Schlagwort "malware"

(am) – Sicherheitsexperten analysieren derzeit die Cyberattacken auf Südkorea und liefern die ersten Ergebnisse. Demnach wurde unter anderem eine Malware eingesetzt, die das Ziel hat, Linux-Rechner auszuschalten.

Die Sicherheitsexperten von Symantec haben bei der Analyse des Codes, der bei der Cyber-Attacke auf Südkorea verwendet wurde, eine Komponente entdeckt, die das Ziel hat, Linux-Rechner unschädlich zu machen. Laut einem Blog-Eintrag von Symantec ist es eher unüblich, dass in der Windows-Malware, die bei der Attacke zum Einsatz kam, eine Komponente steckt, die Linux-Maschinen löscht. Symantec hat die Malware auf den Namen “Jokra” getauft.

Die weitere Analyse von Jokra durch Symantec ergab, dass die Malware überprüft, ob auf dem befallenen Windows-Rechner die Remote-Software mRemote installiert ist, die für den Fernzugriff auf Rechner unterschiedlicher Plattformen verwendet werden kann.

Weiterlesen

(am) – Kaspersky Lab und CrySys Lab haben neue Details zur Malware “Miniduke” veröffentlicht, die für Angriffe auf Regierungseinrichtungen und Behörden in mehreren europäischen Ländern genutzt wurde. Der Schädling setzte nicht nur manipulierte PDF-Dateien ein, um sich zu verbreiten, sondern auch bekannte Sicherheitslücken in Java und Microsofts Internet Explorer 8.

“Bei der Untersuchung des Befehlsservers von Miniduke haben wir Dateien gefunden, die keinen Bezug zum Code des Servers hatten”, schreibt Kaspersky-Lab-Experte Igor Soumenkov in einem Blogeintrag. “Es scheint, als seien sie vorbereitet worden, um Besucher mit webbasierten Schwachstellen zu infizieren.” Dabei hätten sich die Hintermänner der Methode bedient, Frames in legitimen Websites mit Schadcode zu präparieren.

Der dabei eingesetzte Java-Exploit richtet sich Kaspersky zufolge gegen eine von Oracle am 13. Januar gepatchte Zero-Day-Lücke. Der Schadcode ähnele dem Code, der zuvor im Exploit-Kit Metasploit veröffentlicht worden sei. Er sei leicht geändert worden, um eine Erkennung zu erschweren. Das schädliche Java-Applet selbst hätten die Hacker am 11. Februar auf ihren Server geladen.

Weiterlesen

(am) – Costin G. Raiu, Leiter des Forschungs- und Analyseteams bei Kaspersky Labs, hat auf der CeBIT vor Journalisten weitere Details zur Malware Red October genannt. Sie späht vor allem Regierungseinrichtungen zahlreicher Länder aus. Über die Malware hatte Kaspersky Mitte Januar erstmals berichtet. Damals schon hatte nahegelegen, dass die Autoren russisch als Muttersprache sprechen.

Außerdem war klar, dass die Autoren sehr gezielt vorgegangen sind: Ihre Software enthielt nämlich eine Nutzer-ID, was zeigt, dass sie für jedes Ziel separat kompiliert wurde. Kaspersky hatte auch darauf hingewiesen, dass der wesentliche Teil des Code nicht neu sei, sondern eine Weiterentwicklung einer chinesischen Malware, mit der zuvor Tibet-Aktivisten ausspioniert wurden.

Raiu gab nun zusätzlich preis, dass Kaspersky von einem Kunden aus Europa auf die Malware aufmerksam gemacht worden sei. Der größte Teil der Server, auf den Red October für seine Tätigkeit zurückgriff, stand in Deutschland und in Russland. In Deutschland hatten die Angreifer beim Hoster Hetzner etwa die Hälfte der 25 von ihnen verwendeten Server verdeckt angemietet.

Weiterlesen

Das Analystenteam für Internetbedrohungen von Commtouch und Eleven analysiert aktuelle Trends in den Bereichen Spam, Schadsoftware, Internetsicherheit und Mobile Security.

Android-Schadsoftware und Internetbedrohungen für Nutzer mobiler Geräte haben im Lauf des letzten Quartals 2012 exponentiell zugenommen. Dies geht aus dem „Internet Threats Trend Report“ hervor, den Commtouch® (NASDAQ: CTCH), ein führender Anbieter von Internetsicherheitstechnologie und Cloud-basierten Diensten, im Februar 2013 veröffentlicht hat.

