Eine neue Version des Mail-Wurms Sober verbreitet sich mittlerweile recht zügig im Internet. Während die Mass-Mailing-Würmer Netsky (vermutlich ein weiteres Produkt des Sasser-Urhebers) und Bagle mittlerweile mit zweistelligen Varianten gezählt werden, bescheiden sich die Urheber bei Sober momentan noch mit Variante G. Die neue Sober-Version ist eine weitere Variante von Sober.F, der seit Anfang April sein Unwesen treibt und die Anwender mit an englisch- oder deutschsprachige Länderdomains angepasste Texte verwirrt.


Bislang stufen die Antiviren-Hersteller Sober.G noch als relativ ungefährlich ein, befürchten aber, dass er sich schnell verbreiten könnte. Auf den Mail-Servern des Heise-Verlags nimmt die Häufigkeit von Sober.G in eingehenden Mails momentan zu. Wie Sober.F kommt Sober.G mit deutschen und englischen Mail-Texten daher und scheint zu versuchen, nicht nur den Mail-Text, sondern auch die Betreffzeile an den Empfänger anzupassen. Sober.G benutzt ebenfalls eine eigene SMTP-Engine, um sich mit gefälschten Absenderinformationen an Adressen aus dem Adressbuch des lokalen Systems zu verbreiten. Außerdem versucht Sober.G, eine Datei von Internet-Servern nachzuladen.

Die Antiviren-Firmen haben mittlerweile die Signatur-Dateien für ihre Virenscanner aktualisiert. Die Beschreibungen zu Sober.G bringen Details zur Infektionsmethode, zu den Versuchen, Dateien aus dem Internet nachzuladen, und zum Vorgehen zur Entfernung des Wurms von befallenen Systemen.

Meldung vom 15.05.2004 10:50

ei den Ermittlungen gegen die Urheber des Internetwurms Sasser hat die Staatsanwaltschaft nach Angaben des Nachrichtenmagazins Focus auch den Tippgeber ins Visier genommen. Gegen denjenigen, der den Microsoft-Konzern auf die Spur des Sasser-Programmierers geführt habe, werde ebenfalls wegen Computer-Sabotage ermittelt, berichtet das Magazin in seiner neuesten Ausgabe.

Der Sprecher der Staatsanwaltschaft Verden, Detlev Dyballa, sagte der dpa, es werde gegen fünf weitere Personen ermittelt. "Ich kann nicht ausschließen, dass darunter auch derjenige ist, der den Hinweis gegeben hat." Vorrangig liefen die Ermittlungen aber weiter gegen den Urheber des Computer-Wurms. Nähere Angaben wollte der Sprecher mit Blick auf die noch laufende Arbeit der Behörden nicht machen. "Ob die Tippgeber im Prozess aussagen müssen, steht noch nicht fest. Vielleicht brauchen wir sie gar nicht. Und wenn gegen sie selbst ein Verfahren liefe, hätten sie zum Beispiel ein Aussageverweigerungsrecht", erklärte Dyballa zudem der Süddeutschen Zeitung. Gegen die Interpretation, Tippgeber und Verdächtige seien identisch, hat der Oberstaatsanwalt auch gegenüber der Tageszeitung zumindest nichts einzuwenden: "Könnte sein."

Die Staatsanwaltschaft hatte bereits am Donnerstag berichtet, dass auch fünf Freunde des 18 Jahre alten Sasser-Drahtziehers aus dem Kreis Rotenburg/Wümme unter Verdacht geraten sind. Sie sollen an der Verbreitung des Computer-Wurms Netsky beteiligt gewesen sein. Ob sie auch etwas mit dem Wurm Sasser zu tun hatten, ist noch unklar. Die Polizei beschlagnahmte bei ihnen sechs Computer. Dabei gerieten auch die Berufbildenden Schulen in Rotenburg an der Wümme, an denen die Verdächtigen Schüler der Informatik-Klasse waren, ins Visier der Strafverfolgungsbehörden: "Sie haben sich umgeschaut, aber keine Daten auf unseren Computern gefunden", sagt Wolf Hertz-Kleptow, Leiter der Schule, gegenüber der Süddeutschen. Er hätte andernfalls alle sechs der Schule verweisen müssen -- schuleigene Computer für kriminelle Zwecke zu missbrauchen führe zwangsläufig zum Ausschluss.

Sollte der Tippgeber ebenfalls an der Verbreitung von Sasser mitgewirkt haben, wird er nicht in den Genuss der von Microsoft ausgesetzten Belohnung von bis zu 250.000 Dollar kommen.

Wurm-Familie Korgo befällt Windows-Systeme

Nicht King Kong bedroht derzeit Windows-Systeme, auf denen die LSASS-Sicherheitslücke noch offen ist, sondern der neue Wurm W32.Korgo. Gleich eine ganze Familie von .A bis .F belästigt seit Anfang des Monats Windows-XP- und -2000-Anwender. Warum nach den verheerenden Auswirkungen von W32.Sasser immer noch in so vielen Rechnern kein Patch installiert wurde, ist unklar. Korgo.F hat jedenfalls bei Symantec bereits die Risikostufe 3 erreicht, der Hersteller stellt auch schon ein Removal-Tool zur Verfügung. Die anderen Hersteller von Antivirensoftware haben den Wurm bislang erst in Stufe Low eingeordnet.


W32.Korgo.F infiziert Rechner über Port 445 und öffnet Hintertürchen auf den Ports 113, 3067 und weiteren zufälligen. Darüber hinaus versucht er sich mit folgenden IRC-Servern auf Port 6667 zu verbinden, um Kommandos entgegenzunehmen:

gaspode.zanet.org.za
lia.zanet.net
irc.tsk.ru
london.uk.eu.undernet.org
washington.dc.us.undernet.org
los-angeles.ca.us.undernet.org
brussels.be.eu.undernet.org
caen.fr.eu.undernet.org
flanders.be.eu.undernet.org
graz.at.eu.undernet.org
moscow-advocat.ru
gaz-prom.ru

Die meisten Hersteller haben ihre Virensignaturen schon aktualisiert.


Quelle: www.heise.de (http://www.heise.de/)

Neue Würmer und altbekannte Schädlinge verbreiten sich

Ein neuer Hybrid-Schädling nutzt zur Verbreitung Lücken im Windows LSASS- und RPC-Dienst, und eine neue Netsky-Variante versucht, den Harry-Potter-Wahn auszunutzen.

Der von Kasperky Labs Plexus getaufte Hybrid-Wurm verbreitet sich einerseits über E-Mail (.exe-Deteianhang) und Windows-Netzwerkfreigaben. Andererseits nutzt der Wurm aber auch die Sicherheitslücken im LSASS-Dienst und RPC-Dienst, über die sich auch Sasser, Korgo und Lovsan/W32.Blaster selbstständig, ohne Zutun des Anwenders verbreiteten. Für beide Sicherheitslücken stehen Patches zur Verfügung, die aber offensichtlich auf vielen Systemen noch nicht eingespielt wurden. Mit Plexus infizierte Rechner weisen eine Datei "upu.exe" im system32-Verzeichnis von Windows auf. Ferner öffnet der Wurm diverse Ports auf dem Rechner, die als Hintertür genutzt werden können.
mehr (http://www.heise.de/newsticker/meldung/47946)


Quelle: heise

Netsky tarnt sich als Harry-Potter-Spiel

Der Harry Potter-Virus ist ausgebrochen, und damit ist nicht nur die Aufregung um den neuen Blockbuster gemeint. Viren-Programmierer nützen den Hype um den neuesten Film des Zauberschülers um eine weitere Version des Netsky-Virus im Internet zu verbreiten.

Auch wenn der Schöpfer des Netsky-Virus längst in Askaban einsitzt, treibt eine weitere Variante des Schädlings weiterhin sein Unwesen im Internet. Der Virenschutz-Spezialist Sophos meldet tausende neue Fälle der Variante Netsky-P. Die Verbreitung ist vor allem auf die schlaue Tarnung zurückzuführen: Der Virus gibt sich als Game zum neuen Film aus. Wie schon seine Vorgänger verbreitet sich Netsky vor allem über Filesharing-Programme und als Massenmails.


Quelle: www.krone.at

Oracle E-Business Suite offen für SQL-Injection

Die Sicherheitsfirma Integrigy warnt vor einem Fehler in der Oracle E-Business Suite, der es erlaubt, quasi beliebige SQL-Statements oder Prozeduren innerhalb der Datenbank auszuführen. mehr (http://www.heise.de/security/news/meldung/47986)


Quelle: heise

Cisco-Switches mit CatOS stürzen bei fehlerhaftem Verbindungsaufbau ab

Besitzer von Cisco-Switches mit dem Betriebssystem CatOS sollten auf die neueste Version aufrüsten, da Angreifer einen Fehler im TCP-Handshake für Denial-of-Service-Attacken ausnutzen können. Nach Angaben des Herstellers provoziert ein fehlerhafter Verbindungsaufbau zum Telnet-, SSH- oder HTTP-Server des Switchmanagements einen Absturz und Neustart des Gerätes. Dazu genügt es beim TCP-Handshake, anstatt des abschließenden ACK-Paketes ein ungültiges Paket zu senden. Dieser Angriff lässt sich so auch mit gefälschten IP-Absenderadressen durchführen. >>> mehr (http://www.heise.de/security/news/meldung/48109)


Quelle: heise

Löchriger RealPlayer gefährdet Windows-PCs

Anwender des RealPlayers von Real Networks könnten kurz vor dem Wochenende nochmal in Wallung geraten, haben doch die Sicherheitsdienstleister iDEFENSE und EEYE zwei Sicherheitslöcher entdeckt. Mit manipulierten Media-Dateien können Angreifer Programme auf verwundbare Systeme schleusen, um den Rechner unter ihre Kontrolle zu bekommen. >>> mehr (http://www.heise.de/security/news/meldung/48149)


Quelle: heise

Sicherheitslücke in Apache-Modul mod_proxy

Das Modul mod_proxy des Apache-Webservers enthält eine Schwachstelle, die sich für Denial-of-Service-Attacken ausnutzen lässt. Mit mod_proxy arbeitet der Apache wie ein Web-Proxy. Durch Angabe eines negativen Wertes im Content-Length-Header eines HTTP-Paketes kann ein Angreifer mit einem manipulierten Webserver einen Buffer Overflow in proxy_util.c provozieren. In der Folge stürzt zumindest der Apache-Child-Prozess ab, sobald ein verwundbarer Apache eine Verbindung dorthin aufbaut. Unter FreeBSD 5.2.1 soll nach Angaben von Georgi Guninski, Entdecker der Sicherheitslücke, eventuell auch das Ausführen von Code möglich sein. >>> mehr (http://www.heise.de/newsticker/meldung/48146)


