Thema: Kaspersky ...

[SiLæncer]

Der AV-Hersteller Kaspersky hat eine neue Version des ActiveX-Controls herausgegeben, das der Kaspersky Online Scanner auf den Rechnern seiner Anwender installiert. Das fehlerbereinigte Control mit dem Dateinamen kavwebscan.dll trägt die Versionsnummer 5.0.98.0. Der Hersteller behebt damit kritische Schwachstellen, durch die sich verwundbare Systeme beim Besuch manipulierter Webseiten mit dem Internet Explorer unter Umständen mit beliebigem Schadcode infizieren können.

Die Versionsnummer des Controls lässt sich beispielsweise in den Dateieigenschaften anzeigen.

Ursache des Problems sind laut einem iDefense-Advisory Format-String-Verwundbarkeiten in mehreren Funktionen des ActiveX-Controls, die in Version 5.0.93.0 nachgewiesen wurden, vermutlich aber auch in den Vorgängerversionen zu finden sind. Wer sich über die Version des installierten Controls informieren möchte, findet es im Ordner C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner. Wird die Versionsnummer nicht bereits zusammen mit dem Dateinamen angezeigt, lässt sie sich durch einen Rechtsklick auf das Icon und die Auswahl von "Eigenschaften" abrufen.

Wer in der Vergangenheit den Online-Scanner verwendet hat, sollte umgehend handeln. Um die neue Version des Controls zu installieren, genügt ein weiterer Start des Scanners. Auch das Löschen der verwundbaren DLL-Datei schafft Abhilfe. Das Setzen des Kill-Bits für das Control, das die ID 0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75 trägt, verhindert zwar ebenfalls, dass sich die Schwachstelle ausnutzen lässt, macht jedoch auch Kasperskys Online-Scanner funktionsunfähig.
Anzeige

Siehe dazu auch:

    * Kaspersky Lab announces the release of a new version of its free Kaspersky Online Scanner, Meldung des Herstellers
    * Kaspersky Web Scanner ActiveX Format String Vulnerability, Advisory von iDefense

Quelle und Links : http://www.heise.de/security/news/meldung/97245/Kasperskys-Online-Scanner-installierte-verwundbares-ActiveX-Control

[SiLæncer]

Der russische Antivirenhersteller Kaspersky hat in der vergangenen Nacht ein Update der Viren-Signaturen verteilt, durch das die Datei explorer.exe, die unter anderem die Windows-Bedienoberfläche für Anwender bereitstellt, als Worm.Win32.Huhk.c erkannt wird. Dadurch haben einige Nutzer der Software und darauf basierender Antivirenlösungen wie der von Gdata diese Datei nachhaltig gelöscht und können ihr System nach einem Neustart nicht mehr bedienen.

Diese Situation tritt insbsondere dann ein, wenn die Windows File Protection deaktiviert wurde und Windows die explorer.exe nicht mehr automatisch wiederherstellen kann. Außerdem ist es möglich, dass Anwender alle auf dem System vorhandenen Kopien der Datei gelöscht haben, wodurch eine Wiederherstellung ebenfalls fehlschlägt. In so einem Fall kann jedoch eine Wiederherstellung mit der Installations-CD von Windows glücken, indem man die Datei entweder über die Rettungskonsole oder die Rettungsinstallation einspielt.

Kaspersky hat kurze Zeit nach der Veröffentlichung der fehlerhaften Signaturen ein weiteres Update nachgelegt, das nicht mehr zu einem Fehlalarm bei der Datei explorer.exe führt. Betroffene Anwender sollten daher, sofern möglich, ein manuelles Signaturupdate durchführen.

Fehlalarme von Virenscannern sind nicht ungewöhnlich, betreffen aber selten essenzielle Systemdateien. Beispielsweise hatte Avira Anfang des Jahres ein ähnliches Problem, als ein Signaturupdate zu einer fehlerhaften Erkennung der winlogon.exe als Schadprogramm geführt hatte. Bei der schnellen Reaktionszeit und den häufigen Updates von Kaspersky ist es jedoch bemerkenswert, dass es nicht häufiger zu Fehlalarmen kommt – viel Zeit zum intensiven Überprüfen der Signaturen vor der Auslieferung bleibt dem Unternehmen wahrscheinlich nicht.

