SANS findet es seltsam, dass der Flicken nicht im Rahmen des Patchday vom Februar 2010 auftauchte. Microsoft klassifiziert das Update als „non-security upgrade“. Das Upgrade entwhält allerdings eine Abschwächung der Möglichkeit von „Credential Forwarding Attack“. Somit betrifft es sehr wohl die Sicherheit eines Systems. Das Update gibt es für Windows XP, Vista und Server 2003. Windows 7 ist nicht betroffen. Für Windows Server 2008 wurde der Patch ebenfalls neu veröffentlicht.

Quelle: TEC Channel

Die E-Mail hat folgendes Aussehen

Betreff: You have received an eCard

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Kopien seiner selbst werden hier erzeugt:
• %home%\Application Data\hidn\hldrrr.exe
• %home%\Application Data\hidn\hidn.exe

Es wird ein Archiv mit einer Kopie seiner selbst erstellt:
• c:\temp.zip

Es wird folgende Datei erstellt:
– c:\error.txt Diese Datei ist eine nicht virulente Textdatei mit folgendem Inhalt:
• Text decoding error.

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten.
– [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• drv_st_key = %home%\Application Data\hidn\hidn2.exe

Alle Werte des folgenden Registryschlüssel werden gelöscht:
• [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]

Folgender Registryschlüssel wird hinzugefügt:
– [HKCU\Software\FirstRun]
• FirstRun = 1

Folgender Registryschlüssel wird geändert, um die Windows XP Firewall zu deaktivieren:
– [HKLM\SYSTEM\CurrentControlSet\Services\wuauserv]
Alter Wert:
• Start = %Einstellungen des Benutzers%
Neuer Wert:
• Start = 4

So schützen Sie Ihr System Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!

Quelle: viren-ticker.de

In einem Blogeintrag erklärt Del Harvey, Leiterin des Teams Trust and Safety bei Twitter, dass Links in privaten Nachrichten und E-Mail-Benachrichtigungen ab sofort über den hauseigenen Kurz-URL-Dienst twt.tl umgeleitet und verlinkte Websites auf Schadcode untersucht werden.

“Dadurch, dass wir alle auf Twitter veröffentlichten Links über unseren Phishing-Filter umleiten, können wir schädliche Inhalte erkennen und abfangen und somit ihre Verbreitung verhindern”, sagte Harvey. “Auch wenn ein Nutzer bereits einen Link zu einer gefährlichen Website per E-Mail-Benachrichtigung erhalten hat und darauf klickt, können wir ihn schützen.”Kaspersky hatte im Oktober 2009 mit “Krab Krawler” ein ähnliches Sicherheitstool vorgestellt. Das Programm analysiert in öffentlichen Tweets enthaltene Links und blockiert schädliche Inhalte. Es ist nach Unternehmensangaben in der Lage, Kurz-URLs zu verarbeiten, und findet täglich zwischen 100 und 1000 Links zu gefährlichen Websites.

Quelle: ZDNet

In Spanien wurde von einem Angestellten der Sicherheitsfirma Panda Security ein Smartphone entdeckt, auf dessen Speicherkarte sich zahlreiche Viren eingeschlichen hatten . TecChannel hat Vodafone Deutschland um eine Stellungnahme gebeten.

Laut Thorsten Höpken, Pressesprecher von Vodafone, enthielt nur eine Speicherkarte eines HTC Magic in Spanien Malware. Laut Höpken ist dies „ein absoluter Einzelfall, der in Spanien auftrat. Hier wurde ein solches Gerät von einem Kunden manipuliert, der Karton mit einem gefälschten Siegel wieder verschlossen und in Umlauf gebracht.“.

Der Mobilfunkprovider hat aufgrund der Meldung stichprobenartig den Bestand an HTC Magic Smartphones untersucht, laut der Stellungnahme wurden dabei keinerlei verseuchte Geräte gefunden.

Quelle: TEC Channel

Laut einer Meldung von Microsoft wurde die Sicherheitslücke für alle Versionen des Internet Explorer 6 und 7 bestätigt. Die neuste Version 8 des Internet Explorer ist dem Bericht zu Folge nicht betroffen. Die Sicherheitslücke entsteht durch Objekte, die von Internet Explorer 6 und 7 verwendet und freigegeben wurden. Durch eine gezielte Manipulation dieser Objekte können Angreifer beliebigen Schadcode einspeisen.

Die Verwendung des Protected Mode mindert laut dem Bericht das Risiko eines erfolgreichen Angriffs. Dieser ist bei Betriebssystemen ab Windows Vista Standardeinstellung für den Internet Explorer. Ein Patch wird die nächsten Tage erwartet.

