM.ASPXOR.AB wird bisher nur von recht wenigen Virenscannern erkannt. Noch ist unklar, wie lange die schwerwiegenden Sicherheitsprobleme bereits bestehen. Trend Micro zufolge scheinen die Angriffe in den letzten 24 bis 36 Stunden begonnen zu haben, was auf eine geringe Zahl von erfolgreichen Infektionen hoffen lässt.
Razer fordert dennoch alle Kunden, die in der letzten Zeit einen Treiber von den Support-Seiten des Unternehmens herunter geladen haben, dazu auf, ihr System umgehend einer ausführlichen Virenprüfung zu unterziehen. Wann die Support-Seite von Razer wieder ans Netz geht, ist derzeit noch nicht bekannt. Bei Problemen sollen sich die Kunden an den technischen Support wenden.
Quelle : http://winfuture.de
-
Besucher von handelsblatt.de und zeit.de bekamen gestern vereinzelt Schadcode untergeschoben, der sogenannte Scareware auf dem System installierte. Scareware gaukelt dem Anwender wiederum eine Infektion mit Trojanern und Viren vor. Um die vermeintlichen Virenfunde zu beseitigen, versuchen die Programme dem Anwender den Kauf einer Vollversion aufzudrängen. Dabei nerven sie mit häufigen Warnmeldungen im laufenden Betrieb oder blockieren gar das System. Wie man Scareware erkennt, sich davor schützt und sie beseitigt, erklärt der Artikel Scharlatane und Hochstapler auf heise Security .
Wie die Scareware ins System eindrang, ist unklar, möglicherweise nutzte sie bekannte, aber vom Anwender nicht gepatchte Browser-Lücken aus. In einer Stellungnahme bestätigte Christian Herp, der Geschäftsführer der Vermarktungsorganisation der Verlagsgruppe Handelsblatt GmbH, gegenüber heise Security, dass über eine Werbekampagne eines Kunden vereinzelt ein Trojaner an Nutzer ausgeliefert wurde. Dieser sei trotz intensiver technischer Prüfungen zunächst weder durch den eigenen noch die vom externen Dienstleister eingesetzten Virenscanner erkannt worden. Zuschriften von betroffenen Lesern an heise online bestätigen dies.
"Da der Trojaner nicht jedes Mal ausgeliefert wurde, sondern nur bei jedem 1000sten Aufruf, konnte die Schadstelle erst kurz nach Mitternacht in einer Testumgebung lokalisiert werden", erläuterte Herp in einer E-Mail. Hinter der Aktion stecke aus seiner Sicht hohe kriminelle Energie. Die Werbekampagne wird bereits seit gestern Abend nicht mehr ausgeliefert. Herp äußert sich zwar nicht zum Vorfall auf zeit.de, allerdings gehören sowohl die Zeit als auch das Handelsblatt zur Holtzbrinck Medien GmbH und haben den gleichen Vermarkter. Vermutlich erschien deshalb auf zeit.de die gleiche maliziöse Werbekampagne. Ein vereinzelter Leser berichtete, dass ihm auch Scareware auf welt.de untergeschoben wurde.
Bei der Scareware soll es sich um "Antivirus Soft" und "Antivirus Plus" handeln. Ein betroffener Leser berichtet, dass die manuelle Deinstallation von "Antivirus Soft" nach einer Anleitung in einem Antimalware-Forum erfolgreich verlief.
Zuletzt wurde die New York Times von Betrügern für derartige Angriffe missbraucht. Ihnen war es gelungen, eigene Banner-Ads über das Werbenetzwerk der Zeitung einzuschleusen, die beim Aufruf der Seiten eingeblendet wurden. Besucher des Online-Auftritts der New York Times bekamen dann sporadisch Einblendungen von Scareware zu Gesicht. Auch heise online hatte es Anfang 2008 getroffen
Panda Security weist aktuell auch auf Versuche von Betrügern hin, Links zu Scareware per Facebook zu verbreiten. Allerdings handelt es sich dabei offenbar nur um Webseiten, die täuschend echt die Oberfläche eines Windows-Virenscanners vortäuschen. Um eine Infektion des Systems handelt es sich hierbei aber nicht – solange der Anwender dem Drang widersteht, die angebotene Software herunterzuladen und zu installieren.