Siehe dazu auch:

    * Virus Worm Win32 Huhk.c, Diskussion über den Fehlalarm in Kasperskys Benutzerforum
    * Virus-Fehlalarm von Avira in winlogon.exe, Meldung von heise Security

Quelle und Links : http://www.heise.de/security/news/meldung/100909/Fehlalarm-von-Kaspersky-legt-Windows-Rechner-lahm

[Warpi]

 Auf der Website hackersblog.org berichtet ein Teilnehmer mit dem Kürzel "unu" von seinen Erkenntnissen, wie man durch einfache Variation einiger Zeichen in der URL auf Seiten mit sensiblem Inhalt vorstoßen kann. Mit der SQL Injection genannten Technik gelange man an Daten über Kunden, Aktivierungscodes, Fehlerberichte, Administratorennamen und Shops. Zum Beleg hält der Entdecker der Sicherheitslücke einige Screenshots bereit. Dass Programme auf Webservern Eingabedaten nicht ausreichend filtern, ist ein weit verbreitetes Sicherheitsproblem.
Laut Medienberichten halten Sicherheitsexperten die Schilderungen für glaubhaft, so auch Roger Thompson vom Konkurrenten AVG. Kaspersky habe die Vorwürfe zunächst nicht kommentieren wollen und einige Stunden nach Bekanntwerden in einer E-Mail angekündigt, man benötige noch weitere Zeit. Auf Hackersblog rechtfertigte sich einer der Macher für die Veröffentlichung der Sicherheitslücke: Kaspersky brauche sich keine Sorgen zu machen, dass die Leute von hackersblog vertrauliche Dinge verbreiten würden. Man zeige nur mit dem Finger auf große Websites mit Sicherheitsproblemen.

Update:
Inzwischen erreichte heise online hierzu eine offizielle Stellungnahme von Kaspersky: Der Hersteller von Antiviren-Software bestätigt, dass ein Sicherheitsproblem vorlag. Es sei jedoch nur die amerikanische Seite usa.kaspersky.com betroffen. "Für die Webseiten und Server von Kaspersky Lab Central Europe bestand zu keiner Zeit eine Gefahr", beruhigen die AV-Spezialisten. Des weiteren habe man die Sicherheitslücke bereits 30 Minuten nach deren Entdeckung geschlossen. Das Statement enthält auch einige eher zweifelhafte Einschätzungen. So behauptet Kaspersky: "Die Sicherheitslücke war nicht kritisch und keine Daten wurden von der Seite gestohlen."

Quelle: heise.de

[SiLæncer]

Nach Kasperskys Webseite hat es nun offenbar auch den Webauftritt von BitDefender erwischt. Ein unter dem Pseudonym "unu" auf hackersblog.or schreibende Blogger hatte am Wochenende gezeigt, wie sich über SQL-Injection Daten über Kunden, Aktivierungscodes, Fehlerberichte und Administratorennamen auf Kaspserskys Seiten abrufen lassen.

Heute hat er sich die portugisischen Webseiten des Antivirenherstellers BitDefender näher angeschaut und sehr ähnliche Probleme in der Absicherung der Datenbank wie bei Kaspersky entdeckt. Durch einfache Manipulationen der URL ist SQL-Injection möglich, wodurch sich Teile von Kundendaten anzeigen lassen – darunter auch mehrere Tausend E-Mail-Adressen. "unu" hat in seinem Blog einige Screenshots zu dem Problem veröffentlicht. BitDefender soll über das Problem informiert sein.

[Update]:Bei der erwähnten Webseite handelt es sich nicht um einen vom Hersteller BitDefender betriebenen Auftritt. Bitdefender.pt wird von einem portugisischen Partner (Reseller) verwaltet. Derzeit ist die Seite nicht zu erreichen.[/Update]

Quelle : www.heise.de

[SiLæncer]

In einem Kurztest des Antiviren-Labors AV-Test übersahen die Virenscanner der soeben vorgestellten Kaspersky Internet Security 2010 und Kaspersky Anti-Virus 2010 gleich vier Schädlinge aus der Wildlist, einer Referenzliste von 3.194 verbreiteten Schädlingen. Die 2008er-Version mit ihrer älteren Engine identifizierte diese hingegen korrekt als "Email-Worm.Win32.Kipis.u", "Net-Worm.Win32.Mytob.bi" (2 Dateien) und "Backdoor.Win32.Rbot.bng".

