Schlagwort "trojan"

(am) – Microsoft warnt vor einem neuen Trojaner, der in der Lage ist, die Kontrolle über Facebook-Konten zu übernehmen. Einem Blogeintrag zufolge tarnt er sich als Erweiterung für die Browser Chrome und Firefox. Bisher sei der Schädling offenbar in erster Linie auf Nutzer in Brasilien ausgerichtet. Es sei aber einfach, ihn für andere Länder und Sprachen zu modifizieren.

Die “Trojan:JS/Febipos.A” genannte Malware versuche wie jede legitime Browsererweiterung, sich selbst zu aktualisieren, heißt es. Nach der Installation prüfe sie, ob der Nutzer bei Facebook angemeldet sei, und lade dann eine Konfigurationsdatei herunter. Sie enthalte mehrere Befehle für die Browsererweiterung. Anschließend könne der Trojaner verschiedene Aktionen ausführen, etwa “Gefällt mir” anklicken, einer Gruppe beitreten, Nachrichten veröffentlichen, Inhalte teilen und auch Chat-Nachrichten an die Freunde eines Opfers verschicken.

Bestimmte Varianten des Trojaners posten laut Microsoft auch provokante Nachrichten auf Portugiesisch, der Amtssprache Brasiliens. Sie enthielten wiederum Links zu anderen Facebook-Seiten.

Weiterlesen

(am) – Das Bundesinnenministerium hat laut einem Zeitungsbericht einen Vertrag über einen neuen Bundestrojaner abgeschlossen. Die Spähsoftware werde aber weiterhin getestet und nicht eingesetzt.

Das Bundesinnenministerium gibt 147.000 Euro für die Beschaffung eines neuen Bundestrojaners aus. Das berichtet die Zeit. Demnach habe das Innenministerium einen Vertrag mit dem Münchner Unternehmen Elaman geschlossen. Für die knapp 150.000 Euro erhalte das Ministerium eine 12-monatige Lizenz des Schnüffelprogramms für bis zu zehn Rechner.

Ende März hatte die Piratenpartei eine Anzeige gegen das Bundeskriminalamt (BKA) wegen des Kauf des Späh-Trojaners FinFisher (auch FinSpy genannt) eingereicht, der von Eleman (dessen britischen Partner Gamma) stammt. Bisher hieß seitens des BKA, dass die Software nur gekauft worden sei, um sie zu testen. Die Zeit konnte vom Bundesinnenministerium in Erfahrung bringen, dass die Spähsoftware weiterhin getestet werde und nicht im Einsatz sei. Offenbar sind weitere Änderungen notwendig, weil bisher noch nicht alle Anforderungen erfüllt würden.

Erst kürzlich hatte Mozilla die Bundestrojaner-Entwickler öffentlich gerügt, weil die Spähsoftware sich als Firefox tarnt und gegen pro-demokratische Aktivisten in Bahrain und Malaysia zum Einsatz gekommen sei.

Quelle: PC Welt

(am) – Nutzer von Android-Smartphones stehen vermehrt im Visier von Hackern. Die Zahl mobiler Schädlinge hat im Februar 2013 zum ersten Mal die Zehntausender-Marke überschritten.

Android ist als Betriebssystem für Smartphones und Tablet ein lohnendes Ziel für Hack- und Sabotageangriffe. Im Unterschied zu Apples iOS und Microsofts Windows Phone bietet das als offenes System konzipierte Android deutlich mehr Angriffspunkte für eine Kompromittierung. Das verdeutlicht die Zahl der in Umlauf befindlichen Malware: Mobile Schädlinge haben im Februar 2013 zum ersten Mal die Zehntausender-Marke überschritten, gab Kaspersky Lab heute bekannt. Das Hauptziel von Smartphone-Attacken ist nach wie vor Android. Über 96 Prozent von mobiler Malware hat es auf das Google-Betriebssystem abgesehen.

Nach den Untersuchungen der Virenforscher gibt es eine quantitative und qualitative Steigerung mobiler Schädlinge. Vor allem die Zahl der Backdoor-Apps nahm zu und liegt nun über der von SMS-Trojanern. Während Angreifer SMS-Trojaner nutzen, um unbemerkt vom infizierten Smartphone Textnachrichten an Premium-Nummer zu senden und so Geld vom betroffenen Konto abzuzweigen, eröffnen Backdoor-Apps Kriminellen zu einem Smartphone oder Tablet. So können Angreifer beispielsweise persönliche Daten stehlen, darunter Bilder, Videos, Kontaktdaten, Telefonnummern, Mail-Adressen oder GPS-Koordinaten.

Weiterlesen

(am) – Eine Gruppe von Cyberkriminellen hat es speziell auf beliebte Online-Games abgesehen. Schon seit 2009 soll die Gruppe aktiv sein.

