Thema: Bittorrent diverses ...

[SiLæncer]

Manipulierte Bittorrent-Software wird auf Zombie-Rechnern installiert.

In einem Botnet, das mehr als 10.000 PCs umfasst, werden seit einigen Wochen modifizierte Bittorrent-Clients installiert. Dies berichtet Face Time Communications ein auf Sicherheit bei Instant Messengern spezialisiertes Unternehmen. Es wird vermutet, dass eine Tätergruppe aus dem Nahe Osten das Botnet kontrolliert.

Auf den fremdgesteuerten Rechnern ("Zombies") ist ein Rootkit ("lockx.exe") installiert, das über einen AIM-Wurm verbreitet wurde . Auf den über einen IRC-Server (Internet Relay Chat) kontrollierten PCs wurde bereits Ende November eine Version der P2P-Software Bittorrent installiert. Darüber werden unter anderen Raubkopien von Filmen verteilt.

Die Programm-Code der modifizierten Bittorrent-Software unterscheidet sich nach Angaben von Face Time eindeutig von anderen, legitimen Versionen, enthält jedoch wahrscheinlich selbst keinen schädlichen Code. Mutmaßlich wurden die Änderungen vorgenommen, um Sicherheitsmaßnahmen zu umgehen.

Die P2P-Software könnte auch dazu genutzt werden, größere Datenmengen aller Art, darunter auch Adware, Spyware und Raubkopien zu verbreiten. Die Gruppe, die das Botnet kontrolliert, betreibt auch Web-Server mit Torrents. Die fremdgesteuerten Bittorrent-Teilnehmer sind im Netz nicht von anderen unterscheidbar.

Die Rootkit-basierte Software wird über Instant Messenger, namentlich AIM, verbreitet, Die gesendeten Nachrichten enthalten Bestandteile wie "evilday.us/pic?.com" (? = Zahl) oder "how do I look[IP-Adresse]/~q8army/pic0023.com". Der enthaltene Link führt zu einem von vielen Web-Servern, von wo dann Malware herunter geladen und installiert wird.

Da auch diverse andere Schädlinge auf ähnliche Weise verbreitet werden, auch in anderen IM-Netzen, sollten Sie Links in Mitteilungen nicht einfach anklicken. Sie gehen ein nicht zu unterschätzendes Risiko ein, sich Malware auf den Rechner zu laden.

Quelle : www.pcwelt.de

[SiLæncer]

Die Nutzung des P2P-Netzwerks zu seiner Verteilung unterscheidet diesen Wurm von anderen Schädlingen seiner Art. Er breitet sich auch über Instant Messenger aus und öffnet auf infizierten Rechnern eine Hintertür ins System.

Würmer, die sich über Instant Messenger verbreiten, gibt es viele. Was W32/Impard-A von diesen unterscheidet, sind seine weiteren Fähigkeiten. Nach der Analyse des britischen Antivirus-Herstellers Sophos nutzt dieser Wurm auch das P2P-Netzwerk BitTorrent zur Verbreitung. Verseuchte Rechner können außerdem über IRC (Internet Relay Chat) aus der Ferne manipuliert werden.

Der Schädling spricht mehrere Sprachen, darunter Deutsch, Englisch, Französisch und Spanisch. Er erkennt die Sprache des installierten Windows und versendet über den AIM und Microsofts Live Messenger Nachrichten in dieser Sprache. Darin enthalten ist eine Kopie des Wurm in einer ZIP-Datei namens "myphoto.zip". Die verschickten Mitteilungen lauten zum Beispiel "Blick auf das neue foto, das ich", "ich ein fotoalbum, sollte bilde ich dieses addieren?" oder "he wie geht es Ihnen?" - offenkundig ist der Programmierer der deutschen Sprache nicht mächtig sondern hat sich eines automatischen Übersetzungsdienstes bedient.

Der Wurm installiert auf dem Rechner einen Backdoor-Server, der sich über IRC fernsteuern lässt. Außerdem versucht er die Firewall-Einstellungen zu manipulieren, um auf das Internet zugreifen zu können. Er kopiert sich in die Datei C:\Recycler\msnservice.exe und legt einen Registry-Eintrag an, der diese Datei bei jedem Windows-Start ausführt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
MSN Services = C:\RECYCLER\msnservice.exe

Zur BitTorrent-Nutzung sucht er auf dem PC nach der Programmdatei "bittorrent.exe" und initiiert gegebenenfalls einen Torrent mit einer Kopie der Wurm-Datei. W32/Impard-A sucht nach installierten Bots, versucht diese zu beenden und an seinen Herrn und Meister zu senden. Somit schaltet er Konkurrenten aus und übernimmt den PC in sein eigenes Botnet.