Quelle: heise

Löchriger RealPlayer gefährdet Windows-PCs

Anwender des RealPlayers von Real Networks könnten kurz vor dem Wochenende nochmal in Wallung geraten, haben doch die Sicherheitsdienstleister iDEFENSE und EEYE zwei Sicherheitslöcher entdeckt. Mit manipulierten Media-Dateien können Angreifer Programme auf verwundbare Systeme schleusen, um den Rechner unter ihre Kontrolle zu bekommen. >>> mehr (http://www.heise.de/security/news/meldung/48149)

Neue Version des KerioMailServers beseitigt Schwachstellen

Der Hersteller Kerio, bekannt durch seine für Privatanwender kostenlose Personal Firewall, hat die Version 5.7.10 des MailServers veröffentlicht, in der laut Changelog insgesamt elf Fehler beseitigt sind. >>> mehr (http://www.heise.de/security/news/meldung/48151)

Spam-Virus für rassistische Mails heisst jetzt Sober.H

F-Secure, ein Hersteller von Antiviren-Software, hat jenem Schädling, der seit dem vergangenen Donnerstag Spam-Mails mit rassistischem Inhalt verschickt, einen Namen gegeben: Sober.H verbreitet sich nicht selbst, sondern wird von dem Mass-Mailing-Wurm Sober.G als 59747 Byte große Datei "doerkggg.exe" nachgeladen. >>> mehr (http://www.heise.de/security/news/meldung/48195)

Quelle: heise

Virus verschickt rassistischen Spam

Spam-Versender und Viren-Schreiber hocken unter einer Decke: Ein rassistisches Mail wird derzeit mit Hilfe eines Virus im Internet verbreitet. Statt Schaden anzurichten, versendet Sober.G vom infizierten Computer aus rassistische und antisemitische Pamphlete.

Virenexperten registrieren eine wahre Flut an den rechtsradikalen Propaganda-Mails, während gleichzeitig das Aufkommen des Virus selbst schlagartig nachgelassen hat. Unklar ist, ob der Wurm bereits im Vorhinein die Spam-Funktion integriert hatte, oder ob diese im Nachhinein dazu gekommen ist. Möglich scheint auch die Variante, dass einzelne Module aus dem Viren-Code von anderen Tätern verändert wurden. Nachdem die meisten Mails über einen Server der Universität Rostock verschickt wurden, geriet die Uni erst in Verdacht. Erst später wurde klar, dass Sober.G sich zu einem Spam-Virus gewandelt hat. Tückischerweise werden die ausländerfeindlichen Spam-Mails mit gefälschten Absendern verschickt.

Quelle: www.krone.at

Schutzfunktion von Sygates Personal Firewall ausgehebelt
Die Fail-Close-Funktion der Sygate Personal Firewall PRO -- eine Option zum Blocken von Verbindungen, falls der Firewall-Dienst nicht läuft -- kann von bösartigen Programmen umgangen werden. Da der Firewall-Treiber die Herkunft von Kommandos nicht überprüft, können auch Anwendungen mit eingeschränkten Zugriffsrechten die Fail-Close-Funktion deaktivieren. >>> mehr (http://www.heise.de/security/news/meldung/48212)

OpenBSDs VPN-Dienst weiterhin fehlerhaft [Update]
Isakmpd, die OpenBSD-Implementierung des ISAKMP-Protokollrahmens zum Aufbau und Betrieb von IPSec-VPNs, bleibt weiterhin fehlerhaft. Nach Angaben von Thomas Walpuski, der isakmpd von OpenBSD auf Linux portiert hat und bereits seit November 2003 über mehrere Fehler in isakmpd berichtet, können Angreifer immer noch unautorisiert beliebige VPN-Verbindungen beenden. >>> mehr (http://www.heise.de/security/news/meldung/48214)

Bluetooth-Handys ermöglichen WLAN-Surfen auf fremde Kosten
Der Security-Dienstleister Integralis hat eine gravierende Sicherheitslücke im Zusammenspiel zwischen WLAN-Hotspots und bestimmten Bluetooth-Handy-Modellen aufgedeckt. Demnach können Angreifer Zugang zu kostenpflichtigen Hotspots der Anbieter Vodafone und T-Mobile über Bluetooth-Handys von Dritten erlangen. Die eigentlichen Nutzer der Bluetooth-Handys bemerken von diesem Vorgang nichts -- und dürften sich am Monatsende über unerwartete Posten auf ihrer Handy-Rechnung wundern. >>> mehr (http://www.heise.de/security/news/meldung/48216)

Quelle: heise

Gravierende Sicherheitslücke im Linux-Kernel 2.4 und 2.6

Ein Bug im Linux-Kernel führt dazu, dass Anwender mit einem einfachen C-Programm das System lahm legen können. Dazu sind nicht einmal Root-Rechte nötig. Offenbar sind alle Linux-Kernel 2.4.x und 2.6.x betroffen, während das Problem bei 2.2er-Kerneln nicht auftritt. Die Sicherheitslücke ist besonders gravierend, da sie jeder Benutzer mit einem Shell-Account ausnutzen kann. Viele Webhoster beispielsweise bieten Ihren Kunden die Möglichkeit, sich übers Netz auf Maschinen einzuloggen, auf denen die Webserver mehrerer Kunden laufen. >>> mehr (http://www.heise.de/security/news/meldung/48236)


Quelle: heise

Speichern eines Links lässt Internet Explorer abstürzen
Die Berichte über Fehler im Internet Explorer reißen nicht ab. Manipulierte Links bringen Microsofts Browser zum Absturz, wenn ein Anwender im Kontextmenü "Ziel speichern unter..." anklickt. Schuld ist eine besondere Zeichenkette, die der Internet Explorer nicht verarbeiten kann. > mehr < (http://www.heise.de/security/news/meldung/48248)

Erster Handy-Wurm entdeckt
Der Wurm EPOC.Cabir ist in der Lage, sich über Bluetooth auf Smartphones der Nokia Series 60 mit Symbian-Betriebssystem zu verbreiten. Er verschickt sich als Installations-Datei (.SIS) an alle Geräte in der Nähe -- sogar Drucker --, auf denen Bluetooth aktiviert ist, und versucht sich in das Verzeichnis "APPS" zu kopieren. Allerdings muss hierzu der Benutzer den Empfang bestätigen. Anschließend startet der Wurm und kopiert sich in ein standardmäßig nicht sichtbares Verzeichnis, von dem aus er bei jedem Neustart des Handys aktiviert wird. > mehr < (http://www.heise.de/security/news/meldung/48252)

Marktforscher halten WLAN für das größte Sicherheitsrisiko
Schlechte Konfiguration von WLAN-Access Points (AP) und der Client-Software wird im Jahr 2006 bei 70 Prozent der erfolgreichen Attacken der Grund sein, warum der feindliche Eingriff von außen gelang. Das ist eine These der Marktforscher von Gartner, mit der sie die alljährliche Konferenz zu IT-Sicherheit Gartner IT Security Summit abgeschlossen haben. "Wenn Hacker es erst einmal geschafft haben den Weg in das WLAN-Netzwerk einer Firma einzudringen, ob nun durch einen ungesicherten AP oder eine Peer-Workstation, dann ist es außerordentlich schwierig sie aufzuspüren", warnte John Pescatore, Vice President bei Gartner. >>> mehr (http://www.heise.de/security/news/meldung/48256)

Quelle: heise

Fehlerhafte BGP-Pakete bringen Cisco-Router zum Neustart
In Ciscos Routerbetriebssystem IOS ist eine Schwachstelle in der Implementierung des BGP-Protokolls (Border Gateway Protocol) enthalten, die zum Neustart des Routers führen kann. Angreifer können diese Schwachstelle für Denial-of-Service-Attacken ausnutzen. Cisco ist Marktführer bei Routern für Telecom-Firmen und Internet-Provider; BGP ist immer noch eines der meistgenutzten Routing-Protokolle zwischen den zentralen Internet-Routern und setzt eine persistente TCP-Verbindung zwischen BGP-Kommunikationspartnern voraus. Schafft es ein Angreifer, die BGP-Verbindungen von mehreren zentralen Internet-Routern zu kappen oder zu stören, könnte er dadurch Teile des Internet für eine gewisse Zeit unerreichbar machen. mehr (http://www.heise.de/security/news/meldung/48319)

Sicherheitslöcher in IBMs Access-Support-ActiveX-Controls
n zwei ActiveX-Controls des IBM Access Support sind Sicherheitslöcher enthalten, mit denen nach Angaben des Sicherheitsdienstleisters eEye ein Angreifer verwundbare Systeme kompromittieren kann. Das Control acpRunner enthält die unsicheren Methoden DownLoadURL, SaveFilePath und Download, über die ein Webserver beim Aufruf Dateien an beliebigen Orten auf dem System ablegen kann -- zum Beispiel in den Autostart-Ordner. Auch das Control eGatherer bringt unsichere Funktionen mit. mehr (http://www.heise.de/security/news/meldung/48322)

Quelle: heise

Rassistische Mails mit gefälschten Absendern

Tausende Österreicher haben in den letzten Tagen Spam-Mails mit rassistischen und ausländerfeindlichen Inhalten erhalten. Besonders gemein: Als Absender werden die Adressen seriöser Unternehmen und Organisationen missbraucht. Dabei handelt es sich durchwegs um Fälschungen. Verbreiten dürften sich die Mails über eine Variante des Sober-G-Virus.

Viren-Schreiber und Spam-Versender werden immer dreister, stecken möglicherweise sogar unter einer Decke. In letzter Zeit häufen sich Massen-Mails, die durch PC-Würmer wie Sober G verbreitet werden. Waren es zuerst fingierte Zahlungsaufforderungen, sind es jetzt rassistische und ausländerfeindliche Pamphlete.

Absenderadressen zumeist gefälscht
Die Taktik ist fast immer dieselbe: Als Absender der E-Mails werden die Adressen seriöser Unternehmen missbraucht - auch Medien wie Krone.at oder der "Spiegel"-Verlag sind betroffen. Absenderadressen von Mails lassen sich mit Programmen relativ leicht fälschen. Das nutzen Viren-Schreiber und Spam-Versender offenbar aus.

