(vr) – Das SANS Internet Storm Center berichtet, dass wieder ein infiziertes Gerät am markt verkauft wird. Diesmal betrifft es Mobiltelefone von Vodafone mit Android.
Ein Mitarbeiter von Panda Security hat bei Vodafone ein nagelneues Mobiltelefon mit Android erworben. Nach Inbetriebnahme stellte er fest, dass sich darauf der Schadcode Mariposa befindet. Das Telefon selbst war nicht richtig infiziert, enthielt aber die Dateien autoexec.inf und autoexec.bat. Somit versucht Mariposa jeden Windows-Rechner zu infizieren, an den das Telefon via USB angesteckt wird. Diese Microsoft-Anweisung gibt Aufschluss, wie Sie die so genannte „Autoplay“-Funktion entschärfen.
SANS stellt nun die Frage, warum man nicht einfach das Telefon infiziert hat. Die Technologie hierfür sei schließlich vorhanden. Man mutmaßt, dass dies einfach och nicht rentable genug für die Internetkriminellen sei. Der kommerzielle Nutzen sei auf Mobiltelefonen noch nicht stark genug ausgeprägt. Das Problem sei aber, dass es sehr wenige Telefone gebe, auf denen sich eine Antiviren-Software installieren lasse und die abgespeckten Rechner schwierig in Sachen Sicherheit zu konfigurieren seien. Somit sei es lediglich ein Frage der Zeit bis die Virenschreiber auch diesen Markt massiv angreifen.
Quelle: TEC Channel
(vr) – Die Sicherheitsspezialisten von F-Secure warnen vor gezielten Angriffen mit PDF Dateien. Internetkriminelle nutzen derzeit verstärkt die Schwachstelle CVE-2010-0188 aus.
An jedem zweiten Dienstag im Monat liefert Microsoft Sicherheits-Updates aus. Adobe ist diesem Beispiel gefolgt. Am gestrigen Dienstag gab es allerdings keine Updates von Adobe. Vor zwei Wochen stellte der Software-Hersteller aber ein wichtiges Update für Adobe Reader und Acrobat bereit. Wer dies noch nicht eingespielt hat, sollte das schleunigst tun. Internetkriminelle nutzen die Schwachstelle derzeit in so genannten gezielten Angriffen aus. F-Secure erhielt ein Beispiel von einem europäischen Finanzinstitut. Die PDF-Datei enthielt einen Downloader, der sich zu tiantian.ninth.biz verbinden wollte. Die Sicherheitsexperten haben dem Schadcode den Namen W32/PDFExploit.G gegeben.
F-Secure ist nicht überrascht, dass die Schwachstelle so schnell ausgenutzt wird. Laut einer Statistik steigt die Anzahl der gezielten Angriffe sogar massiv an. Adobe ist besonders in das Fadenkreuz der Entwickler geraten. Im Januar und Februar 2010 versuchten böswillige Hacker zu 61,20 Prozent via Adobe Reader Schadcode einzuschleusen. Ebenso haben sich die gezielten Angriffe im direkten Vergleich zu den Vorjahresmonaten verdoppelt.
Quelle: TEC Channel
(jp) - Zwei Sicherheitsforscher haben ein mobiles Botnetz aufgebaut, das aus rund 8000 iPhones und Android-Smartphones besteht. Sie wollen damit auf mögliche Sicherheitsrisiken hinweisen, die von Anwendungen von Drittanbietern ausgehen können.
Wie Dark Reading berichtet, wurde das Forschungsprojekt in der vergangenen Woche auf der RSA-Sicherheitskonferenz vorgestellt. Die TippingPoint-Mitarbeiter Derek Brown und Daniel Tijerina haben zum Aufbau des Botnetzes eine harmlose Wetter-Applikation entwickelt, die Daten von Weather Underground anzeigt. Sie wurde über Websites verteilt, die Anwendungen für Android und freigeschaltete iPhones anbieten. Aufgrund von Apples Sicherheitsbeschränkungen veröffentlichten die Forscher die Anwendung nicht im App Store.
Weiterlesen
(jp) – Was hat eine Firma, die AA-Akkus ausliefert, mit Trojanischen Pferden auf Computern zu tun? Ziemlich viel: Energizer lieferte seit 2007 ein Ladegerät in USA, Europa und Asien aus, das via USB-Anschluss AA-Akkus auflädt. Dazu gab es eine Software für Windows und Mac, die den Ladestand der Akkus anzeigt. Mit der Installation der Windows-Version gab es kostenlos einen so genannten Trojaner oben drauf. Die Malware öffnet böswilligen Hackern laut US-CERT Tür und Tor.
Die Mac-Ausgabe der Software ist laut networkworld.com nicht betroffen. Sollten sie die Energizer-Software und den Trojaner installiert haben, sind folgende Schritte notwendig, um diesen zu entfernen. Deinstallieren Sie zunächst die Software. Danach sollten Sie im Verzeichnis System32 die Datei arucer.dll, die eigentliche Backdoor, löschen. Als weitere vorbeugende Maßnahme können Sie noch den Port 7777/tcp mittels Firewall blockieren. Das Produkt wird zwar nicht mehr hergestellt, lässt sich aber zum Beispiel via Amazon immer noch bestellen. Die bösartige Software wurde jedoch bereits entfernt.
Quelle: TEC Channel
(jp) - Laut einer Meldung der Sicherheitsexperten von Secunia tritt die Schwachstelle in der aktuellen Version 1.5.01.409 des Yahoo Player auf. Andere Versionen des Mediaplayer sind unter Umständen ebenfalls betroffen.