Quelle : www.heise.de
-
Update: Der zur Holtzbrinck-Gruppe gehörende IT-News-Dienst Golem lieferte nach eigenen Angaben die schädlichen Banner ebenfalls kurze Zeit aus. Analysen eines Lesers zufolge drang die Scareware über eine seit November bekannte und gepatche Lücke der Funktion MidiSystem.getSoundbank in Suns Java ein. Ein Exploit dafür ist ebenfalls seit November verfügbar.
2. Update: Bei dem Angriff kam vermutlich das Exploit-Toolkit Neosploit zum Einsatz, dass nicht nur Lücken im Java-Plug-in ausnutzte, sondern zusätzlich auch Fehler in den Plug-ins für QuickTime, Adobe Flash und Adobe Reader.
Quelle : www.heise.de
-
Die Startseite des Umweltbundesamtes umweltbundesamt.de (UBA) war mit dem Trojaner ZeuS infiziert. Möglicherweise wurden PCs von Besuchern ebenfalls mit ZeuS infiziert. ZeuS ist ein äußerst effektiver Trojaner, der es insbesondere auf Online-Banking-Daten abgesehen hat. Er ist in der Lage, seinem Opfer eine echte Bankseite vorzugaukeln, indem er eigenen HTML-Code in den Browser schleust. Eingegebene PINs, TANs und anderen Daten verschickt er in Echtzeit unter anderem mit einem integrierten Instant-Messaging-Client. Er tarnt sich im System mittels Rootkit-Techniken.
Einzelne Fachbereich des Umweltbundesamtes wie die Deutsche Emissionshandelsstelle (DEHSt) haben ihre Kunden bereits per Mail informiert. "Falls Sie die Internetseite des UBA zwischen Freitag, dem 19. März, und Montag, dem 22. März 2010, besucht haben, könnte sich der Trojaner auf Ihren Computer herunter geladen haben", schreibt das DEHSt in seiner Warnung. Allerdings behauptet das DEHSt in seiner Mail: "Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stuft den Trojaner zwar als ungefährlich ein, empfiehlt aber seit gestern alle Besucher der UBA-Homepage vorsorglich zu informieren."
Auf Nachfrage von heise Security stellte das BSI jedoch klar, dass es ZeuS keinesfalls für ungefährlich halte. "Das BSI stuft Zeus natürlich nicht als ungefährlich ein. Zeus gehört vielmehr zu den aktuell gefährlichsten und durchdachtesten Bankingtrojanern, zusammen mit URLZone", betonte Dr Timo Steffens vom CERT-Bund. Wie es zu der Kommunkationspanne kam, ist unklar.
Man gehe davon aus, dass die UBA-Seite (im Rahmen einer größeren Attacke) zufällig von den Hackern getroffen wurde. Wie der Trojaner auf die Seite des Bundesamtes gelangt ist, ist offiziell nicht bekannt. Das Internetportal der DEHSt (www.dehst.de) sowie die Seiten des Registers (www.register.dehst.de) waren nicht betroffen. Anwendern, die im genannten Zeitraum die UBA-Seite besucht haben, empfiehlt das DEHSt, den PC mit einer Live-CD zu überprüfen, beispielsweise mit Desinfec't oder einer der kostenlosen Rescue-CDs vieler Antivirenhersteller.
Das Umweltbundesamt selbst hat noch keine Warnung veröffentlicht. Im Gespräch mit heise Security erklärte des Pressesprecher Martin Ittershagen jedoch, dass man im Laufe des heutigen Tages ein Pressemitteilung veröffentlichen wolle.
Quelle : www.heise.de
-
Einem Redakteur des Berliner Onlinemagazins Winfuture sind die Zugangsdaten zum Content Management System gestohlen worden. Der Angreifer hatte eine Nachricht mit Schadcode veröffentlicht und mehrere Downloads manipuliert.
Am gestrigen Abend ist es Angreifern gelungen, mit gestohlenen Zugangsdaten eines Redakteurs, Nachrichten und Downloads des Onlinemagazins Winfuture zu manipulieren. Das gab die Berliner Redaktion am 22. Mai 2011 bekannt. Der Redakteur sei wahrscheinlich über eine Schadsoftware auf einem Windows-PC der Redaktion erfolgreich angegriffen worden.