Gesundes Misstrauen angebracht
Für die Internet-Benutzer bedeutet das: Nicht alles glauben, was da in der Mailbox eintrudelt. Echte Mails kann man von den Fläschungen in der Regel aufgrund ihres Inhalts unterscheiden.

Schutz für Internet-User geplant
Unternehmen wie Microsoft, aber auch die Internet Provider arbeiten bereits an technischen Lösungen, um solche Spam-Mails und vor allem das Fäschen von Absender-Adressen zu unterbinden. Bis dahin heißt es allderings kühlen Kopf bewahren und warten.

Suche nach Tätern läuft
Krone.at weist nochmals ausdrücklich darauf hin, dass rassistische und ausländerfeindliche Mails mit Krone.at-Absenderadressen ausnahmslos Fälschungen sind und distanziert sich aufs Schärfste von solchen Inhalten. Rechtliche Schritte gegen die Verfasser der Spam-Mails wurden eingeleitet.

Quelle: www.krone.at

Neue Netgear-Firmware gegen weitere Hintertür in WLAN-Access-Point

Die vor kurzem veröffentlichte Firmware-Version 1.7.15 für den WLAN-Access-Point WG602v1 schließt doch nicht alle Hintertürchen. Ungebetene Besucher können immer noch über WLAN oder LAN administrativ auf den Access Point zugreifen. Der Hinweis eines Lesers an heise Security brachte es ans Licht: Mittels SNMP (Simple Network Management Protocol) ist es möglich, die Management Information Base (MIB) zu lesen und die Konfiguration zu ändern. Diese Funktion ist nicht dokumentiert und lässt sich nicht deaktivieren. Zudem sind die Community Strings, Zeichenketten ähnlich einem sehr simplen Passwortschutz, fest auf die üblichen Werte "public" und "private" eingestellt und lassen sich ebenfalls nicht ändern. mehr (http://www.heise.de/security/news/meldung/48388)

Quelle: heise

Weiterer URL-Spoofing-Trick unter Opera
In Opera 7.51 ist ein weiterer Fehler bekannt geworden, mit dem sich in der Adresszeile des Browsers gefälschte URLs anzeigen lassen. Ein Anwender könnte in dem Glauben, auf einer ihm bekannten und vertrauenswürdigen Seite zu sein, Anmeldedaten und persönliche Informationen eingeben und übermitteln. Derartige Schwachstellen bringen zwar nicht den PC des Anwenders in Gefahr, allerdings nutzen böswillige Zeitgenossen solche URL-Spoofing-Möglichkeiten für Phishing-Tricks. Bereits in Opera 7.50 war es mit manipulierten Favicons möglich, die Adresszeile zu überdecken und beliebige URLs vorzutäuschen. mehr (http://www.heise.de/security/news/meldung/48429)


Schwachstellen in Treibern unter Linux
Mehrere Treiber unter Linux enthalten Fehler, mit denen ein Nutzer mit gültigem Account auf den Kernelspeicher zugreifen und seine Zugriffsrechte ausbauen kann. mehr (http://www.heise.de/security/news/meldung/48430)

Quelle: heise

Die schlimmsten Virenfamilien

Jeder Computervirus ist für den Benutzer eine echte Gefahr, manche Virentypen sind für den Betroffenen allerdings gefährlicher als andere. Neuartige Virentypen verbreiten sich besonders schnell über Internet und E-Mail.

Bootviren: Infektion durch Disketten
Bootviren nisten sich im Bootsektor von Disketten ein. Wird beim Starten des Computer versucht, von einer mit einem Bootvirus befallenen Diskette zu booten, springt der Virus auf den Master Boot Record (MBR) der Festplatte. Fortan kann er sich in den Bootsektor jeder Diskette schreiben, auf die unter DOS zugegriffen wird, falls sie nicht schreibgeschützt ist. Besonders gemein wirken sich Bootviren bei NTFS-Partitionen (Betriebssystem NT 4.0, Windows 2000, Windows XP) aus. Da die Viren auf das FAT-Dateisystem abgestimmt sind, überschreiben sie bei der Infektion eines NTFS-Bootsektors in manchen Fällen wichtige Bereiche, so dass das Betriebssystem von dieser Partition nicht mehr gestartet werden kann. Heute sind die meisten Bootviren nicht mehr wirklich gefährlich.

Beispiele für Bootviren: Boot.Brain.A, Boot.Stoned.A, Boot.Michelangelo.A

Dateiviren: Schädliche Programme
Dateiviren infizieren ausführbare Dateien und schreiben sich nach dem Ausführen des infizierten Programm in den Arbeitsspeicher des Computer. Sind sie einmal in den Speicher geladen. befallen sie jedes weitere Programm, das gestartet wird. Die meisten Dateiviren sind für das im Aussterben begriffene Betriebssystem MS-DOS geschrieben. Viele von ihnen funktionieren unter Windows und Linux nicht mehr. Eine neue Form von Dateiviren sind die sogenannten " New-Exe-Viren ", die speziell für Windows angepasst sind, und gezielt deren Systemdateien infizieren. Dateiviren können sehr große Schäden anrichten und gehören daher zu den zu den gefährlichsten Computerviren. Einige Dateiviren überschreiben Teile der infizierten Datei, so dass der Virus von einem Antivirenprogramm nicht entfernt werden kann, ohne dass die Datei dabei unbrauchbar wird.

Beispiele für Dateiviren: VIENNA.648.A, Cascade.1701.A, Jerusalem.Standard.A, Burger.541.A, Tremor.A

Multipartite Viren: Tödlicher Cocktail
Multipartite Viren sind eine Mischung aus Boot- und Dateivirus. Durch die doppelte Infektion können sie sich besonders schnell verbreiten und werden dadurch zu einer sehr großen Gefahr. Bekanntes Beispiel: Multi_Partite/Tequila.A. Dieser Virus wurde von zwei Schweizer Schülern 1991 entwickelt und auf den Rechnern ihrer Väter installiert. Die Väter haben Computersoftware verkauft und ohne es zu wissen, zur total raschen Verbreitung des Tequila beigetragen.

Makroviren und Mailwürmer: Gefahr für MS-Office
Die meisten Makroviren werden mit dem Makroeditor von Microsoft Word oder Microsoft Excel geschrieben. Sie infizieren ausschließlich Office-Dokumente. Die Viren bestehen aus Makroanweisungen, die automatisch beim Öffnen eines infizierten Dokuments ausgeführt werden. Makroviren für MS Word befallen fast immer sofort die Datei "NORMAL.DOT" und haben dadurch die Kontrolle über jedes andere Dokument, das geladen oder geschrieben wird. Sie infizieren jedes weitere Dokument, das mit einem so infizierten Word geöffnet, bearbeitet oder erstellt wird. Moderne Makroviren nutzen die Office-Skriptsprache Visual Basic for Applications (VBA) und können dadurch gleichzeitig verschiedenen Office-Anwendungen infizieren und zwischen ihnen hin- und herspringen. Die neueste Generation der Makroviren, wie zum Beispiel der W97M/Melissa.A, beherrscht bereits VBA Version 6, das erst mit Office-97 eingeführt wurde. Außerdem nutzen immer mehr Makroviren die Funktionen von Outlook, um sich per E-Mail zu verbreiten. In dem Fall spricht man von Mailwürmern.

Berühmtester Vertreter ist der VBS/LoveLetter.A

Quelle: www.krone.at (http://www.krone.at/)

Russischer Trojaner unterwegs
Viren-Spezialist Kaspersky Labs warnt vor einem neuen Trojaner-Virus namens „Agent“, der Grafik-Dateien im Format BMP befällt. Der Trojaner versendet sich als Massensendung, den Dateianhang darf man auf keinen Fall öffnen!

'Agent' nützt eine Sicherheitslücke im Internet Explorer der Versionen 5.0 und 5.5 aus, die es erlaubt, auf dem infizierten Computer einen zerstörerischen Code zu starten. Die massenweise versendeten Nachrichten enthalten keine besonderen Merkmale, bis auf die eingefügte BMP-Datei mit einem zufälligen Namen.

Derzeit nur russische Version betroffen
Derzeit ist nur eine Version im Umlauf, die russische Versionen von Windows 2000 befällt, trotzdem ist auch bei deutschsprachigem Windows Vorsicht geboten. Wird die Bilddatei geöffnet, verbindet sich der PC mit einem libyschen Server, lädt das 'Throd' herunter und installiert es auf dem Rechner.

Erhöhte Vorsicht
Da es noch kein Patch gibt um diese Sicherheitslücke zu stopfen, hilft gegen "Agent" nur ein Anti-Virus-Programm und erhöhte Vorsicht beim Öffnen von Datei-Anhängen.

Quelle: www.krone.at

Microsoft warnt IIS-Admins und IE-Nutzer
Microsoft reagiert auf die gecrackten Web-Server, die IE-Nutzern einen Trojaner installieren, mit einer Warnung. Das sollten Sie über Download.Ject wissen, richtet sich an Nutzer des Internet Explorer und Administratoren des Microsoft Web-Servers IIS.

Das US-CERT und das Internet Storm Center (ISC) melden eine erhöhte Zahl von Einbrüchen in Webserver, auf denen Microsofts Internet Information Server (IIS) läuft. Die Einbrecher manipulieren die Server derart, dass sie an die ausgelieferten Seiten spezielle JavaScripte anhängen. Die HMTL-Dokumente selbst werden nicht manipuliert. Die Scripte nutzen nach derzeitigen Erkenntnissen zwei bekannte, aber noch nicht gestopfte Sicherheitslücken im Internet Explorer aus, um den Besucher schon beim Besuch der Seite mit dem Trojaner RAT zu infizieren. RAT liest unter anderem die Tastatureingaben mit und sendet sie an Server ins Internet und öffnet zusätzlich eine Backdoor. mehr (http://www.heise.de/security/news/meldung/48619)

Solaris speichert Kerberos-Passwörter im Klartext
Sun hat für Solaris auf Sparc- und x86-Plattformen Patches veröffentlicht, die verhindern, dass bei einer Netzwerkauthentifizierung mit Kerberos (pam_krb5) die Passwörter im Klartext lokal mitgeloggt werden. mehr (http://www.heise.de/security/news/meldung/48592)


Quelle: heise

Neuer Virus spioniert persönliche Daten aus

Hacker in Russland haben einen neuen Computervirus in Umlauf gebracht, mit dem im Internet benutzte Angaben wie Passwörter und Kreditkarten-Nummern geknackt werden können. Das berichtete die "Washington Post".