Der Bericht zeigt, dass die Zahl an Android-Schadsoftware zwischen September und Dezember 2012 um mehr als das Fünffache zugenommen hat. Im Dezember sammelte das Labor von Commtouch über 214.000 Beispiele von Android-Schadsoftware; im September waren es erst rund 41.000. Und im Juli hatte die Menge der gesammelten Beispiele sogar nur bei 14.000 gelegen. Darüber hinaus beobachteten die Security-Experten im Laufe des letzten Quartals 2012 einen wesentlichen Anstieg von E-Mail-Viren.

Indien war auch im vierten Quartal der „Hotspot“ für die Verbreitung von Spam über Zombie- PCs. Mit einem Anteil von 17,5 Prozent fiel das Land zwar unter die 20-Prozent-Marke, liegt aber immer noch weit vor China (9,5 Prozent) und Vietnam (8 Prozent). Asien ist die Region, die in dieser Liste hervorsticht, denn unter den ersten zehn Ländern befinden sich außerdem noch Pakistan (5. Platz), Iran (6. Platz) und Kasachstan (10. Platz). Die Vereinigten Staaten liegen mit einem Anteil von 2,7 Prozent auf Rang 8.

Weiterlesen

(am) – Kaspersky Lab und CrySys Lab warnen vor einer neuen Malware, die für Angriffe auf Regierungseinrichtungen und Behörden in mehreren europäischen Ländern genutzt wurde. Der “MiniDuke” genannte Schädling nutzt Fehler in Adobe Reader aus. Er wurde unter anderem in der Ukraine, Belgien, Portugal, Tschechien, Irland und Rumänien gesichtet.

MiniDuke verbreitet sich demnach über manipulierte PDF-Dateien. Die Hintermänner hätten sehr glaubhafte und echt wirkende PDFs erstellt, so Kaspersky. Der Exploit selbst sei in Assembler geschrieben und nur 20 KByte große. Er nutze inzwischen gepatchte Schwachstellen in Reader 9, 10 und 11 aus.

Das Schadprogramm erstelle nach dem ersten Start eine eindeutige ID und verschlüssele jegliche Kommunikation mit seinen Entwicklern, heißt es weiter in dem Bericht. Die Server, mit denen MiniDuke Kontakt aufnehme, befänden sich in Panama und der Türkei. Die Malware verfüge zudem über Techniken, um Antiviren- und Sicherheitsexperten davon zu überzeugen, dass sie ungefährlich sei.

Weiterlesen

(am) – Die Website des großen US-TV-Senders NBC wurde angegriffen und verbreitete einen gefährlichen Schädling an die Website-Besucher.

Hacker haben am Donnerstag die Website des US-TV-Senders NBC angegriffen. Darauf hin wurde über die Website mehrere Stunden ein Schädling verbreitet, der Online-Banking-Daten der Nutzer stiehlt. Im eigenen Technologie-Blog räumte NBC den Angriff ein, nachdem mehrere Sicherheitsexperten den Sender darauf hingewiesen hatten.

Google-Chrome-Nutzer wurden bereits kurze Zeit nach der Attacke vor dem Besuch der Website gewarnt. Laut den Sicherheitsspezialisten von Emsisoft war es den Angreifern gelungen, auf der NBC.com-Website bösartige IFrames einzubinden. Eine erste Analyse ergab außerdem, dass beim Besuch der angegriffenen Website versucht wurde, die unter dem Namen Citadel bekannte Malware über diverse Sicherheitslücken auf die Rechner der Nutzer zu schleusen.

Weiterlesen

(am) – Die Website der Sparkasse war am Montag Ziel eines Hackerangriffs. Unbekannte platzierten auf einzelnen Seiten von Sparkasse.de Schadsoftware, wie der Deutsche Sparkassen- und Giroverband (DSGV) mitteilt. Die Seiten der lokalen Sparkassen und das Online-Banking waren davon angeblich nicht betroffen.

Der DSVG rät allen Internetnutzern, die am 18. Februar zwischen 12.45 Uhr und 17.05 Uhr die Site Sparkasse.de besucht haben, ihren Rechner mit einer aktuellen Sicherheitssoftware auf Viren und Trojaner zu überprüfen. Eine mögliche Infektion könne mit allen gängigen Lösungen entfernt werden.

“Die betroffenen Seiten wurden umgehend vom Netz genommen und werden erst nach eingehender Prüfung wieder online gestellt”, schreibt der DSGV. Dadurch habe man den Angriffsversuch schnell unterbinden können. Weitere Informationen zu dem eingeschleusten Trojaner wolle man aus Sicherheitsgründen derzeit noch unter Verschluss halten.