Der Eindringling veröffentlichte eine Nachricht auf der Webseite, nach der Winfuture gehackt und die Nutzerdaten gestohlen seien. In die Nachricht sei Javascript-Code eingebettet worden, worüber Schadsoftware verteilt wurde, erklärte die Redaktion. Zudem wurden Downloadeinträge auf Winfuture.de manipuliert und auf gefährliche Dateien verwiesen. Dazu habe der Angreifer die Domain cdn-winfuture.net eingerichtet. Wer in den letzten 36 Stunden bestimmte Programme bei Winfuture heruntergeladen hat, "sollte sein System mit einem Virenscanner gründlich überprüfen", betonte die Redaktion.
Winfuture erklärte, dass die Daten der Leser nicht kompromittiert seien: "Unsere Untersuchungen haben jedoch ergeben, dass die Nutzerdaten zu keinem Zeitpunkt gefährdet waren und somit nicht im Besitz der unbekannten Person sind." Die Nachricht des Angreifers mit dem Schadcode sei auch nur "für einige Minuten auf der Startseite sichtbar" gewesen. Zudem sei der Angriff nur bei einer älteren Java-Version möglich gewesen. "Dass innerhalb dieser Minuten ein Schaden angerichtet werden konnte, ist also sehr unwahrscheinlich, kann jedoch nicht ausgeschlossen werden", so Winfuture. Laut Angaben des Reichweiteerfassers IVW (Informationsgemeinschaft zur Feststellung der Verbreitung von Werbeträgern) hatte Winfuture im April 4.878.313 Page Impressions.
Quelle : www.golem.de
-
Die Computec Media AG wurde Opfer eines folgenschweren Hackerangriffs, wie das Unternehmen vergangene Nacht bekanntgegeben hat. Der Angreifer hat zahlreiche Computec-Webseiten manipuliert und zur Verbreitung von Schadcode genutzt. Zu den betroffenen Seiten zählen pcgames.de, pcaction,de, gamezone.de und einige weitere. Bei den meisten Webseiten handelt es sich um Spielemagazine.
"Der Angreifer hatte zeitweilig Zugriff auf unsere Systeme und hat verschiedene Dateien, darunter Downloads und Werbemittel, so modifiziert, dass möglicherweise Schadsoftware heruntergeladen wurde", warnt das Unternehmen. Als Vorsichtsmaßnahme wurden die Download-Angebote vorübergehend vom Netz genommen. Die Angriffe seien insbesondere an den vergangenen beiden Wochenenden erfolgt (07. bis 08.04.12 und 14. bis 15.04.12) und wurden " in Zusammenarbeit mit einem externen IT-Sicherheitsexperten vollständig analysiert".
Laut Angaben von Computec hat der Angreifer über die Webseiten "Malware verteilt, die möglicherweise nicht von aktuellen Virenscannern erkannt wurde". Dabei soll es sich um Trojaner gehandelt haben, die Tastatureingaben auf den infizierten Rechnern ausgespähen. Computec rät daher den Besuchern seiner Seiten, nach einem Virenscan sämtliche Passwörter, insbesondere auch bei Diensten wie PayPal, eBay und Facebook, zu ändern.
Des Weiteren kann das Unternehmen nicht ausschließen, dass auch Nutzerpasswörter von den eigenen Servern entwendet wurden, da der Angreifer offenbar Root-Zugriff auf die Systeme hatte. Ob weitere Nutzerdaten wie Mailadressen entwendet wurden, geht aus der Meldung des Unternehmens nicht hervor. Die Abonnenten-Daten der Computec-Printmagazine seien jedoch nicht betroffen.
Quelle : www.heise.de
-
Über Wetter.com wurde noch bis zum heutigen Dienstagmittag Malware verbreitet, wie der Betreiber gegenüber heise Security bestätigt hat. Wer die Seite im Laufe der vergangenen zwei Tage mit einem Desktopbetriebssystem besucht hat, sollte sein System besser mit einer bootfähigen Antiviren-Disk wie desinfec't untersuchen. Alternativ kann man etwa mit Windows Defender Offline einen bootfähigen Datenträger erstellen (CD, DVD, USB), von dem man das System anschließend startet.
Ursprünglich ging der Betreiber bereits am gestrigen Montag davon aus, das Problem in den Griff bekommen zu haben. Offenbar wurden jedoch nicht alle Server von dem Schadcode gereinigt, sodass der manipulierte Anzeigencode länger ausgeliefert wurde als ursprünglich angenommen.
Den Angreifern gelang es durch eine bekannte Schwachstelle, den von Wetter.com eingesetzten OpenX-Anzeigenserver zu kompromittieren. Anscheinend wurden verschiedene Arten von Malware über die Wetterseite verteilt: Leserberichten zufolge reicht die Palette von Scareware bis hin zum BKA-Trojaner.