Das US-Ministerium für Heimatverteidigung gehe davon aus, dass hunderte von Webseiten angegriffen worden sind. Die Abteilung für Computerüberwachung, US-CERT, riet Computer-Nutzern, das JavaScript zu deaktivieren, falls es nicht unbedingt benötigt wird.

Nach Angaben der "Washington Post" werden Besucher infizierter Webseiten unwissentlich mit einem Server in Russland verbunden, über den Hacker die persönlichen Daten des Internetnutzers dekodieren können. Zahlreiche Internetdienste hätten den Verkehr mit der russischen Webseite bereits eingestellt. Infiziert seien in den USA unter anderem Webseiten seriöser Unternehmen.

Das Virus gelangt über einen Defekt in Microsofts "Internet Information Server (IIS) 5" wie ein trojanisches Pferd auf die Webseiten. Das Unternehmen verbreitet auf seiner Webseite Instruktionen, mit der das Virus erkannt und eliminiert werden kann. Der Name des Virus: Download.Ject und laut Microsoft auch noch bekannt als JS.Scob.Trojan, Scob und JS.Toofeer.

Quelle: www.krone.at (http://www.krone.at/)

Fehler lässt Apache abstürzen
Der Webserver Apache kann bei der Verarbeitung von überlangen Header Lines abstürzen, wenn diese mit einem TAB oder einem SPACE beginnen. Durch einen Fehler in der Funktion ap_get_mime_headers_core() kann ein Angreifer beliebigen Speicher belegen. Auf 32-Bit-Systemen lässt sich die Schwachstelle nur für Denial-of-Service Attacken ausnutzen, auf 64-Bit-Plattformen mit mehr als 4 GByte Speicher kann nach Angaben von Georgi Guninski unter Umständen ein Heap Overflow provoziert werden. mehr (http://www.heise.de/security/news/meldung/48682)


Buffer Overflow in MPLAYER
Angreifer können einen Fehler in MPLAYER, dem Open-Source-Mediaplayer für Linux und weitere Portierungen, ausnutzen, um beliebigen Code auf das System eines Opfers zu schleusen. Spezielle m3u-Media-Dateien provozieren aufgrund eines Fehlers in der Funktion TranslateFilename() einen Buffer Overflow, mit dem sich der Speicher des Systems überschreiben lässt. Im Original-Advisory ist ein Proof-of-Concept-Exploit aufgeführt. mehr (http://www.heise.de/security/news/meldung/48701)


Quelle: heise

Apache 2.0.50 beseitigt Sicherheitslöcher
Die Apache Foundation hat die Version 2.0.50 des Webservers freigegeben, die zwei Sicherheitslücken stopft. Ein von Georgi Guninski entdeckter Fehler trat bei der Verarbeitung von überlangen Headern auf, wenn diese mit einem TAB oder einem SPACE beginnen. Dadurch konnten Angreifer beliebigen Speicher belegen, laut Guninski wäre auf 64-Bit-Plattformen mit mehr als vier Gigabyte Speicher auch ein Heap Overflow möglich gewesen. mehr (http://www.heise.de/security/news/meldung/48785)



Sicherheitsloch in iptables bei Linux-Kernel 2.6
Es existiert eine kritische Sicherheitslücke in iptables unter dem Linux-Kernel 2.6, berichten die Entdecker des Bugs auf der Sicherheitsmailingliste Bugtraq. mehr (http://www.heise.de/security/news/meldung/48771)


Quelle: heise

Internet Explorer führt unkontrolliert Programme aus

Wie bereits berichtet, lässt auch das letzte Microsoft-Update Sicherheitslöcher des Internet Explorer offen. Eine Demo auf dem c't Browsercheck illustriert die damit verbundenen Probleme. mehr (http://www.heise.de/security/news/meldung/48892)


Anmelden an MySQL ohne Passwort

Ein Fehler in der freien Datenbank MySQL ermöglicht es Nutzern, die Authentifizierungsfunktionen zu umgehen und sich so ohne Kenntnis des Passwortes anzumelden. Die Lücke soll laut Advisory des Sicherheitsdienstleisters NGSSoftware leicht ausnutzbar sein, allerdings funktioniere sie nicht mit dem üblichen MySQL-Client. Vielmehr müsse sich ein Angreifer einen eigenen Client stricken und gültige Benutzernamen kennen. mehr (http://www.heise.de/security/news/meldung/48888)

Quelle: heise

Virus "Scob" stiehlt Passwörter

Mehrere Virenschutz-Unternehmen warnen vor einem neuen Trojaner. "Scob" ist wie der Nimda-Wurm ein Schädling der neuen Generation und ermöglicht dem Angreifer, auf vertrauliche Daten des Nutzers zuzugreifen, ohne dass dieser dafür eine Anwendung ausführen muss.

Der Wurm besteht aus einem Visual-Basic-Script, das Microsoft IIS-Server attackiert und schädliche JavaScripts auf Webseiten hinterlegt. Usern, die infizierte Seiten besuchen, wird von einer bestimmten russischen Website via JavaScript unbemerkt eine Datei auf den Rechner geladen.

Anschließend wird auf dem PC ein so genannter Keylogger installiert, der über die Nutzung der Tastatur Passwörter ausspioniert. Derzeit ist die russische Seite zwar nicht aktiv, es wird dennoch vor Varianten des Wurms gewarnt, die sich in den nächsten Tagen ausbreiten könnten. Da es sich um einen Wurm neuester Generation handelt, ist der Code bisher nicht bekannt. Der Security-Spezialist Finjan empfiehlt deshalb, Sicherheits-Tools einzusetzen, die das Verhalten des Codes analysieren und nicht auf bereits bekannte Signaturen angewiesen sind. Finjan bietet auf seiner Seite ein Tool, mit dem der schädliche Code aufgespürt werden kann.


Quelle: www.krone.at (http://www.krone.at/)

Mozilla mit Zertifikatsproblemen
Der Schweizer Marcel Boesch hat im Rahmen seiner Diplomarbeit ein Problem in der Zertifikatsbehandlung durch Mozilla entdeckt, das dazu führen kann, dass der Anwender keine gesicherte Verbindung zu bestimmten Seiten mehr herstellen kann. mehr (http://www.heise.de/security/news/meldung/49172)


Lücken im Netzwerkcode von Taktik-Shooter Medal of Honor
m Netzwerkcode von Electronic Arts Taktik-Shooter Medal of Honor ist ein Buffer Overflow enthalten, den Angreifer zum Einschleusen und Ausführen von Code nutzen können. Dazu reicht es nach Angaben von Luigi Auriemma, der auch die Lücken in der Unreal Game Engine entdeckt hat, aus, spezielle Pakete an das System zu senden. Auriemma verlinkt in seinem Advisory auf einen Proof-of-Concept-Exploit, der die Schwäche demonstriert. mehr (http://www.heise.de/security/news/meldung/49204)


Debian aktualisiert Pakete für L2TP-Server
Debian hat aufgrund eines Buffer Overflows in der Implementierung des Layer-2-Tunneling-Protokolls -- l2tpd -- neue Pakete für die Stable-Distribution (Woody) und die Unstable-Distribution (Sid) veröffentlicht. Laut Thomas Walpuski soll sich über den Fehler Code einschleusen lassen. Ungeklärt ist bislang, ob ein Angreifer den Code auch ausführen kann. mehr (http://www.heise.de/security/news/meldung/49212)


Quelle: heise

Neue Varianten des Bagle-Wurms im Umlauf

Antivirus-Unternehmen warnen vor den neuen Bagle-Varianten AI und AH. Beide Varianten verbreiten sich zunehmend. Sie weisen prinzipiell die gleichen Charakteristika wie der kürzlich aufgetauchte Wurm Bagle.AF auf: Nach dem Öffnen der teilweise passwortgeschützen Dateianhänge versucht der Schädling, aktive Virenscanner und Personal Firewalls zu beenden und öffnet eine Hintertür auf Port 1080. mehr (http://www.heise.de/security/news/meldung/49229)


Quelle: heise

MyDoom überlastet Suchmaschinen

Wenn Google, Yahoo, AltaVista und Lycos heute langsamer antworten als sonst, liegt das am neuen MyDoom-Wurm. Der versucht nämlich, über die Suchmaschinen neue E-Mail-Adressen zu ermitteln und erzeugt dabei so viel Last, dass die hochoptimierten Systeme in die Knie gehen. Entgegen ersten Gerüchten behauptet der Marktführer zwar mittlerweile, Google sei nie "down" gewesen; viele Anwender bekamen jedoch nur Fehlermeldungen, wenn sie versuchten, die Seite zu erreichen. Meldungen, denen zufolge das Internet zum Erliegen gekommen wäre, sind jedoch maßlos übertrieben.


Der MyDoom-Wurm verbreitet sich unterdessen auch in Deutschland stark; der Heise-Mail-Server hat bereits weit über 1000 Exemplare gefiltert. Die meisten Antiviren-Hersteller haben aktualisierte Viren-Signaturen bereitgestellt, können sich aber einmal mehr nicht auf einen Namen einigen: MyDoom.M oder Mydoom.O sind gebräuchlich. mehr (http://www.heise.de/security/news/meldung/49451)


Quelle heise

Microsoft stopft drei Internet-Explorer-Lecks

Außer der Reihe stellt Microsoft ein Sicherheitsupdate für den Internet Explorer bereit. Es beseitigt insgesamt drei Sicherheitslücken des Microsoft Browsers, die alle als kritisch eingestuft sind.
Anzeige

Der erste Bugfix beseitigt das Cross-Domain-Scripting-Problem mit ms-its-URIs, über das Download.Ject die Rechte der lokalen Zone erlangen konnte. Microsoft spricht von Fehlern in den "Navigationsmethoden bei domänenübergreifender Kommunikation". Die zweite Korrektur behebt einen Fehler in der Art und Weise, wie der Internet Explorer BMP-Dateien interpretiert -- sie kann zu einem Buffer Overflow führen. Das dritte Bugfix korrigiert einen Fehler in der Speicherverwaltung beim Analysieren spezieller GIF-Bilder, durch den Speicherbereiche mehrfach freigegeben werden können. Auch dieser Fehler kann dazu führen, dass beliebiger Code des Angreifers ausgeführt wird. mehr (http://www.heise.de/security/news/meldung/49631)


Quelle: heise

Sun warnt vor Java-Bug
Sun warnt vor einer Sicherheitslücke in älteren Ausgaben seiner Java Virtual Machine für Windows, Linux und Solaris. Bei der Version 1.4.2_04 und allen früheren VMs der 1.4.x-Reihe könne sich ein nicht vertrauenswürdiges Browser-Applet mehr Rechte verschaffen, indem es Daten aus einem anderen Applet ausliest, das vom XSLT-Prozessor bearbeitet wird. Java 1.3.x und ältere Versionen sind von dem Problem nicht betroffen. mehr (http://www.heise.de/security/news/meldung/49834)


Microsoft stellt Service Pack 2 für Windows XP fertig
Das Service Pack 2 für Windows XP ist nun endlich fertig: Microsoft erklärte, man habe die Bugfix-Sammlung und Funktionserweiterung, die vor allem die Sicherheit des Windows-Systems erhöhen soll, für die Produktion freigegeben. Einen Download-Link nennt der Konzern noch nicht, auf der Seite für die Updates zu Windows XP soll das Service Pack 2 aber in Kürze auftauchen.