Quelle : www.pcwelt.de

[SiLæncer]

Aktuell taucht bei diversen BitTorrent-Usern eine neue Malware auf. Über die Infektionsgrundlage ist noch nichts bekannt. Doch die Malware zielt darauf ab, den Usern ihr Geld aus der Tasche zu ziehen.

Obwohl es Filesharing-Abmahnungen bereits seit Jahren gibt, ist die Zahl der Trittbrettfahrer bisher vergleichsweise gering. Über die Gründe dafür kann nur gemutmaßt werden. Lohnend wäre ein solches Geschäft vermutlich allemal. Sinnigerweise sollte man den Tag jedoch nicht vor dem Abend loben. Eine neue Malware, die bisher primär bei BitTorrent Nutzern aufgetaucht ist, scheint dies nämlich ändern zu wollen.

Über die genaue Funktionsweise herrscht noch keine Klarheit. Vermutlich handelt es sich um infizierte Dateien. Sobald der User diese benutzen will, öffnet sich ein "Urheberrechtsverletzungs-Alarm". Die Anwendung sperrt den Desktop und leitet den Nutzer auf die Seite der "ICCP Foundation" weiter. Angeblich ein Unternehmen aus der Schweiz, das mit der Verfolgung von Urheberrechtsverletzungen beauftragt ist.

Auf der Website werden die User gewarnt. Es drohe ihnen eine Haftstrafe von bis zu fünf Jahren sowie eine Geldstrafe von 250.000 US-Dollar (ca. 180.000 Euro). Mit der Zahlung eines geringfügigen Betrages könnte man die ganze Sache aus der Welt schaffen. Gefordert werden rund 400 US-Dollar (ca. 290 Euro). Es steht dem Nutzer an dieser Stelle frei, ob er den Button "Fall vor Gericht bringen" oder "außergerichtlich einigen" anklickt.

Aufgrund des enormen "Preisnachlasses" ist es durchaus möglich, dass zahlreiche Nutzer das gefälschte Absolutionsangebot wahrnehmen. Um den Betrag überweisen zu können, müssen sie ihren vollständigen Namen, Adresse sowie sämtliche Kreditkarten-Details auf der Homepage hinterlegen. Dass diese umfangreich missbraucht werden können, steht außer Frage.

Wer sich für den Button "Fall vor Gericht bringen" entscheidet, erlebt eine neue Überraschung. Die Software beginnt damit, die Festplatten zu scannen. Dabei werden gezielt .torrent-Files gesucht und aufgelistet, um frühere "Verstöße" des Users offenzulegen.

Weitere Details sind bisher nicht bekannt. BitTorrent-Nutzer sollten Vorsicht walten lassen, da auch nicht klar ist, an welche Dateien die Malware angehängt ist. Es ist also durchaus möglich, dass auch Werke die gemeinfrei oder unter einem alternativen Schutz stehen damit infiziert sind.

Quelle : www.gulli.com

[SiLæncer]

Zwei französische Forscher konnten zwei Billionen BitTorrent-Downloads, 148 Millionen IPs und 3,6 Exabyte Traffic bis auf das letzte Bit analysieren. Daneben konnten sie Klarheit über 70% aller Seeder gewinnen. Selbst Anwender von Tor konnten dabei identifiziert werden.

Stevens Le Blond und Arnauld Legout stellten am Dienstag in San Jose auf den LEET' 10 Workshop Sessions ihr Forschungsprojekt vor. Die Forscher von INRIA (Französisches Forschungsinstitut für Informatik und Automatik) hatten über 103 Tage hinweg alle BitTorrent-Transfers genauestens untersucht. Sie waren auch größtenteils in der Lage, die Quellen der Warez ausfindig zu machen. So stammt ein Großteil aller urheberrechtlich geschützter Dateien von sehr wenigen Personen.

Sie würden nicht behaupten, dass es einfach sei, die wenigen illegalen Anbieter von ihrem Tun abzuhalten. Aber es wär schon sehr auffällig, dass derart wenige Anbieter so viele Billionen Downloads verursachen könnten. Auch der Kampf gegen die Raubkopierer wurde kritisiert. Es sei nicht verständlich, warum sich die Anti-Piracy Organisationen auf die Millionen Downloader stürzen würden, anstatt auf eine Handvoll illegaler Contentanbieter. Ersteres wirkt im Vergleich zur aktuellen Strategie wie der Kampf der Rechteinhaber gegen die Windmühlen.