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/9/7/5/6/9/7/pcwelt_blocked-s-b0b87856c26f1516.png)
Mindestens seit vergangenem Freitag haben Unbekannte die Website der PC-Welt zum Verbreiten von Windows-Malware missbraucht. Der Angriffscode befand sich bis zum Samstag, den 26.01.2013 auf der Site, die auch über Domains wie digital-world.de und newstube.de erreichbar ist. Wer das Portal Ende vergangener Woche besucht hat, muss damit rechnen, dass sein PC virenverseucht ist und sollte einen Komplettscan mit einem bootfähigen Virenscanner wie Windows Defender Offline durchführen. Laut den Betreibern ist die Site inzwischen wieder sauber, die zum Angriff genutzte Lücke wurde allerdings noch nicht gefunden.
Der ganze Artikel (http://www.heise.de/security/meldung/PC-Welt-de-als-Virenschleuder-missbraucht-1792716.html)
Quelle : www.heise.de
-
Die Website des US-amerikanischen Fernsehsenders NBC ist gehackt worden und hat die Rechner von Besuchern mit Malware infiziert. Das hat eine Sprecherin des US-Konzern gegenüber der Huffington Post eingeräumt. Laut verschiedener Sicherheitsunternehmen hatten Hacker Zugriff auf die Server erlangt und bösartige IFrames in die Seiten eingebunden. Auf ungeschützten Computern sei darüber eine Variante des Bots Citadel installiert worden.
(http://www.heise.de/imgs/18/9/8/6/5/4/7/95066750ca522fd6.png)
Wie lange die Gefahr bestanden hat, konnte die NBC-Sprecherin nicht sagen, sie habe aber versichert, dass die Website inzwischen wieder sauber ist: "Nutzer, die sie jetzt besuchen, sind sicher." Wie SurfRight schreibt, waren auch andere Seiten betroffen, beispielsweise die der Late-Night-Show von Jimmy Fallon. Laut einer ausführlichen Erklärung von SurfRight richten sich die Angriffe gezielt gegen eine ältere Version von Adobes Acrobat Reader und Java.
Als Reaktion auf den Hack hatte Facebook das Einbinden von Links auf nbc.com unterbunden und die Nutzer vor den Gefahren gewarnt, berichtet CNet. Google und Bitly wiederum hätten Nutzer vor einem Klick auf einen Link zu nbc.com gewarnt.
Quelle : www.heise.de
-
Das IT-Sicherheits-Unternehmen Websense veröffentlichte kürzlich den Bericht "2013 Threat Report", in dem die aktuelle Bedrohungssituation im Internet untersucht wird. Beunruhigendes Ergebnis der Untersuchung: Im Jahr 2012 stieg die Zahl mit Schadsoftware verseuchter Internet-Seiten weltweit um fast 600 Prozent.
Websense schreibt in einer Presseerklärung vom heutigen Mittwoch von einem "explosionsartigen Anstieg" verseuchter Websites im Jahr 2012. Gegenüber 2011 habe sich deren Zahl nahezu versechsfacht. Insbesondere sogenannte Drive-by-Downloads, also die Infektion seriöser Seiten durch Schwachstellen etwa bei der Webserver-Software oder bei der Einbindung von Werbebannern, sind demnach im Kommen. "85 Prozent der Malware findet sich [...] auf vertrauenswürdigen Webseiten, die von Hackern mit Schadcode infiziert wurden," berichtet Websense. Somit ist das Vermeiden fragwürdiger Websites - etwa von Porno- und Warez-Angeboten, die in der Vergangenheit häufig als Umschlagplatz von Schadsoftware dienten - aktuell kaum noch hilfreich, wenn es darum geht, eine Infektion mit Viren oder Trojanern zu vermeiden.
Der ganze Artikel (http://www.gulli.com/news/20952-websense-warnt-vor-malware-verseuchten-websites-2013-03-05)
Quelle : www.gulli.com
-
ahoo.com wurde von Online-Kriminellen als Virenschleuder missbraucht. Die IT-Sicherheitsfirma Fox-IT hat auf dem Portal speziell präparierte Werbeanzeigen entdeckt, welche die Besucher auf Angriffsseiten des Exploit-Kits umleiteten. Dort wurden die Rechner der Besucher durch Sicherheitslücken in älteren Java-Versionen attackiert. Hat das Exploit-Kit ein Schlupfloch gefunden, hat es laut Fox-IT diverse Schädlinge wie etwa den Online-Banking-Trojaner ZeuS auf dem Opferrechner platziert.