Im Verlauf der nächsten zwei Monaten will Microsoft das Service Pack 2 nach und nach in insgesamt 25 Landessprachen bereitstellen. Der Konzern empfiehlt vorläufig, dass sich Anwender über eine spezielle Website weitere Informationen holen und die Funktion für automatische Updates in Windows XP einschalten. Dadurch sei sichergestellt, dass jeder das Service Pack 2 sofort bekomme, wenn es in der Landessprache des auf dem lokalen Rechner installierten Windows XP verfügbar sei. Bereits gestern wurde eine Bestellseite für die SP2-CDs bekannt, die Microsoft aber bis zur endgültigen Verfügbarkeit der CDs (25. August für die englischsprachige, 1. September für die deutschsprachige Version) erst einmal wieder nur als Hinweisseite gestaltet hat. mehr (http://www.heise.de/security/news/meldung/49856)


Quelle: heise

Was in Service Pack 2 wirklich fehlt...

... ist die Umstellung von Millionen Windows-Zugängen mit Administratorrechten auf eingeschränkte Benutzer-Accounts.

Um keine Missverständnisse aufkommen zu lassen: Service Pack 2 ist ein wichtiger Schritt in die richtige Richtung. Denn mit diesem zweiten Sammel-Update hat Microsoft eine grundsätzliche Kurskorrektur vorgenommen. Erstmals hat Microsoft erkennen lassen, dass auch im Endanwenderbereich die Leitlinien Rückwärtskompatibilität und "Sicherheit darf nicht einschränken" keine unbedingte Priorität mehr haben. Service Pack 2 verbessert die Sicherheit von Windows-XP-Systemen an einigen wichtigen Punkten, obwohl damit einige Komforteinbußen einhergehen beziehungsweise Anpassungen an existierenden Applikationen erforderlich werden.

Doch leider sind die Redmonder dabei auf halbem Weg stehen geblieben. Das lässt sich sehr gut an der Windows Firewall erkennen. Die verbesserten Firewall-Funktionen verhindern zwar Wurm-Epidemien wie Lovsan/Blaster und Sasser: Ein System, auf dem Dienste wie RPC oder lsass normalerweise von außen nicht mehr zu erreichen sind, ist nicht mehr anfällig für solche Internet-Würmer, die Schwachstellen dieser Dienste ausnutzen.

Ist ein Schädling jedoch einmal auf dem System aktiv, kann er nach wie vor fast nach Belieben schalten und walten. Denn auch mit Service Pack 2 werden die meisten Heimanwender mit Administratorrechten arbeiten. Und mit diesen kann ein Trojaner die Windows Firewall recht einfach austricksen -- oder gleich ganz abschalten.

Anders als die Hersteller von Personal Firewalls versucht Microsoft erst gar nicht ernsthaft, die Windows Firewall gegen bösartige Programme auf dem lokalen Rechner abzusichern. Ein solcher Versuch wäre aber auch von vorn herein zum Scheitern verurteilt, wenn das Programm über Adminrechte verfügt. Ähnliches gilt im Übrigen auch für andere Windows-Schutzmechanismen, die erst dann wirklich effizient sind, wenn nicht jedes Programm daran nach Gutdünken herumfummeln oder sie gleich ganz außer Kraft setzen kann.

Dabei bietet Windows XP auch ohne Servive Pack 2 schon die technischen Voraussetzungen für eingeschränkte Benutzer-Accounts -- allein: Viel zu wenig Windows-Anwender nutzen sie. c't hat in Heft 15 gezeigt, wie man diese Rechteteilung effizient einsetzen kann, um viele der heutigen Sicherheitsprobleme von Windows-Systemen auszuschalten. Doch das war nur ein Tropfen auf den heißen Stein.

Microsoft hingegen hätte SP2 zumindest als optionales Add-on ein Migrationspaket spendieren können. Ein Umstellungsprogramm und ein paar Utilities beziehungsweise Assistenten, die den Umgang mit Problemfällen erleichtern, hätten den Verzicht auf die "Allmacht" für viele Endanwender einfacher und damit auch attraktiver gestalten können.

Außerdem hätte ein solches Migrationspaket nebenbei auch gleich den Druck auf diejenigen Hersteller erhöht, die ihre Software auch Jahre nach dem Erscheinen von Windows XP noch nicht an diese Rechteteilung angepasst haben. Doch genau diese Problemfälle ließen Microsoft vor diesem notwendigen Schritt zurückschrecken.

Dabei ist es nicht so, dass Microsoft die Probleme mit den allmächtigen Benutzerzugängen nicht bewusst wären. Die Redmonder arbeiten bereits heftig daran, Reglementierungen, wer wann was darf, praktisch umzusetzen. Doch die Mehrzahl der Windows-Anwender will man erst mit der nächsten Windows-Generation an dieses Konzept heranführen.

So bleibt Service Pack 2 ein Update, das einige wichtige Verbesserungen bringt und gute Ansätze erkennen


Quelle: www.heise.de (http://www.heise.de/)

Buffer Overflow in Acrobat Reader für Unix/Linux

Durch Fehler in den Unix- und Linux-Versionen des Acrobat Reader können Angreifer mit speziell präperierten PDF-Dokumenten beliebigen Code ausführen lassen. Das berichtet das Sicherheitsunternehmen iDefense in zwei heute veröffentlichten Advisories. Die Fehler stecken in der uuencode-Funktion des Readers: PDF-Dokumente, die uuencoded sind, werden vom Acrobat Reader automatisch wieder ins Ursprungsformat umgewandelt. Dabei überprüft das Programm aber weder die Länge des Dateinamens, noch wird der Shell-Metacharakter ´ (backtick) maskiert. Angreifern ist es deshalb möglich, speziell manipulierte PDF-Dateien zu erstellen, die beim Aufruf einen Buffer Overflow erzeugen und dann beliebigen Programmcode zur Ausführung bringen. mehr (http://www.heise.de/security/news/meldung/50032)


Quelle: heise

Erste Fehler in Sicherheitsfunktion von Service Pack 2

Wenige Tage nach der Freigabe der endgültigen Version hat heise Security erste Schwachstellen in einer neuen Sicherheitsfunktion von Service Pack 2 für Windows XP entdeckt. Mit SP2 warnt Windows den Anwender, wenn er versucht, Dateien auszuführen, die aus dem Internet stammen. Internet Explorer und Outlook Express markieren solche Dateien beim Abspeichern auf dem lokalen System mit der Zone, aus der sie stammen.


Die Umsetzung dieser Warnfunktion enthält jedoch zwei Schwachstellen, die deren Wirksamkeit beeinträchtigen. So ignoriert die Kommandozeilen-Shell cmd die Zonen-Information komplett. Das könnten Virenbastler ausnutzen, um die neuen Schutzfunktionen von Service Pack 2 zu umgehen und Anwender dazu zu bringen, gefährliche E-Mail-Anhänge auszuführen. Der c't-Emailcheck demonstriert, wie eine angebliche GIF-Datei ohne Warnung ausgeführt wird, wenn der Anwender den Anweisungen einer E-Mail folgt. mehr (http://www.heise.de/security/news/meldung/50082)


Quelle: heise

Neue Variante des MyDoom-Wurms verbreitet sich

Die Hersteller von Antivirensoftwaren warnen derzeit vor einer neuen Variante des MyDoom-Wurms. Allerdings konnte man sich noch auf keinen gemeinsamen Namen einigen: Symantec nennt ihn MyDoom.Q, McAfee hat ihm das Suffix .S gegeben und Trend Micro bezeichnet ihn auf seinen Seiten bislang als RATOS.A, will ihn aber demnächst auch unter MyDoom.S führen. mehr (http://www.heise.de/security/news/meldung/50085)


Quelle: heise

Neue Schwachstelle in Opera

Der Sicherheitsdienstleister GreyMagic hat ein Security Advisory herausgegeben, in dem eine Schwachstelle im Webbrowser Opera beschrieben ist, mit dem ein Angreifer herausfinden kann, ob ein Verzeichnis oder eine Datei vorhanden ist oder nicht. Dies stellt allein noch kein Sicherheitsloch dar. In Kombination mit der kürzlich bekannt gewordenen Schwachstelle in Opera, die Lesezugriff auf sämtliche Dateien des Systems ermöglicht, wird daraus ein Sicherheitsrisiko. mehr (http://www.heise.de/security/news/meldung/50128)


Quelle: heise

Schwachstellen der neuen SP2-Sicherheitsfunktionen

Überblick
Mit Service Pack 2 hat Microsoft eine neue Sicherheitsfunktion vorgestellt, die Anwender warnt, bevor sie Dateien ausführen, die aus dem Internet -- also einer unsicheren Zone -- stammen.

Die Umsetzung dieser Funktion weist zwei Schwachstellen auf: eine im Zusammenhang mit cmd und eine beim Caching im Windows Explorer. Die Windows Kommandozeilen-Shell cmd ignoriert Zonen-Information und startet Programme ohne Warnung. Das könnten Virenautoren ausnutzen, um die neuen Sicherheitsfunktionen zu umgehen und etwa E-Mail-Viren zur Ausführung zu bringen.