Die cyberkriminelle Organisation “Winnti” manipuliert die Systeme von Online-Spieleherstellern und stiehlt geistiges Eigentum sowie digitale Zertifikate. Das hat der Antiviren-Spezialist Kaspersky herausgefunden. Seit 2009 soll “Winnti” Unternehmen in der Online-Spieleindustrie signierte digitale Zertifikate sowie geistiges Eigentum stehlen, etwa auch Quellcodes von Online-Spieleprojekten.

Der erste Vorfall, der die Aufmerksamkeit auf die Aktivitäten der “Winnti”-Gruppe lenkte, ereignete sich im Herbst 2011, als ein Trojaner auf einer Vielzahl von Heimcomputern auf der ganzen Welt entdeckt wurde. Die Gemeinsamkeit zwischen den infizierten Computern war, dass sie für ein beliebtes Online-Spiel benutzt wurden. Kurz nach dem Zwischenfall wurden Details bekannt, wonach das schadhafte Programm über ein reguläres Update vom offiziellen Server des Spiele-Publishers auf die Computer der Spielefans gelangte. Zunächst wurde der Publisher selbst verdächtigt, seine Kunden auszuspionieren. Später wurde jedoch klar, dass Cyberkriminelle das Schadprogramm eingeschleust und es eigentlich auf das Spieleunternehmen selbst abgesehen hatten.

Weiterlesen

(am) – Die Piratenpartei Deutschland hat das Bundeskriminalamt (BKA) wegen des Kaufs verfassungswidriger Überwachungssoftware angezeigt. Da der Trojaner FinFisher der Firma Eleman/Gamma einen grundlegenden Eingriff in die Privatsphäre darstelle, sei er wahrscheinlich ebenso als verfassungswidrig einzustufen wie der zuvor von DigiTask entwickelte Bundestrojaner “O’ zapft is”. Damit wäre er nicht einsetzbar.

Die Ausgaben für den neuen Trojaner bezeichnen die Piraten daher als Verschwendung von Steuergeldern. Zudem kritisieren sie, dass die Bundesregierung Überwachungssoftware einkauft, die von Regimen im Nahen Osten gegen Oppositionelle eingesetzt wird.

“Die Bundesregierung und das BKA verschwenden Millionen an Steuergeldern für Kauf und Erprobung verfassungswidriger Software. Sie begeben sich damit in schlechte Gesellschaft: Diktaturen auf der ganzen Welt nutzen FinFisher, um Demokratiebewegungen zu unterdrücken. Das BKA sollte seine Gelder lieber in die Ausbildung seiner Computerforensiker stecken und so einen tatsächlichen Sicherheitsvorteil schaffen, statt sie für verfassungswidrige Software auszugeben”, sagte Sebastian Nerz, stellvertretender Bundesvorsitzender der Piratenpartei Deutschland. Er hat die Anzeige gemeinsam mit Markus Barenhoff eingereicht, der ebenfalls stellvertretender Vorsitzender der Piraten ist.

Weiterlesen

(am) – Apples Malware-Scanner XProtect identifiziert den Adware-Trojaner Yontoo als “OSX.AdPlugin.i” und warnt den Mac-OS-Anwender vor seiner Installation. Apple reagiert damit schon kurz nachdem Doctor Web, ein russischer Anbieter von Antivirensoftware, über die zunehmende ungewollte Installation dieser Adware unter Mac OS X berichtete.

Yontoo ist eine Erweiterung für die Browser Safari, Chrome und Firefox, die unter Max OS X bevorzugt zum Einsatz kommen. Das Plug-in übermittelt Informationen über die besuchten Webseiten an einen entfernten Server und baut eigene Werbung in diese Seiten ein – versieht sogar Apples eigene Website mit fremder Werbung. Während die Werbung noch als einfach nur lästig durchgehen könnte, ist auch die Injektion bösartigen Codes in Webseiten nicht auszuschließen.

Die Installation der Adware erfolgt durch Täuschung der Anwender. Sie werden beispielsweise auf einer Seite für Spielfilmtrailer aufgefordert, einen HD-Videoplyer zu installieren – und bekommen tatsächlich die unerwünschten Erweiterungen für die eingesetzten Webbrowser. Es gibt auch schon länger eine Windows-Version von Yontoo, die Symantec jedoch nur als potenziell unerwünschte Anwendung mit geringem Risiko einstuft.