Die Wildlist wird in regelmäßigen Abständen aktualisiert und dabei auch allen Herstellern von Antiviren-Software zur Verfügung gestellt. Sie gilt als eine Art Referenzstichprobe für die Funktionstüchtigkeit eines Virenscanners. Als echtes Qualitätsmerkmal hat sie bereits seit einiger Zeit ausgedient, weil sie neue Gefahren nicht ausreichend und wichtige Schädlingsgruppen wie Trojanische Pferde überhaupt nicht berücksichtigt. Auf Grund des Referenzcharakters der Sammlung ist es trotzdem besorgniserregend, dass dem Scanner gleich mehrere Schädlinge durchrutschen, die sein Vorgänger noch erkennt.

In den weiteren Tests des Labors hinterließen die Kaspersky-Produkte jedoch einen guten Eindruck. Insbesondere die verhaltensbasierte Erkennung, die schon im letzten c't-Test recht gut abschnitt, konnte die russische Firma anscheinend nochmal deutlich verbessern. So wurde die Mehrzahl der per Doppelklick auf einem Testsystem gestarteten brandneuen Schädlingsdateien von KIS als "nicht vertrauenswürdig" eingestuft und isoliert, obwohl sie der Signaturscan noch nicht erkannte. Auch die Reinigung von Schädlingen und die Erkennung beziehungsweise Entfernung bereits aktiver Rootkits funktionierte laut AV-Test anstandslos. AV-Test hat Kaspersky über die Patzer bei der Erkennung informiert; auf diesbezügliche Fragen von heise Security hat der AV-Hersteller jedoch bislang nicht geantwortet.

Quelle : www.heise.de

[SiLæncer]

Mit einem automatisch verteilten Update hat Kaspersky die Probleme der Produkte aus der 2010er-Serie bei der Erkennung von Schädlingen behoben. Die Ursache lag tiefer als es zunächst den Anschein hatte.

In einem Kurztest erkannte das neue Kaspersky Antivirus und Internet Security 2010 zunächst vier Schädlinge aus einer verbreiteten Referenzliste nicht. Dieses Problem beseitigte Kaspersky unverzüglich, indem man passende Signaturen nachreichte. In weiteren Tests zeigte sich jedoch, dass weitaus mehr Schädlinge betroffen waren und nicht erkannt wurden, obwohl die Vorgängerversionen diese durchaus identifizieren konnten. Dabei stellte sich heraus, dass alle mit dem gleichen Laufzeitpacker gepackt waren. Offenbar arbeitete die Unpack-Routine der 2010er-Engine nicht korrekt, sodass der nachgeschaltete Signatur-Scan den Schädling nicht erkannte.

Zum Hintergrund: Virenautoren verpacken ihren Unrat mit sogenannten Laufzeitpackern wie UPX, FSG und ASPack immer wieder neu, um die Signatur-Erkennung von AV-Scannern auszutricksen. Diese Packer komprimieren den Code eines Programms und bauen davor eine Routine ein, die es beim Start wieder auspackt. In der Folge finden dann viele Scanner die Signatur des Schädlings nicht mehr und lassen ihn unbeanstandet passieren. Da auch normale Programme derartige Laufzeitpacker verwenden, können Antivirenprogramme auch nicht einfach jedes komprimierte Programm monieren, ohne die Fehlalarmquote hoch zu treiben. c't testet deshalb in den Tests von Antivirenprogrammen bereits seit geraumer Zeit, ob sich Virenscanner mit derartigen Laufzeitpackern austricksen lassen. Die guten Scanner sind in der Lage, die Kompressions-Methode zu erkennen, das Programm auszupacken und dann den Signatur-Scan auf das Originalprogramm anzuwenden. Kaspersky erkannte beispielsweise im letzten Test rund 90 Prozent der komprimierten Schäldlinge.

Magnus Kalkuhl, Senior Virus Analyst bei Kaspersky, bestätigte gegenüber heise Security jetzt, dass Kaspersky das Unpacking-Modul der 2010er-Engine korrigiert und diese neue Version im Rahmen des normalen Update-Prozesses verteilt hat. Seltsam bleibt, dass Kaspersky diesen Fehler nicht selbst, bei eigenen Vorabtests des Produkts bemerkt hatte.

Quelle : www.heise.de

[SiLæncer]

Kaspersky Internet Security 2010 und Anti-Virus 2010 geraten laut eines vom Sicherheitsspezialisten Maksymilian Arciemowicz veröffentlichten Berichts bei präparierten URLs aus dem Tritt. Die Produkte schalten einen Filter-Proxy zwischen den lokalen Browser und dem Netz und parsen die im Browser aufgerufene URL. Enthält diese mehr als 1024 aufeinanderfolgende Punkte, so erhöht sich aufgrund eines Programmierfehlers die CPU-Last der Komponente avp.exe drastisch. In der Folge kann der Browser keine Seiten mehr abrufen.