Quelle: TEC Channel

Ein Mitarbeiter von Panda Security hat bei Vodafone ein nagelneues Mobiltelefon mit Android erworben. Nach Inbetriebnahme stellte er fest, dass sich darauf der Schadcode Mariposa befindet. Das Telefon selbst war nicht richtig infiziert, enthielt aber die Dateien autoexec.inf und autoexec.bat. Somit versucht Mariposa jeden Windows-Rechner zu infizieren, an den das Telefon via USB angesteckt wird. Diese Microsoft-Anweisung gibt Aufschluss, wie Sie die so genannte „Autoplay“-Funktion entschärfen.

SANS stellt nun die Frage, warum man nicht einfach das Telefon infiziert hat. Die Technologie hierfür sei schließlich vorhanden. Man mutmaßt, dass dies einfach och nicht rentable genug für die Internetkriminellen sei. Der kommerzielle Nutzen sei auf Mobiltelefonen noch nicht stark genug ausgeprägt. Das Problem sei aber, dass es sehr wenige Telefone gebe, auf denen sich eine Antiviren-Software installieren lasse und die abgespeckten Rechner schwierig in Sachen Sicherheit zu konfigurieren seien. Somit sei es lediglich ein Frage der Zeit bis die Virenschreiber auch diesen Markt massiv angreifen.

Quelle: TEC Channel

An jedem zweiten Dienstag im Monat liefert Microsoft Sicherheits-Updates aus. Adobe ist diesem Beispiel gefolgt. Am gestrigen Dienstag gab es allerdings keine Updates von Adobe. Vor zwei Wochen stellte der Software-Hersteller aber ein wichtiges Update für Adobe Reader und Acrobat bereit. Wer dies noch nicht eingespielt hat, sollte das schleunigst tun. Internetkriminelle nutzen die Schwachstelle derzeit in so genannten gezielten Angriffen aus. F-Secure erhielt ein Beispiel von einem europäischen Finanzinstitut. Die PDF-Datei enthielt einen Downloader, der sich zu tiantian.ninth.biz verbinden wollte. Die Sicherheitsexperten haben dem Schadcode den Namen W32/PDFExploit.G gegeben.

F-Secure ist nicht überrascht, dass die Schwachstelle so schnell ausgenutzt wird. Laut einer Statistik steigt die Anzahl der gezielten Angriffe sogar massiv an. Adobe ist besonders in das Fadenkreuz der Entwickler geraten. Im Januar und Februar 2010 versuchten böswillige Hacker zu 61,20 Prozent via Adobe Reader Schadcode einzuschleusen. Ebenso haben sich die gezielten Angriffe im direkten Vergleich zu den Vorjahresmonaten verdoppelt.

Quelle: TEC Channel

Wie Dark Reading berichtet, wurde das Forschungsprojekt in der vergangenen Woche auf der RSA-Sicherheitskonferenz vorgestellt. Die TippingPoint-Mitarbeiter Derek Brown und Daniel Tijerina haben zum Aufbau des Botnetzes eine harmlose Wetter-Applikation entwickelt, die Daten von Weather Underground anzeigt. Sie wurde über Websites verteilt, die Anwendungen für Android und freigeschaltete iPhones anbieten. Aufgrund von Apples Sicherheitsbeschränkungen veröffentlichten die Forscher die Anwendung nicht im App Store.

“Nach 24 Stunden hatten wir 1862 Downloads”, erklärte Tijerina gegenüber Dark Reading. Bis Ende vergangener Woche sei die Zahl auf über 7800 angestiegen. “Das war eine echte Überraschung. Wenn es sich wirklich um Schadcode handeln würde, dann könnten wir jetzt eine Menge Bots kontrollieren.”

Um die Gefahr eines mobilen Botnetzes zu demonstrieren, haben die beiden Forscher dem Bericht zufolge auch eine schädliche Version ihrer Wetter-Applikation geschrieben. Sie sei in der Lage, Kontaktdaten, Adressen und Cookies zu sammeln und Spam zu verschicken. Die schädliche Anwendung werde aber nicht veröffentlicht.

Quelle: ZDNet

Die Mac-Ausgabe der Software ist laut networkworld.com nicht betroffen. Sollten sie die Energizer-Software und den Trojaner installiert haben, sind folgende Schritte notwendig, um diesen zu entfernen. Deinstallieren Sie zunächst die Software. Danach sollten Sie im Verzeichnis System32 die Datei arucer.dll, die eigentliche Backdoor, löschen. Als weitere vorbeugende Maßnahme können Sie noch den Port 7777/tcp mittels Firewall blockieren. Das Produkt wird zwar nicht mehr hergestellt, lässt sich aber zum Beispiel via Amazon immer noch bestellen. Die bösartige Software wurde jedoch bereits entfernt.

Quelle: TEC Channel

Die Sicherheitslücke entsteht durch einen Begrenzungsfehler bei der Verarbeitung von Playlist Einträgen. Angreifer, die diese Einträge gezielt manipulieren, können die Sicherheitslücke ausnutzen und beliebigen Schadcode über einen Stack-basierten Pufferüberlauf einspielen. Da kein Patch existiert, wird dringend empfohlen, auf den Einsatz des Yahoo Player zu verzichten.

Quelle: TEC Channel