Gegenüber heise Security bestätigte Yahoo den Vorfall. Demnach wurde die europäischen Yahoo-Seiten im Zeitraum vom 31. Dezember 2013 bis zum 3. Januar 2014 zur Verbreitung von Malware missbraucht. Wer Yahoo ausschließlich mit einem Mac oder Mobilgerät besucht hat, sei nicht in Gefahr. Laut Fox-IT gibt es Hinweise darauf, dass die Yahoo-Site schon seit dem 30. Dezember oder sogar noch länger als Virenschleuder missbraucht wurden.
Wer Yahoo zur Jahreswende mit einem Windows-Rechner besucht hat, auf dem zu diesem Zeitpunkt eine veraltete Java-Version installiert war, sollte sein System besser einem Virencheck unterziehen. Dazu nutzt man am besten eine bootfähige Antiviren-DVD wie etwa Desinfec't, da der VIren-Scan dabei nicht von eventuell aktiver Malware gestört werden kann.
Quelle : www.heise.de
-
Das Videoportal Dailymotion wurde offenbar zur Verbreitung von Scareware missbraucht. Wie die Sicherheitsfirma Invincea berichtet, enthielt die Site am gestrigen Dienstag ein iFrame, das extern gehostete Skripte ausgeführt hat. Diese haben beim Besuch des Portals ein vermeintliche Virenwarnung im Design der Microsoft Security Essentials (MSE) angezeigt.
Wer die Warnung für voll genommen und den eingeblendeten Desinfektionsknopf angeklickt hat, dem wurde die Scareware "Windows Accelerator Pro" untergejubelt, die ebenfalls vermeintliche Vireninfektionen vortäuscht. Will man diese entfernen, wird man zur Kasse gebeten. Wie genau der Angriff ablief, zeigt die Sicherheitsfirma im Video:
Der Fall zeigt anschaulich, wie Cyber-Ganoven versuchen, aus Angst Kapital zu schlagen. Derartige Angriffe können überall lauern – auch auf renommierten Webseiten wie Dailymotion. Die Attacke läuft meist über Werbebanner, die von den Betrügern geschaltet werden, nachdem sie den von der Ziel-Webseite genutzten Adserver kompromittiert haben. Neben gefälschten Virenwarnungen drängen die Betrüger häufig auch mit der Behauptung, für Browser Plug-ins wie Flash stehe ein sicherheitsrelevantes Updates bereit, zur Installation ihrer Schadsoftware.
Quelle : www.heise.de
-
Sicherheitsforscher haben eine neue Methode enttarnt, um Schadcode im Web zu platzieren: Über die Metadaten in Bilddateien.
Bei einem originellen Angriff, der nun zum ersten mal in freier Wildbahn entdeckt wurde, verbirgt sich der verräterische Quellcode eines iFrame-Injection-Angriffs in den Metadaten einer PNG-Datei. Der Angriff macht sich zu Nutze, dass die Metadaten von Bildern durch die meisten Virenscanner nicht untersucht werden.
(http://2.f.ix.de/imgs/18/1/1/6/8/4/3/0/png-attack-8ccbd2467d83c122.png)
Bei dem von der Sicherheitsfirma Sucuri entdeckten Angriff (http://blog.sucuri.net/2014/02/new-iframe-injections-leverage-png-image-metadata.html) lädt ein iFrame in der Webseite eine Javascript-Datei namens jquery.js, die daraufhin eine PNG-Datei lädt. In den Metadaten des Bildes steckt der eigentliche Exploit-Code, der per Javascript im Browser des Opfers dekodiert und dann ausgeführt wird. Der Schadcode wird in ein unsichtbares iFrame geladen.
Die neue Angriffsmethode ist schwerer zu entdecken, da die Javascript-Elemente keinen Schadcode enthalten, der bei genauerer Betrachtung auffallen würde. Um den Schadcode zu finden, muss man die Metadaten der PNG-Datei untersuchen. Der Angriff ist dabei nicht auf das PNG-Format beschränkt; der Schadcode könnte auch in anderen Bildformaten eingebettet sein.