Die Sicherheitslücke entsteht durch einen Begrenzungsfehler bei der Verarbeitung von Playlist Einträgen. Angreifer, die diese Einträge gezielt manipulieren, können die Sicherheitslücke ausnutzen und beliebigen Schadcode über einen Stack-basierten Pufferüberlauf einspielen. Da kein Patch existiert, wird dringend empfohlen, auf den Einsatz des Yahoo Player zu verzichten.
Quelle: TEC Channel
(jp) – Sophos warnt vor einer aktuellen Schädlingsattacke, bei der Cyberkriminelle das weltweite Interesse an der Oscar-Verleihung ausnutzen. Nur wenige Stunden nach den diesjährigen Academy Awards in Los Angeles stellten die Betrüger zahlreiche manipulierte Websites zum weltweit wichtigsten Filmpreis ins Netz, die sie durch irreführende Suchmaschinenoptimierung (SEO) bewerben. Solche Adressen finden sich schon unter den ersten 25 Suchergebnissen bei Google.
Statt aktueller Nachrichten rund um den Oscar erhalten filmbegeisterte Internetnutzer auf den Seiten nur eine Aufforderung zum Kauf sogenannter Scareware: Es wird vor fehlendem Schutz vor Bedrohungen gewarnt und zum Erwerb einer vermeintlichen Antivirenlösung aufgefordert, die keinerlei positive Funktion hat, sondern zumeist im Gegenteil als Hintertür zum Rechner für Kriminelle dient.
Weiterlesen
(jp) – Ein als Strafanzeige der Kripo getarnter Wurm verbreitet sich wieder mit der alten Masche per E-Mail: Der Empfänger sei angeblich beim Herunterladen von Filmen, Software und MP3 erwischt und der Inhalt seines PCs als Beweismittel sichergestellt worden. Eine entsprechende Strafanzeige, so der Mail-Text weiter, „wird Ihnen in den nächsten Tagen schriftlich zugestellt“. Details zu den gesammelten Beweisen sollen sich im Anhang befinden – doch lauert dort nicht der Staatsanwalt, sondern der Wurm Mytob.BW9.
Die E-Mail hat folgendes Aussehen
Betreff: „Ermittlungsverfahren wurde eingeleitet“
Dateianhang: „text.pdf.exe“
E-Mail-Text: „ Sehr geehrte Damen und Herren, das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar. Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 62.36.148.*** erfasst wurde. Der Inhalt Ihres PCs wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet. Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.”
Dateigröße: 53.248 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Weiterlesen
(am) - Die Entiwckler von PHP haben Version 5.3.2 zur Verfügung gestellt. Die zweite Wartungsausgabe bessert über 60 Fehler und Sicherheitsmängel aus.
Kurz nach Veröffentlichung von PHP 5.2.13 haben die Entwickler auch eine Wartungs-Ausgabe des 5.3.x-Zweigs zur Verfügung gestellt. Version 5.3.2 bessert drei Sicherheitsprobleme aus und verbessert über 60 weitere Fehler. Ebenso gibt es Unterstützung für SHA-256 und SHA-512 für PHPs crypt. Des Weiteren haben die Entwickler weitere Sicherheit für $_SESSION integriert.
Weitere Informationen finden Sie im Changelog der Software. Für eine Umstellung von PHP 5.2 auf 5.3 ist ein Blick in das Migrations-Dokument lohnenswert. Herunterladen können Sie PHP 5.3.2 aus dem Download-Bereich der Projektseite. Binärdateien für Windows finden Sie hier. Es stehen Ausgaben mit Visual Studio Compiler Version 6 und 9 übersetzt zum Download bereit.
Quelle: TEC Channel
(am) - Mit einer brisanten, unwahren Schlagzeile wollen Internet-Kriminelle Schadcode auf den Rechner schleusen.
Derzeit ist eine E-Mail im Umlauf die von einem „Nuklearschlag seitens Nordkorea gegen Japan“ berichtet. Anwender sollen glauben, dass die Nachricht vom US-Geheimdienst ist. Angeblich hat die Rakete Okinawa getroffen und erheblichen Schaden angerichtet haben. Das SANS Internet Storm Center berichtet, dass die Nachricht sehr professionell gemacht ist und glaubhaft aussieht.
Im Anhang der Nachricht befindet sich eine ZIP-Datei, die eine ausführbare Datei enthält. Welcher Virus oder Schadcode eingebettet ist, ist nicht ganz klar. Lediglich Symantec erkennt die gepackte Datei als Suspicious.Insight. Im Forum von malwarebytes.org spricht man von einer Zbot-Variante. Bei Erhalt einer solchen Nachricht sollte man diese am besten sofort löschen.
Quelle: TEC Channel
(jp) - Der Trojaner Dldr.Tiny6 ist per E-Mail unterwegs und lockt mit einem angeblichen Paket das von UPS versendet wird. Nach einem Doppelklick auf die im Anhang befindliche Datei, werden jedoch keine Informationen zum Versandstatus des Pakets angezeigt, stattdessen installiert sich der Trojaner auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: Ihr UPS Paket N5277746143
Größe des Dateianhangs: 2.139 Bytes
E-Mail-Text unterschiedlich – meist: Ihr UPS Paket N5277746143.
Weitere Informationen zum Versandstatus des Pakets finden Sie im Anhang.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Weiterlesen