Der Windows Explorer aktualisiert zwischengespeicherte Informationen über die Zone einer Datei nicht, wenn diese überschrieben wird. Das kann dazu führen, dass er Dateien ohne Warnung ausführt, die aus dem Internet stammen. mehr (http://www.heise.de/security/artikel/50046)

Service Pack 2 Security Center nur bedingt vertrauenswürdig

Anwender sollten nur bedingt auf die Informationen des mit dem Service Pack 2 für Windows XP eingeführten Security Centers vertrauen. Diese lassen sich fälschen und sogar unterdrücken, zumindest wenn der Benutzer als Administrator arbeitet -- was wohl der Großteil immer noch tut. Das Security Center soll dem Anwender die Möglichkeit geben zu kontrollieren, ob Firewall, Auto-Update und Virenschutz aktiviert sind und ordnungsgemäß arbeiten. Zudem warnt das Security Center normalerweise mit einem roten Schild und einem Hinweis im System-Tray (rechts unten), wenn eine oder mehrere der drei Funktionen deaktiviert sind.

Allerdings lassen sich diese Warnungen auf einfache Weise abschalten. Dazu muss man in der Registry unter HKLM\SOFTWARE\Microsoft\Security Center die Schlüssel AntiVirusDisableNotify, FirewallDisableNotify und UpdatesDisableNotify auf 1 setzen. Schaltet nun etwa ein Trojaner oder eine Backdoor die Firewall ab, so erscheint keine Warnung. Nur beim direkten Aufruf des Security Centers sieht man, dass der Dienst deaktiviert ist. mehr (http://www.heise.de/security/news/meldung/50447)


Quelle: heise

Oracle beseitigt Sicherheitslücken

Oracle warnt in einem Security Alert vor Schwachstellen in seinen Server-Produkten und weist auf die zur Verfügung gestellten Patches hin. Nach Angaben von Sicherheitsexperten sollen die Updates mehr als 20 Sicherheitslücken stopfen, von denen der Hersteller einige als kritisch einstuft. Nähere Angaben zu den Fehlern macht der Hersteller nicht. Betroffen sind der Database Server, der Application Server und der Enterprise Manager in verschiedenen Releases und Versionen, eine genaue Liste ist im Original-Advisory enthalten. mehr (http://www.heise.de/security/news/meldung/50573)


Sicherheitslücken in Winzip gestopft

Winzip Computing empfiehlt allen Anwendern von Winzip auf die neue Version 9.0 SR-1 zu wechseln, da vorherige Versionen mehrere Schwachstellen enthalten. Unter anderem können fehlerhafte Funktionen Buffer Overflows provozieren, mit denen sich Code beim Öffnen manipulierter ZIP-Archive einschleusen lässt. mehr (http://www.heise.de/security/news/meldung/50606)


Quelle: heise

Buffer Overflow in Unix-Audio-Player mpg123
Besonders präparierte MP3- und MP2-Dateien können im Audio-Player für Unix mpg123 einen Buffer Overflow im Audio-Decoder-Modul layer2.c provozieren und den Stack überschreiben. Ein Angreifer kann so beliebigen Code einschleusen und im Kontext des Anwenders starten. Betroffen ist mpg123-0.59r und eventuell mpg123-0.59s. Der Autor des Programm wurde informiert, hat aber bislang nicht reagiert. mehr (http://www.heise.de/security/news/meldung/50752)


Fehler in freien Grafiktools ermöglichen Einschleusen von Code
Ein Buffer Overflow im freien Bildbearbeitungstool ImageMagick und den Grafik-Bibliotheken imlib und limlib2 zwingt die Linux-Distributoren derzeit zu einer Aktualisierung ihrer Pakete. Spezielle Runlength-codierte (RLE) Bitmap-Dateien können beim Öffnen den Stack überschreiben und damit die Applikation zum Absturz bringen. Eventuell ist auch das Einschleusen und Starten von Code möglich. mehr (http://www.heise.de/security/news/meldung/50761)


Sicherheitslücke im Messenger Trillian
Die aktuelle Version 0.74i des Messengers Trillian enthält eine Buffer-Overflow-Schwachstelle, mit der Angreifer verwundbare Windows-Systeme kompromittieren können. Der Fehler tritt im MSN-Modul bei der Verarbeitung von Zeichenketten mit mehr als 4096 Bytes auf, an deren Ende ein Newline-Zeichen steht. mehr (http://www.heise.de/security/news/meldung/50775)


Quelle: heise

Wiederauferstehung eines Internet-Explorer-Bugs
Vor zwei Jahren warnte die Sicherheitsfirma Grey Magic vor einem Fehler im Internet Explorer, durch den es möglich war, via JavaScript Dateien zu lesen. Microsoft beseitigte dieses Problem im August 2002 mit einem Patch. Jetzt hat Georgi Guninski festgestellt, dass der Fehler in aktuellen IE-Versionen mit allen Patches wieder auftritt. mehr (http://www.heise.de/security/news/meldung/52018)


Top-20 der Sicherheitslücken
Das SANS (SysAdmin, Audit, Network, Security) Institute hat seine neue Top-20 der Sicherheitslücken im Internet veröffentlicht, die wieder aus zwei Top-Ten-Listen besteht -- eine für Windows und eine für Unix/Linux. Beide Listen führen die am häufigsten ausgenutzten Schwachstellen in Diensten und Betriebssystemen auf und basieren auf Informationen vieler internationaler Sicherheitsexperten, CERTs und Regierungsbehörden. Unklar ist allerdings, wie die Reihenfolge der Einträge zustande kam -- dass Windows RAS-Dienste noch vor Web-Browsern rangiert, überrascht dann doch. mehr (http://www.heise.de/security/news/meldung/51977)



Quelle: heise

Weitere Details zu Microsofts aktuellen Sicherheits-Updates
Aufgrund des kumulativen Patches für den Internet Explorer müssen auch erstmals Anwender von Windows XP mit Service Pack 2 auf die Windows-Update-Funktionen zurückgreifen -- und bekommen prompt Probleme. Auch bei Tests in der heise-Security-Redaktion traten Ungereimtheiten auf. Insbesondere die automatische Update-Funktion reagiert unter Umständen anders als erwartet. mehr (http://www.heise.de/security/news/meldung/52111)


Lücke in phpMyAdmin ermöglicht Ausführen von Kommandos
Durch eine Schwachstelle im Datenbankadministrationstool phpMyAdmin ist es Angreifern möglich, auf verwundbaren Systemen beliebige Kommandos auszuführen. Um die Lücke auszunutzen, muss allerdings der PHP-Safe-Mode deaktiviert und der Angreifer am System angemeldet sein. mehr (http://www.heise.de/security/news/meldung/52132)


CAB-Entpacker extrahiert Dateien in falsche Verzeichnisse
Das in den Windows Support Tools enthaltene Kommandozeilen-Tool Cabarc.exe zum Entpacken von Cabinet-Dateien (.cab) legt unter Umstanden Dateien in falsche Verzeichnisse ab und gefährdet so die Sicherheit. Ein Angreifer kann Archive manipulieren, sodass beim Extrahieren System- oder Konfigurationsdateien durch spezielle Versionen ersetzt werden, um das System mit Schädlingen zu infizieren. mehr (http://www.heise.de/security/news/meldung/52142)


Quelle: heise

Buffer Overflows in Unix-Grafik-Bibliothek libtiff
Der Linux-Distributor Gentoo weist in einem Security Advisory auf mehrere Schwachstellen in der Bibliothek libtiff zur Verarbeitung von TIFF-Bildern hin. Unter anderem greifen GNOME und KDE auf libtiff zurück.
Chris Evans, der vor einigen Wochen schon über Fehler in den Unix-Bibliotheken libpng und libXpm berichtete, hat nun in den RLE-Decodierroutinen der Module tif_next.c, tif_thunder.c und tif_luv.c Buffer Overflows entdeckt. Ein Angreifer soll damit in der Lage sein, über präparierte Bilder Code in ein verwundbares System zu schleusen und im Kontext des Anwenders auszuführen. mehr (http://www.heise.de/security/news/meldung/52150)


Virenscanner übersehen Schädlinge
heise Security hat zusammen mit AV-Test 18 Virenscanner unter die Lupe genommen und überprüft, ob sie Schädlinge in Alternate Data Streams unter Windows entdecken. Von insgesamt 18 getesteten Produkten versagten Norton Antivirus 2004, Trend Internet Security, BitDefender, F-Prot für Windows und Ikarus Virus Utilities gänzlich. Acht fanden immerhin beim Zugriff des Anwenders auf eine mit einem Stream behaftete Datei den enthaltenen Virus. Nur fünf Scanner erkannten die Schädlinge in allen Disziplinen auf Anhieb. mehr (http://www.heise.de/security/news/meldung/52162)


Quelle: heise

Trojaner tarnt sich als Foto von Beckham-Affäre

Die Experten von Sophos warnen: Anstatt eines Beweisfotos, das David Beckham angeblich mit einer spanischen Prostituierten zeigt, erhalten viele Coumputeruser jetzt eine Datei, die mit dem Trojaner Troj/Hackarmy-A infiziert ist.

http://wcm.krone.at/hps/upload/hxmedia/2004/08/02/1_EELnXNZ3XPqrQ.jpg

Tausende von Meldungen wurden in Newsgroups und Internet Message Boards mit der Behauptung veröffentlicht, dass der Fußball-Star in einer kompromittierenden Situation fotografiert wurde. Der Trojaner nutzt als Trittbrettfahrer die Gerüchte über den Zustand von Beckhams Ehe aus der Boulevardpresse.

Die Meldungen verweisen auf eine Webseite, von der die angeblichen Fotos heruntergeladen werden können. In Wirklichkeit ist hier der Trojaner hinterlegt, mit dem die Hacker auf die jeweils infizierte Rechner aus der Ferne zugreifen können.

Eine typische Meldung liest sich wie folgt:
"David Beckham of Real Madrid was caught by photographers with his pants down. Early in the morning he was photographed with a Spanish hooker in a rather compromising position. Photos yet to hit the newspapers have been released here...<url removed>"

Übersetzt heißt dies:
"David Beckham von Real Madrid wurde von Fotografen mit heruntergelassenen Hosen erwischt. Heute am frühen Morgen wurde er in einer ziemlich kompromittierenden Lage mit einer spanischen Prostituierten fotografiert. Fotos, die noch nicht an die Presse gegangen sind, findet man hier...<url entfernt>"

"Hacker und Virenschreiber versuchen wirklich jeden Trick, um die Leute dazu zu bringen, ihre Schadprogramme herunterzuladen. Jetzt behaupten sie sogar, dass der Kapitän der englischen Nationalmannschaft, David Beckham, ein'kleines Auswärtsspiel' hatte", meint Gernot Hacker, Director of Technology bei Sophos.