Auch die Namensgebung der Javascript-Datei soll offensichtlich ablenken: jQuery ist eine legitime Javascript-Bibliothek, die auf vielen Webseiten benutzt wird.
Quelle : www.heise.de
-
Caphaw-Trojaner in YouTube-Anzeigen gefunden! umpf
(http://i.imgur.com/7xIU7hr.png)
Info: http://blog.emsisoft.com/de/2014/02/25/caphaw-trojaner-in-youtube-anzeigen-gefunden/
-
Ich denke mal das hier ein Ad - Blocker , Noscript im Zusammenspiel z.B. Ubuntu - Linux hilft ;)
-
Jo.. as usual ... NoScript + Adblock hilft ;)
-
-
Zu den Opfern der Malware-Kampagne "Operation Windigo" gehören unter anderem kernel.org und cPanel. Die mit dem Ebury-Rootkit infizierten Server versenden Spam und attackieren Besucher der kompromittierten Webseiten.
Experten der Sicherheitsfirma Eset haben eine Studie über das Ebury-Rootkit veröffentlicht. Das Unix-Rootkit hat in den letzten zweieinhalb Jahren weltweit über 25.000 Server infiziert und mit deren Hilfe bis zu 500.000 Nutzer am Tag mit Spam und Malware bombardiert. Die an der Untersuchung beteiligten Forscher von Eset, dem CERT-Bund und des schwedischen Forschungsinstituts SNIC haben die Angriffswelle nach einem mythischen Menschenfresser "Operation Windigo" getauft.
Der ganze Artikel (http://www.heise.de/security/meldung/Ebury-Rootkit-Zombie-Server-greifen-taeglich-eine-halbe-Million-Rechner-an-2149609.html)
Quelle : www.heise.de
-
Knapp ein halbes Jahr nach dem vorherigen Vorfall haben Abzocker das Videoportal erneut als Malware-Schleuder missbraucht. Das Exploit-Kit Sweet Orange hat versucht, die Besucher durch das Ausnutzen von Sicherheitslücken anzugreifen.
Der Videohoster Dailymotion wurde vor einigen Tagen erneut als Malware-Schleuder missbraucht. Wie die Antivirenfirma Symatec berichtet, wurde am 28. Juni das Exploit-Kit Sweet Orange in die Site injiziert. Es klopft die Rechner der Besucher auf verschiedene Sicherheitslücken in Adobe Flash, Internet Explorer und Java ab, die allesamt bereits von den Herstellern gepatcht wurden. Sobalb Sweet Orange einen Nutzer erwischt, der eine veraltete und somit verwundbare Version von einem der Programme einsetzt, versucht es den Trojaner Adclicker auf seinen Rechner zu schleusen.
Adclicker ist darauf spezialisiert, wie es der Name schon vermuten lässt, automatisiert auf Werbebanner zu klicken, wodurch Werbeeinahmen fließen, ohne dass der Werbetreibende davon profitiert. Grundsätzlich können solche Malware-Attacken überall lauern. Man sollte sein System, den Browser und dessen Plug-ins daher immer auf dem aktuellen Stand halten. Meist wird der Angriffscode über präparierte Werbebanner in die Sites geschleust. Wie lange die Infektion in diesem Fall bestand hatte, dazu macht Symantec keine Angaben. Der Videohoster soll inzwischen wieder sauber sein.
Quelle : www.heise.de
-
Das große Werbenetzwerk Zedo und die Google-Tochter Doubleclick sollen nach Angaben eines Antivirenherstellers fast einen Monat lang Schadcode über ihre Werbung verteilt haben. Auch größere Webseiten wie Last.fm waren betroffen.
(http://1.f.ix.de/imgs/18/1/3/4/7/4/7/0/lastfm-38aaa9233dcf7d05.png)
Die Werbenetzwerke Doubleclick und Zedo sollen fast einen Monat lang Trojaner über ihre Werbebanner verteilt haben. Die infizierte Werbung wurde unter anderem auf Last.fm und den Webseiten der Times of Israel und der Jerusalem Post angezeigt. Der Antiviren-Hersteller Malwarebytes, der die Angriffe entdeckt hat, geht davon aus, dass auch andere populäre Webseiten betroffen waren. Zusammen haben die Werbenetze von Zedo und der Google-Tochter Doubleclick eine beachtliche Reichweite.