Der Fehler lässt sich sowohl über Links in Webseiten als auch über Links in HTML-Mails provozieren. Der Fehler wurde in Kaspersky Internet Security 2010 9.0.0.459 und Vista und Kaspersky Anti-Virus 2010 9.0.0.463 unter XP Home Edition verifiziert. Ein Update zu Behebung des Fehlers gibt es noch nicht.

Siehe dazu auch:

    * Kaspersky AV/IS 2010 (avp.exe) Denial-of-Service

Quelle : www.heise.de

[SiLæncer]

Uns erreichen derzeit vermehrt Hinweise zu Virenwarnungen der Antiviren-Software von Kaspersky und G-Data beim Öffnen von Web-Seiten – unter anderem auch auf heise online. Wie es aussieht, handelt es sich dabei um einen Fehlalarm. Eine offizielle Stellungnahme des Herstellers steht zwar noch aus, allerdings wird das Thema bereits heftig in den Kaspersky-Foren diskutiert. Dort berichtet auch ein Betroffener, der technische Support habe ihm bestätigt, dass es sich um falschen Alarm handele.

Der Wächter moniert Verweise auf xxp://pagead2.googlesyndication.com/pagead/show_ads.js, mit denen Google-Anzeigen eingeblendet werden. Kaspersky meldet dabei einen Trojan.js.redirector.ar. Doch weder ein manueller Check der Datei noch eine Analyse mit Virenscannern auf Virustotal  fördern etwas konkret verdächtiges zu Tage. Da manche G-Data-Versionen die Kaspersky-Engine und deren Signaturen einsetzen, erhalten auch deren Anwender gelegentlich diesbezügliche Alarmmeldungen.

Quelle : www.heise.de

[SiLæncer]

So mancher Brite wird sich am gestrigen Mittwoch beim Besuch der BBC-Website über das neue Geschäftsmodell der öffentlich-rechtlichen Sendeanstalt gewundert haben. "Zugriff verweigert!", meldete die Sicherheits-Suite "Internet Security 2011" des Softwareherstellers Kaspersky auf dem frisch renovierten Internetauftritt. Angeblich würden unter anderem Passwörter und Kreditkartennummern an diesem bösen Ort gestohlen.

Das kann doch nicht mit rechten Dingen zugehen, dachte sich ein Kaspersky-Nutzer beim Anblick der irritierenden Warnmeldung und informierte den Hersteller über Twitter. Das Unternehmen reagierte prompt: Es handele sich tatsächlich um einen Fehler. Der Support arbeite an einer Lösung. Mittlerweile sorgt ein manuelles Update der Signaturdatenbank für Abhilfe.

Die "False positives", also falsche Positivtreffer, stiften nicht nur Verwirrung, wie im Fall des Kaspersky-Phishing-Filters: Ist etwa ein Virenscanner nach dem Signatur-Update beharrlich der Meinung, wichtige Systemdateien seien mit Schadcode infiziert, bootet das Betriebssystem nach erfolgreicher "Bereinigung" unter Umständen nicht mehr.

Quelle : www.heise.de

[SiLæncer]

Kaspersky hat die Revision 10.0.1 der 2011-Versionen von Kaspersky Anti-Virus (KAV) und Kaspersky Internet Security (KIS) fertiggestellt – bisher allerdings nur auf deutsch und französisch. Diese Revision wurde zuvor als "Critical Fix 1" getestet.

Das neue Release soll grobe Probleme mit dem Erst-Release von KAV und KIS 2011 beseitigen (Build 11.0.0.232) – darunter das von einigen Anwendern beobachtete "Einfrieren" des Rechners am Ende eines Signatur-Updates.

Mitte Juni hatte Kaspersky beide Programme auf Revision 11.0.0.232 (a) gepatcht. Das Update auf 11.0.1.400 muss der Anwender derzeit per Hand herunterladen und einspielen. Es ist dazu nicht nötig, eine bestehende Installation von KAV/KIS 2011 zu entfernen. Nach dem Update ist ein Neustart fällig, gefolgt von einem Signatur-Update – die mit 10.0.1 ausgelieferten Signaturen stammen vom 1. Juli.