Quelle: www.krone.at (http://www.krone.at/)

Die Top 20 der Sicherheitslücken

Das SANS (SysAdmin, Audit, Network, Security) Institute hat seine neue Top20 der Sicherheitslücken im Internet veröffentlicht; je eine Top-Ten-Liste für Windows und eine für Unix/Linux. Beide Listen führen die am häufigsten ausgenutzten Schwachstellen in Diensten und Betriebssystemen auf.

http://wcm.krone.at/hps/upload/hxmedia_slide/2004/07/30/3_pezUIFokhh6Jk_121718_300.jpg

Obwohl jährlich tausende von Sicherheitslöchern entdeckt werden, konzentrieren sich Angreifer und Würmer respektive deren Programmierer auf einige wenige, gut dokumentierte Lücken, für die auch entsprechende Tools kursieren. Trotzdem meist Sicherheitsupdates für verwundbare Applikationen verfügbar sind, haben die Hacker bei der Suche nach ungepatchten Server dennoch großen Erfolg.

Zu den Top 20 gehören unter anderem der Internet Information Server zusammen mit dem Apache in der Kategorie Webserver. Weitere Sicherheitslücken sind Sendmail, Postfix und Qmail im Dienst Mail Transport System. Auf dem ersten Platz der gefährlichen Dienste bei Windows-Systemen zählt der IIS. Auch bei Unix rangiert ein alter Bekannter auf Platz eins: Der Name-Server BIND.

Neu zur Windows-Liste hinzugekommen sind Dienste wie Instant Messaging, der LSASS-Dienst, über den auch der Wurm Sasser eindringt, sowie der RPC-Dienst, über den sich Lovsan in Windows einschleicht.


Quelle: www.krone.at (http://www.krone.at/)

Neuer Virus verbreitet sich in Windeseile

Ein neuer Virus ist unterwegs: Bagle.at. Er ist weitaus gefährlicher als seine Vorgänger - und verbreitet sich rasend schnell. Das Schadens- und Verbreitungspotential des Schädlings wird von Virenexperten als sehr hoch eingeschätzt.

Worm/Bagle.at hat zwei Verbreitungswege: den Versand von Emails mit Hilfe seiner eigenen SMTP Engine und über Peer-To-Peer (P2P) Netwerke. Als SMTP Engine bezeichnen Antivirenhersteller ein Programm, das selbstständig Emails verschicken kann. Worm/Bagle.at durchsucht die lokalen Festplatten nach Emailadressen und verschickt sich umgehend an die gefundenen Emailadressen. Nicht betroffen sind Emailadressen der Antivirensoftware-Hersteller.

Eine versandte Email von Worm/Bagle.at hat verschiedene Betreffzeilen (Subject) und Inhalte (Body). Die meisten Emails haben außerdem folgendes Attachment: "Joke" oder "Price".

Beim Versand über Peer-to-Peer (P2P) Netzwerke sucht der Wurm auf dem System nach Verzeichnissen, die den Textstring "SHAR" enthalten und kopiert sich in diese mit bestimmten Dateinamen. Worm/Bagle.at ist in der Lage verschiedene Prozesse, z.B. Antiviren- oder Firewall-Programme, zu beenden. Der Internet-Wurm kommuniziert über den TCP Port 81. Nach Ausführen des Wurms fügt dieser in der Windows Registry bestimmte Einträge hinzu.

Der elektronische Schädling frisst sich in alle Rechner mit den Betriebssystemen Windows 9x, ME, NT, 2000 sowie XP und den Windows Server 2003.


Quelle: www.krone.at (http://www.krone.at/)

Gefälschte Telekom-Seite verbreitet Trojaner

Seit kurzem kursieren angeblich von der Deutschen Telekom stammende Mails im Internet, die vorgeben, Informationen zur aktuellen Telefonrechnung zu enthalten. Die in unverdächtigem und fehlerfreiem Deutsch formulierte Nachricht mit dem Betreff "Rechnung Online Monat November 2004 (Buchungskonto: 6801432458)" weist am Ende einen Link auf, der zur Rechnung und der Einzelverbindungsübersicht führen soll. Ein Klick auf diese ziemlich offensichtlich nicht zur Telekom gehörenden Adresse öffnet dann eine Seite, die in einem Frame tatsächlich die Login-Seite der Telekom-Online-Rechnungsstelle lädt. Unsichtbar lädt sie allerdings auch einen zweiten Frame -- und der versucht auf verschiedenen Wegen, einen Trojaner auf dem System des Opfers zu installieren, indem er bekannte Schwachstellen des Internet Explorer ausnutzt. Nach bisherigem Kenntnisstand von heise Security versucht die Seite jedoch nicht, im Login-Frame eingegebene Daten zu "phishen".

mehr (http://www.heise.de/security/news/meldung/53231)


Quelle: heise

Wurm versteckt sich in EMF-Bildern
Die Hersteller von Antivirensoftware haben einen Wurm gesichtet, der sich in EMF-Bildern versteckt. Der Golten.A oder Aler getaufte Schädling nutzt einen Buffer Overflow unter Windows bei der Ansicht von Metabildern im EMF- und WMF-Format aus, um darin eingebetteten Code in den Rechner zu schleusen und zu starten. Golten.A wurde nach Angaben von Virenspezialisten zuerst als Massen-Mail mit dem Betreff "Latest News about Arafat!!!" und einem präparierten Bild verschickt. mehr (http://www.heise.de/security/news/meldung/53338)


Neue Schwachstellen im Internet Explorer entdeckt
Sicherheitsspezialisten haben drei weitere Schwachstellen im Internet Explorer entdeckt. Eine davon lässt sich direkt zum Aushebeln einer Sicherheitsfunktion nutzen, die mit Service Pack 2 für Windows XP neu eingeführt wurde. Um später noch feststellen zu können, woher eine Datei stammt, markiert der Browser Dateien mit einer ZoneID nach dem Download -- allerdings nur, wenn der Anwender die Datei auf einer NTFS-Partition speichert. Beim Versuch eine aus dem Internet stammende Datei zu öffnen, zeigt Windows XP normalerweise einen Warnhinweis an. Hat der Server beim Download aber einen manipulierten Content-Location-Header gesendet, so wird unter bestimmten Umständen die ZoneID nicht richtig gesetzt. Öffnet der Anwender solch eine Datei, so erhält er keine Warnung. Dass die Abfrage der ZoneID nicht immer richtig funktioniert, meldete heise Security bereits Mitte August. mehr (http://www.heise.de/security/news/meldung/53382)


Sieben Fehler in SMB-Dateisystem unter Linux
Der Sicherheitsspezialist Stefan Esser hat ein Security Advisory veröffentlicht, in dem er auf insgesamt sieben Schwachstellen in der Implementierung des SMB-Dateisystems in den Linux-Kerneln 2.4 und 2.6 hinweist. Die Schwachstellen lassen sich für Denial-of-Service-Angriffe auf Clients und andere Systeme, die mit einem SMB/CIFS-Server verbunden sind, über das Netzwerk ausnutzen. Ursache ist die fehlerhafte Auswertung der Antworten des Servers, sodass präparierte Serverpakete unter anderem zu Buffer Overflows führen. Der SMB/CIFS-Server Samba ist nicht von dem Problem betroffen. mehr (http://www.heise.de/security/news/meldung/53384)


Wieder Lücken in Unix-Grafikbibliotheken
Der Linux-Distributor Suse gibt neue XFree86-, xorg- und xshared-Pakete heraus, um Fehler in den XPM-Bibliotheken zur Verarbeitung von XPM-Bilddateien zu beseitigen. In den alten Versionen waren zahlreiche Schwachstellen enthalten, die Thomas Biege von Suse während eines Code-Audits entdeckt hatte. Unter anderem traten diverse Integer Overflows, Endlosschleifen, Speicherzugriffsverletzungen und Directory Traversals auf, die sich durch präparierte Bilder provozieren ließen. Angreifer konnten dadurch Zugriff auf das System erhalten. mehr (http://www.heise.de/security/news/meldung/53390)



Quelle: heise

Vorsicht vor dem neuen Sober-Virus!

http://wcm.krone.at/hps/upload/hxmedia/2004/04/20/5_ke01ghs24weco.jpg

Eine neue Variante des Computer-Wurms "Sober" kursiert seit vergangenen Freitag in Österreich. Übers Wochenende verbreitete sich der Schädling "Sober.J" zehntausendfach, berichten Antivirenexperten. Die Gefahr ist aber noch nicht gebannt: Es wird dringend empfohlen, aktuelle Updates der Antiviren-Software durchzuführen.

Da der Wurm auch Nachrichtentexte in deutscher Sprache nutzt, sollten vor allem Nutzer in Österreich, Deutschland oder der Schweiz auf der Hut sein.

Der Wurm infiziert Rechner mit den Betriebssystemen Microsoft Windows 95, 98, ME, NT, 2000 und XP. Er verbreitet sich über eine eigene SMTP-Engine an alle Adressen, die er auf dem Rechner vorfindet. Die Betreffzeilen und Texte, über die sich "Sober.J" verschickt, können variieren. Der Virus verbirgt sich in Dateien mit den Anhängen .zip,.scr,.bat,.pif, .xls, .txt und .doc. Experten warnen: verdächtige Mails nicht öffnen!

Nach Angaben von MessageLab kann sich der Schädling auch als Antivirus- Scan-Report tarnen. Führende Antiviren-Hersteller haben bereits ihre Software entsprechend aktualisiert und bieten entsprechende Updates an.

Tipp: Falls der PC infiziert ist und kein aktuelles Antiviren-Programm installiert ist, kann man den Sober.J mit der neuen Version des McAfee Stinger entfernen.


Quelle: www.krone.at (http://www.krone.at/)

Falsche "Schnäppchen" stehlen Daten

Auf keinen Fall aber sollte allen verlockenden Angeboten glauben, die man über Mails oder in Suchmaschinen findet. Der Internet-Sicherheitsspezialist Webwasher warnt vor einer neuen Phishing-Variante die Online-Shopper auf falsche Seiten locken will.