Weiterlesen

Deutschsprachige Malware-E-Mails zielen auf Kunden des beliebten Online- Shops ab

Das Research-Team von Eleven, führender deutscher E-Mail- Sicherheitsdienstleister, warnt vor einer aktuellen Welle gefährlicher E-Mails, die sich gezielt an Kunden des beliebten Online-Versandhändlers Zalando.de wenden. Die E- Mails haben Betreffzeilen wie „Ihre Bestellung finden Sie im Anhang. Zalando.de“ oder „Zalando.de – Ihre Bestellung vom 11.12.2013“ und geben vor, im Anhang Bestellbestätigungen des Online-Shops zu enthalten. Die E-Mails sind sehr kurz gefasst, verzichten auf Logos und andere gestalterische Elemente, enthalten aber eine Unterschrift mit der tatsächlichen Adresse des Unternehmens. Der Anhang ist als Bestellung.zip bezeichnet. Die Zip-Datei enthält die ausführbare Datei Zalando- Bestellung.exe, deren Öffnen den Trojaner W32/Trojan.TOPZ-6677 aktiviert.

Eleven rät Nutzern, solche E-Mails sofort zu löschen und in keinem Fall den Dateianhang anzuklicken. Wenn Nutzer nicht sicher sind, ob sich die E-Mail nicht vielleicht doch auf eine tatsächliche Bestellung bezieht, sollten sie den Kundenbereich der Website des Online-Shops aufsuchen oder den Anbieter direkt kontaktieren. Die Malware-Kampagne ist ein weiteres Beispiel für die Zunahme länderspezifischer Spam- und Viren-Wellen, die oftmals im Zielland besonders populäre Marken als Köder einsetzen.

Weiterlesen

(am) – Mitarbeiter von Sophos haben einen neuartigen Bot entdeckt, der Schadcode in den Hauptspeicher einschleust und ausführt. Da der Schädling nicht auf der Festplatte gespeichert wird, ist er besonders schwierig zu entdecken.

Nach Angaben von Sophos handelt es sich bei dem Bot um einen experimentellen Prototypen, den die Malware-Autoren derzeit in einem Feldversuch testen und Debugging-Informationen sammeln. Die digitale Signatur des Bots ist nach der Analyse identisch mit einem Zero-Day-Exploit, den zuvor Experten bei Kaspersky Lab entdeckt haben.

Übertragen wird der Bot per Spam-E-Mail. Der darin enthaltene Link führt auf einen Server in die Türkei. Vor dort lädt der Schädling weiteren eine Datei namens Scode.dll mitsamt den Shellcode-Dateien Scodeexp.txt und Scode.txt nach. Er nutzt dafür eine nicht bekannte Sicherheitslücke in Adobes Flash Player und funktioniert bisher nur in Firefox. Die an Windows XP oder andere Windows-Versionen angepassten Shellcode-Dateien speichern die ausführbare Datei Taskmgr.exe, die in Scode.dll enthalten ist, in einem Temp-Ordner und laden die gültig zertifizierte Datei Explorer.exe nach. Diese wird als IAStorIcon.exe im Autostart-Ordner abgelegt wird. Der Rechner bleibt so auch nach einem Neustart infiziert.

Weiterlesen

(am) – Eine neue Variante des Banking-Trojaners Shylock nutzt offenbar ein Skype-Plugin, um Rechner zu infizieren. Bisher ist nur knapp die Hälfte der Virenscanner in der Lage, den gefährlichen Schädling zu erkennen.

Shylock, benannt nach einer Figur in Shakespeares Drama “Der Kaufmann von Venedig” ist ein bereits seit 2011 bekannter Trojaner, der auf den Diebstahl von Online-Bankdaten sowie anderer Finanz-Informationen ausgelegt ist.

Der Schädling wird offenbar fortlaufend weiterentwickelt. Bisher verbreitete er sich primär über USB-Sticks. Mitarbeiter der dänischen Sicherheitsfirma CSIS haben jetzt herausgefunden, dass die neueste Variante des raffinierten Trojaners auch Skype als Einfallstor nutzt.

Möglich ist das durch ein neues Shylock-Modul mit der Bezeichnung “msg.gsm”. Die Aufgabe des Plugins ist es, Shylock in Form einer Datei über Skype einzuschmuggeln. Damit dies nicht auffällt, bestätigt der Trojaner die Warndialoge in Skype, die normalerweise bei Drittanwendungen ausgegeben werden. Darüber hinaus löscht der Schädling auch die Übertragungsdaten aus dem Log von Skype.

Weiterlesen

(am) – Apple iMac und ein Apple iPad wurden heute an Sie versendet: So versuchen Internet-Kriminelle aktuell per E-Mail einen Trojaner unterzuschieben. Genaue Informationen zu der Versandinfo könne man der gepackten Datei im Anhang entnehmen.

Wird die sich im Anhang befindende Datei entpackt und die angebliche Versandinfo durch einen Doppelklick geöffnet, erhält man jedoch keine Informationen über den Versandstatus. Stattdessen installiert sich der Trojaner auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen:

Betreff: Versendung einer Bestellung
E-Mail-Text: Apple iMac und ein Apple iPad wurden heute an Sie versendet
Betroffene Betriebssysteme: Alle Windows-Versionen.

Weiterlesen