Der Umstieg auf die 2011-Generation lief für viele Anwender eher holprig: Einige Installationen verweigerten das Update mit einer Fehlermeldung, die "schwarze Lizenzliste" ungültiger Seriennummern sei beschädigt. Bei bestimmten Konfigurationen nahm KIS in regelmässigen Intervallen kurzzeitig den ganzen Arbeitsspeicher in Beschlag. Andere Anwender mussten nach der Installation von Kaspersky 2011 ihre USB-Eingabegeräte neu anschließen, da Windows sie nicht mehr erkannte. Auch aktualisiert der Critical Fix die "Kaspersky Anti-Spam Extension" für Thunderbird, sodass sie jetzt auch unter Thunderbird 3.1 funktioniert.

Quelle : www.heise.de

[SiLæncer]

Ausgerechnet die Website des Antiviren-Software-Unternehmens Kaspersky wurde am vergangenen Sonntag in eine Malware-Schleuder verwandelt. Für dreieinhalb Stunden wurde über den Server der russischen Firma Schadsoftware verteilt. Nach den Angaben einiger Nutzer von Kasperskys Support-Foren sollen die Verantwortlichen der Firma eine Kompromittierung der Server zunächst bestritten haben.

Angeblich sollen Kaspersky-Mitarbeiter zunächst unterstellt haben, die betroffenen Nutzer wären auf einer Phishing-Seite gewesen. Am heutigen Dienstag jedoch gab Kaspersky den sicherheitsrelevanten Vorfall öffentlich zu. Die unter "kasperskyusa.com" erreichbare Website wurde - angeblich durch eine verwundbare Third-Party-Software - kompromittiert und zur Malware-Verbreitung benutzt.

Benutzer der kompromittierten Seite wurden auf eine bösartige Website umgeleitet. Diese versuchte mit gefälschten Warnmeldungen sogenannte Scareware - gefälschte Sicherheitssoftware - an den Mann zu bringen. Infiziert wurden wahrscheinlich nur Benutzer, die auf den Trick hereinfielen und die Software herunterluden.

Über die näheren Umstände des Vorfalls schweigt Kaspersky sich aus. Auch mit Ratschlägen für betroffene Nutzer ist man bisher sparsam. Man erklärte lediglich, die Angreifer hätten keinen Zugriff auf Kundendaten gehabt und man habe den Angriff nach der Entdeckung schnell beenden können. Kaspersky-Sicherheitsforscher versuchen momentan, mögliche Folgen des Angriffs zu identifizieren.

Quelle : www.gulli.com

[SiLæncer]

gulli:News liegt mittlerweile die Original-Stellungnahme von Kaspersky Labs vor. Darin heißt es, nachdem die Admins über den Vorfall informiert wurden sei der Server innerhalb von zehn Minuten vom Netz genommen worden. Danach habe man die Dateien durch saubere Originalversionen ersetzt und außerdem eine komplette Sicherheitsüberprüfung sämtlicher Server - auch von dem Vorfall nicht betroffener Maschinen - durchgeführt, um sicher zu stellen, dass sie aktuelle und sichere Software verwenden. Momentan sei der betroffene Server "sicher und in vollem Umfang wieder online".

Quelle : www.gulli.com

[SiLæncer]

Seit gestern bereitet offenbar die Antiviren-Software von Kaspersky in Firmenumgebungen ernste Probleme. Administratoren von Servern mit Kaspersky Anti-Virus klagen in Foren über hohe Systemlast – bis hin zum Stillstand des kompletten Systems. Die Berichte beziehen sich auf Windows-Server mit KAV 6 Enterprise, ob auch andere Versionen betroffen sind, ist derzeit unklar.

Auslöser des Problems scheint ein Signatur-Update zu sein. Als temporäre Abhilfe empfehlen Betroffene ein Rollback auf einen älteren Signaturstand und das gleichzeitige Deaktivieren des Signatur-Updates. Eine Stellungnahme von Kaspersky steht noch aus; in den Forenbeiträgen berichten jedoch Anwender, dass der Support ihnen die Existenz des Problems bestätigt habe.

Quelle : www.heise.de

[ritschibie]

Gottseidank sind die privaten Umgebungen nicht betroffen. Meine Systemlast liegt auch heute (nach Kaspersky Update v. gestern) unter Vista bei 1%...

[SiLæncer]

Kaspersky bestätigt, dass am Samstag Abend ein fehlerhaftes Update für Kaspersky Anti-Virus 6.0 for Windows Servers Enterprise veröffentlicht wurde. Das führte dann zu den beschriebenen Lastproblemen auf Windows-Server-Systemen. Heute, am 25.10 gegen 12:46 hat der Hersteller ein weiteres Update veröffentlicht, das den Fehler wieder beseitigen soll.

Quelle : www.heise.de