Angriffsziel XP
Gegenüber der US-Nachrichtenseite The Verge bestätigte Google das Problem. Die infizierte Werbung soll nun abgestellt worden sein. Die geschalteten Kampagnen wurden wohl dazu missbraucht, die Trojaner-Familie Zemot auszuliefern. Diese zielt auf Windows-XP-Rechner ab, kann aber auch neuere Rechner infizieren, wenn diese nicht über aktuelle Schutzprogramme verfügen.
Was die Täter mit den infizierten Rechnern vorhatten, ist schwer zu sagen. Zemot dient dazu, in ein System einzubrechen und eventuelle Schutzmechanismen zu umgehen. Hat sich der Schädling einmal festgesetzt, lädt er beliebigen Schadcode aus dem Netz nach. Es ist also nicht bekannt, ob die Täter die infizierten PCs dazu benutzt haben, Bankinformationen ihrer Opfer zu klauen oder etwa um Spam zu versenden. Die Eingliederung in ein DDoS-Botnetz ist ebenfalls denkbar. Ein aktueller Virenscanner hätte den Angriff wahrscheinlich in fast allen Fällen verhindert.
Bei dem Fall handelt es sich nicht um das erste Mal, in dem Angreifer ein Werbenetzwerk zum Verteilen von Schadcode missbraucht haben. Für Gauner ist diese Art des Angriffs verlockend, da sie so ihre Trojaner auch über bekannte Webseiten verbreiten können. Oft vertrauen Nutzer diesen Seiten und wägen sich in Sicherheit, da sie sich nicht bewusst sind, dass Werbebanner von Drittservern geladen werden und kompromittiert sein könnten.
Quelle : www.heise.de
-
Seit Jahren wird das so genannte Malvertising, bei dem Schadsoftware über Werbenetzwerke verteilt wird, zu einem immer größeren Problem. Die Sicherheitsforscher von Cyphort Labs warnen jetzt erneut vor dieser Bedrohung - denn die Anzahl der Fälle steigt rasant, allein um 325 Prozent innerhalb nicht einmal eines Jahres.
Dabei geht es vorrangig über wissentlich verteilte Malware, also um Betrüger, die Werbebanner schalten, um unbedarfte Nutzer auf Seiten beispielsweise mit automatisierten Downloads zu schleusen. Wege für eine Infizierung mit Viren, Trojanern und anderen Schadcodes gibt es zur Genüge - die Betrüger müssen die Internetnutzer nur dazu bringen, ihre Seiten aufzurufen. Werbebanner und Links sind dabei zu einem immer beliebteren Mittel geworden, schreibt Cyphort nun in dem neusten Report (via The Verge).
Übergriffe nehmen zu
Obwohl Google zum Beispiel allein im vergangenen Jahr über 200.000 potentiell gefährliche Webseiten die über Malvertising beworben wurden gesperrt haben soll, haben die Übergriffe allein zwischen Juni 2014 und Februar 2015 um 325 Prozent zugenommen. Laut dem Bericht wurden zudem über eine halbe Milliarde Werbeauslieferungen mit Schadcode verhindert, also die Views verhindert. Dabei ist es irrelavant, auf welchen Geräten Nutzer im Netz unterwegs sind. Gefährdet sind alle bekannten OS, die nur unterschiedlich stark ausgenutzt werden.
Die meisten Angriffe solcher Art zielen auf Schwachstellen in Flash, Java und Silverlight. Wie gut die schädliche Werbung sich dabei als ganz reguläre Anzeigen tarnen lässt, musste erst das bekannte US-Online-Magazin Huffington Post spüren. Entwickler bei MalwareBytes, ebenfalls als Sicherheitsforscher tätig, hatten eine Kampagne bei HuffPo aufgespürt, die per SSL-verschlüsselt Nutzer in Sicherheit wog und über mehrere Redirects schließlich auf eine Seite führte, die über das sogenannte Angler Exploit Kit Schwachstellen in Flash, Java und Silverlight ausnutzt, um Zugriff auf das angegriffenen System zu erlangen. Auch auf gopego.com wurde das Malvertising so zum Sicherheitsrisiko für Nutzer.
Sicherheitsupdates
Abhilfe schafft dabei nur die Verwendung von professioneller, aktueller Anti-Viren-Software, sowie die stetige Aktualisierung des genutzten Betriebssystems und der Einspielung wichtiger Sicherheitsupdates.
Quelle : http://winfuture.de
Ach ... ;)
Ein Grund mehr nen ADBlocker zu nutzen ....