Die Wissenschaftler gaben an, eine Sicherheitslücke des BitTorrent-Protokolls ausgenutzt zu haben. So hätten sie Befehle ausführen können, um beispielsweise massenhaft die IP-Adressen der Downloader zu sammeln. So wäre man sogar an die Tauschpartner gelangt, die sich mit dem Anonymisierungsdienst Tor schützen wollten. Schuld daran sei aber das fehlerhafte Protokoll von BitTorrent, nicht die Software von Tor selbst. Gegenüber dem IT-Portal "The Register" sagte Jacob Appelbaum vom Tor-Projekt, dass es in diesem Fall keinen Unterschied macht, ob jemand direkt oder über einen Anonymisierungsdienst verbunden ist. "Wenn jemand im BitTorrent-System herumpfuschen will, so wird es nichts geben, was ihn davon abhält". Das Projekt selbst warnt seine User eindringlich vor der Benutzung von BitTorrent-Clients via Tor.

Offensichtlich besteht erheblicher Bedarf zur Nachbesserung des P2P-Protokolls. Die beiden französischen Forscher dürften in den nächsten Tagen ehedem unzählige Anfragen von Rechteinhabern und IP-Ermittlern bekommen. Niemand wird sich freiwillig die Chance entgehen lassen, so tiefe Einblicke in das Geschehen zu gewinnen.

Die Zusammenfassung der Ergebnisse der Forscher vom dritten Usenix Workshop (Leet 10) in San Jose, Kalifornien ist hier verfügbar. Sie trägt passenderweise den Titel "Spying the world from your laptop"!

Eine ausführliche englischsprachige Analyse kann von hier bezogen werden.

Quelle : www.gulli.com

[Theos]

Jedes P2P protokoll is so ausgelegt, dass sich möglichst viele peers(also IPs) finden.
Nutzt man Tor, dann wird nur ein kleiner teil des verkehrs über das Tor netz geleitet (zumindest war's früher so), denn der ganze traffic würde zur überlastung führen oder es wäre zu langsam.

Die eigentlichen quellen konnten sie sicherlich nicht finden, nur halt die, die es bei den überwachten sites eingestellt hatten. Aber das geht bei Rapidshare et al. genauso...

[SiLæncer]

Unbekannte haben den Webserver des uTorrent-Projekts gehackt und den Windows-uTorrent-Client gegen Scareware ausgetauscht. Anwender, die sich die Datei heruntergeladen und installiert hatten, bekamen nach Angaben der Webseitenbetreiber den gefälschten Virenscanner "Security Shield” untergeschoben. Der gaukelte eine Infektion mit Viren vor und forderte den Anwender zur Bereinigung des Systems zu einem Kauf der Vollversion auf.

Die Manipulation sei am Morgen des 13.9. um 4:20 Uhr Ortszeit (USA, UTC -7) geschehen. Um 6 Uhr habe man den Einbruch bemerkt und den Server vom Netz genommen. Wie die Angreifer in den Server gelangten, ist nicht bekannt. Der Server ist aber wieder erreichbar. Für Anwender, die sich im betroffenen Zeitraum den Client heruntergeladen haben, gibt es im BitTorrent-Blog ein Anleitung, wie man die Scareware wieder los wird.

Quelle : www.heise.de

[SiLæncer]

In einem Blog-Beitrag hat ein Mitglied des BitTorrent-Chat-Teams die Eckpunkte eines neuen Kommunikationsdienstes skizziert. Es geht dabei um ein Chat-System, das ohne zentralen Server auskommt und stattdessen auf eine Peer-to-Peer-Kommunikation der beteiligten Clients setzt. Die Benutzer des Chat-Clients identifizieren sich nicht durch einen Login-Namen, sondern ihre Identität wird durch ein Public-Private-Schlüsselpaar dargestellt.

Für einen Verbindungsaufbau reicht die gegenseitige Kenntnis der öffentlichen Schlüssel. Die Kommunikationsdaten werden durch via Forward-Secrecy-Verfahren generierte temporäre Sitzungsschlüssel kodiert, sodass auch bei Kompromittierung der geheimen Schlüssel der Kommunikationspartner die Daten nicht nachträglich entschlüsselt werden können.

Den Bezug zwischen IP-Adresse und identifizierendem Schlüsselpaar stellt der Chat-Client her. Eine Suche nach einem Kommunikationspartner läuft statt über einen zentralen Verzeichnisserver über sogenannte Distributed Hash Tables (DHT), immer weiter expandierte Nachbar-Client-Anfragen, wie es auch bei den zur Verbreitung von Software und Medien eingesetzten BitTorrent und µTorrent der Fall ist.

Wer aktiv an Tests der Alpha-Version teilnehmen will, kann sich bei den Entwicklern dafür online bewerben.

Quelle : www.heise.de