Auf Sparkasse.de finden sich laut DSGV ausschließlich Erstinformationen für Kunden. Für die Homepage gälten weniger hohe Sicherheitsanforderungen als für die Kundenseiten oder das Online-Banking-Angebot. Daher seien letztere auch nicht betroffen gewesen. Auch Angriffe auf Homebanking-Programme von Kunden seien nicht beobachtet worden.

Quelle: ZDNet

Malware-Kampagne nutzt weitverbreitetes Trusted-Shops-Gütesiegel als Köder

Das Research-Team von Eleven, führender deutscher E- Mail-Sicherheitsdienstleister, warnt vor einer massiven Welle virenverseuchter E-Mails, die derzeit im deutschsprachigen Raum unterwegs ist. Die Kampagne zielt auf Nutzer von Online-Shops ab und hat Betreffzeilen wie: „Zahlungsbestätigung für Käuferschutz TS369C-2172146666188. Trusted Shops Deutschland GmbH“ oder „Käuferschutz TS689C-5047642656087 zur Bestellung bei Smartbuyglasses.de“. Weitere Online- Shops, deren Namen von den Urhebern genutzt werden, sind unter anderem Veromoda.com, Frick-wein.de oder Apodiscounter.de.

Die Masche der Betrüger: In den E-Mails wird behauptet, der Empfänger hätte einen Käuferschutz beim Online-Shop-Zertifizierer Trusted Shops abgeschlossen, dessen Bestätigung bzw. Rechnung sich im Anhang der E-Mail befände. Statt der Bestätigung enthält der Anhang, der sich als komprimierte Zip-Datei tarnt, eine ausführbare Datei, die beispielweise den Namen Online_Bestellung.exe oder ähnliches trägt. Öffnet der Nutzer diese, wird der Trojaner 3.ETZ, der vor allem Windows-Systeme befällt, auf den Rechner des Nutzers geladen. Versandt wird die Welle fast ausschließlich von deutschen IP-Adressen. Der Trusted-Shops-Käuferschutz wird für Online-Shops angeboten, die das Trusted-Shops-Gütesiegel tragen und sichert den Kunden im Fall der Nichtlieferung oder nach Rückgabe der Ware gegen den Verlust seiner Kaufpreiszahlung ab.

Weiterlesen

(am) – Kaspersky hat in Google Play zwei als Clean-Up-Tools getarnte Schadprogramme entdeckt, die einen Computer infizieren und den Nutzer ausspionieren können. Wie Sicherheitsexperte Victor Chebyshev in einem Blogeintrag schreibt, laden die Apps “Superclean” und “DroidCleaner” automatisch Schadcode herunter und führen ihn aus, sobald das Android-Gerät mit einem Windows-PC verbunden wird.

Die über die Android-Programme eingeschleuste Malware kann Kaspersky zufolge die Audiorekorderfunktion von Windows nutzen, um das Mikrofon des Computers zu aktivieren und Konversationen aufzuzeichnen. Die Gespräche werden als Audiodatei gespeichert und anschließend an den Angreifer versandt.

Der Erfolg der Attacke hängt davon ab, ob das Autostart-Feature für externe Laufwerke in Windows eingeschaltet ist. In neueren Versionen des Betriebssystems ist es standardmäßig deaktiviert. Daher sind nur Nutzer älterer Windows-Ausgaben betroffen oder jene, die die Autostart-Funktion wieder aktiviert haben.

Weiterlesen

(am) – BKA und BSI warnen vor einer aktuellen digitalen Erpressungswelle bei der Internetnutzung.

Wieder ist eine neue Variante von Erpressungs-Schadsoftware, eine so genannte Ransomware, im Umlauf, die Computer infiziert und sperrt. Eine Nutzung des Rechners ist nicht mehr möglich. Dabei wird durch die Schadsoftware ein sogenanntes Popup-Fenster mit den Logos des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der Gesellschaft für Verfolgung von Urheberrechtsverletzungen (GVU) eingeblendet. Darin wird dem Nutzer unterstellt, dass der Rechner im Zusammenhang mit der Verbreitung kinderpornografischen Materials, bei terroristischen Aktionen, Urheberrechtsverletzungen oder anderen Straftaten genutzt worden sei.

Wie bei Ransomware üblich, wird der Nutzer schließlich zur Zahlung von 100 Euro über die digitalen Zahlungsdienstleister uKash oder Paysafecard aufgefordert, um einen Freigabecode zur angeblichen Entsperrung des Rechners zu erhalten.

Weiterlesen