Da Weihnachtseinkäufe im Internet immer beliebter werden, steigt laut Webwasher derzeit auch das Phishing-Risiko. Suchmaschinen liefern daher immer mehr Treffer auf seriös aussehende Online-Shopping-Seiten mit verlockenden Sonderangeboten. Klickt der User jedoch auf Links zu Artikelbildern, installiert sich ein Trojaner-Programm auf dem Rechner. Anschließend lenkt der Weihnachts-Virus auf Phishing-Seiten, wo dem ahnungslosen Weihnachtseinkäufer Zugangsdaten und Transaktionsnummern abgeknöpft werden.

"Ein Filter allein ist mittlerweile zuwenig gegen Phishing, da die heutigen Angreifer immer raffinierter vorgehen", kommentiert Horst Joepen von Webwasher. Er empfehle daher die Installation von so genannten proaktiven Filtering-Technologien. "So können verdächtige Formate wie ZIP-Archive erkannt und sofort blockiert werden", so Joepen.


Quelle: www.krone.at (http://www.krone.at/)

Netsky-P richtete am meisten Schaden an

http://wcm.krone.at/hps/upload/hxmedia/2004/05/08/1_QKFr_g1e_YKqY.jpg

Fast kein Tag ohne Viren-Meldung - kein Wunder, ist doch die Zahl an neuen Viren um 51,8 Prozent gestiegen. Doch welche Computer-Viren haben am meisten Schaden angerichtet? Der Computersicherheits-Spezialist Sophos hat die Top Ten zusammengestellt.

Die Statistiken von Sophos ergaben, dass die Zahl an neuen Viren in diesem Jahr um 51,8 Prozent angestiegen ist. Umso beachtlicher ist, dass der Netsky-P Wurm fast ein Viertel aller gemeldeten Virenvorfälle ausmacht. Trotz des Duells mit dem Massenmail-Wurm Zafi-B um die Spitzenposition ist Netsky-P damit der schlimmste Wurm des Jahres. Der Internetwurm Sasser, der seit Mai Tausende Unternehmen und Heimanwender befallen hat und der durch die Verhaftung seines Autoren extrem bekannt geworden ist, ist letztlich der Dritte auf dem unrühmlichen Siegerpodest.

Die Rangliste der zehn schlimmsten Viren im Einzelnen:

1. W32/Netsky-P, 22,6% (erschienen: März 2004)
2. W32/Zafi-B, 18,8% (Juni 2004)
3. W32/Sasser, 14,2% (Mai 2004)
4. W32/Netsky-B, 7,4% (Februar 2004)
5. W32/Netsky-D, 6,1% (März 2004)
6. W32/Netsky-Z, 3,7% (April 2004)
7. W32/MyDoom-A, 2,4% (Januar 2004)
8. W32/Sober-I, 1,9% (November 2004)
9. W32/Netsky-C, 1,8% (Mai 2004)
10. W32/Bagle-AA, 1,6% (April 2004)
Andere: 19,5%

Das Jahr von Netsky
"2004 war das Jahr des Netsky. Die erste von mehr als 30 Varianten des Wurms erschien im Februar auf der Bildfläche und sagenhafte fünf Varianten davon haben es in die Jahres-Rangliste geschafft", sagt Graham Cluley, Senior Technology Consultant bei Sophos. "Damit ist erwiesenermaßen ein deutscher Teenager für mehr als die Hälfte aller 2004 gemeldeten Virenvorfälle verantwortlich."

Obwohl Sven J., der gestanden hatte, sowohl Netsky als auch Sasser geschrieben zu haben, bereits im Mai 2004 festgenommen wurde, verbreiteten sich seine Würmer spürbar weiter. Noch im November - acht Monate nach Ersterscheinung - war Netsky-P der am häufigsten gemeldete Virus. Auch der Zafi-B Wurm zeigt seit seinem ersten Auftauchen im Juni kaum Anzeichen, dass er bald von der Bildfläche verschwinden wird.



Quelle: www.krone.at (http://www.krone.at/)

Buffer Overflows im Mediaplayer MPlayer

Der Sicherheitsdienstleister iDEFENSE hat insgesamt drei Meldungen über Schwachstellen im Mediaplayer MPlayer veröffentlicht. Alle Lücken beruhen auf Buffer Overflows. Gelingt es einem Angreifer, darüber Code einzuschleusen, kann er ihn im Kontext des angemeldeten Anwenders ausführen. Ein Fehler betrifft die Behandlung des Real-Time Streaming Protocol (RTSP) und tritt auf, wenn der Server falsche Angaben zur Länge eines Streams sendet. Da die Projekte MPlayer und xine für den RTSP-Client die gleiche Codebasis verwenden, findet sich das Problem auch in der Bibliothek xine-lib. Die Entwickler von xine haben bereits Version 1-rc8 veröffentlicht, die zudem ein Problem im PNM-Client beseitigt. mehr (http://www.heise.de/security/news/meldung/54376)


Quelle: heise

Alarmstufe "Gelb" für neuen Bagle-Wurm
Der japanische Security-Spezialist Trend Micro hat einen globalen "Yellow Allert" ausgelöst. Die Ausbreitung des Wurms "Bagle.AZ" soll damit so rasch wie möglich verhindert werden. Die neue Bagle-Migration verbreitet sich über infizierte Dateianhänge und tarnt sich als Bestätigung für einen angeblichen E-Mail-Versand oder eine Registrierung.

Absenderadressen werden gefälscht (spoofed), sodass beim Anwender der Eindruck entsteht, die Nachricht stamme aus einer seriösen Quelle. Nach der Infektion sammelt Bagle zusätzliche E-Mail-Adressen, um das befallene System als Ausgangspunkt für eine weitere Verbreitung zu nutzen.

Weiters legt der Wurm eine Kopie von sich selbst in öffentlichen Dokumentenordnern ab. Nach einer erfolgreichen Infektion beendet der Wurm laut Trend Micro verschiedene Prozesse, die mit Antivirus- und Sicherheitsprogrammen in Zusammenhang stehen. Zusätzlich versucht er Verbindungen mit bestimmten Web-Sites herzustellen um JPG-Dateien herunter zu laden. Abschließend öffnet Bagle.AZ noch zufällige TCP-Ports und hinterlässt so Hintertüren für Virenprogrammierer und Hacker.

"Es ist nicht überraschend, dass Bedrohungen wie Bagle oder Mydoom noch immer aktiv sind", kommentiert Jamzu Yaneza, Analyst bei Trend Micro. "Die Virenprogrammierer testen kontinuierlich neue Social-Engineering Methoden und Verbreitungstechniken um die Infektionsrate ihrer Malicious-Codes erneut zu steigern", so Yaneza.

Sexy Huhn-Virus
Virus verbreitet sich über MSN-Messenger
Der deutsche Antivirenspezialist H+BEDV Datentechnik warnt vor einem neuen Computervirus. "Worm/Bropia.F" verbreitet sich ausschließlich via MSN-Messenger und beinhaltet Funktionen für eine Denial-of-Service-Attacke. Gleichzeitig zeigt der Virus ein "sexy" Grillhuhn an.
Wird der 188,928 Bytes große Wurm ausgeführt, erstellt er zuerst vier neue Dateien. Die Datei "CZ.EXE" wird lediglich erstellt, wenn die vier anderen Dateien schon auf dem System vorhanden sind.

Außerdem öffnet sich automatisch das Bild "Sexy.jpg" mit einem gebräunten Hendl. Weiters fügt "Bropia.F" der Windows-Registry bestimmte Einträge hinzu, um sich selbst beim nächsten Systemstart automatisch auszuführen.

Nach der Aktivierung überwacht der Wurm die Kontaktliste des MSN-Messenger und sendet eine Kopie von sich selbst an jeden Kontakt, dessen Status sich ändert. Viren-Experten empfehlen, Dateien, die von MSN-Messenger zum Herunterladen angeboten werden, generell nicht auszuführen.

Todes-Virus
Internet-Wurm verspricht Bilder von totem Saddam

Die Viren-Experten von Sophos warnen Computer-User vor einem neuen Internet-Wurm. Das Schadprogramm behauptet, ein Beweisfoto dafür zu sein, dass Saddam Hussein bei einem Fluchtversuch aus seiner Haft getötet wurde. Genau wie der berüchtigte Sasser-Wurm verbreitet sich W32/Bobax-H sowohl über E-Mail als auch über eine Microsoft-Sicherheitslücke.
Die E-Mails, die mit Bobax-H verseucht sind, weisen verschiedene Varianten des folgenden Texts auf: "Saddam Hussein - Attempted Escape, Shot dead Attached some pics that i found". In einigen E-Mails ist auch die Rede davon, dass Osama Bin Laden gefasst worden sei.

Wird das Attachment auf einem Windows PC ausgeführt, riskiert man damit dessen Infektion. Der Wurm setzt dann dazu an, sich an andere E-Mail-Adressen weiterzuleiten und weitere ungeschützte Computer zu attackieren. Dabei versucht er, Antiviren-Software und Sicherheits-Programme zu deaktivieren und installiert ein Mail-Relay-Modul, das extern von Hackern genutzt werden kann, um Spam zu versenden.

W32/Bobax-H nutzt die gleiche LSASS-Sicherheitslücke aus, die schon der Sasser Wurm 'erfolgreich' benutzt hat, obwohl diese bereits am 13. April in dem Microsoft Security Bulletin MS04-011 aufgezeigt wurde und seit 10 Monaten ein Sicherheits-Patch existiert.

Quelle: www.krone.at

Sicherheitsloch in Antiviren-Produkten von F-Secure

Nachdem bereits Symantec kritische Sicherheitslücken in seinen Antiviren-Produkten melden musste, weist nun F-Secure auf einen ähnlichen Fehler in seinen Produkten hin. Anders als bei Symantec ist dort ein Modul zum Dekomprimieren von ARJ-Archiven schuld. Zudem ist der Fehler auch in aktuellen Produkten enthalten. Bestimmte Dateien mit präparierten Headern erzeugen beim Auspacken einen Heap-basierten Buffer Overflow, über den sich Code einschleusen und ausführen lässt. Dazu genügt bereits das Überprüfen einer manipulierten Mail, beispielsweise auf dem Mail-Gateway. mehr (http://www.heise.de/newsticker/meldung/56290)


Quelle: heise

Mozilla und Firefox schalten Unterstützung für internationalisierte Domains aus
Die Entwickler der Mozilla-Foundation reagieren auf den jüngst bekannt gewordenen Phishing-Trick mit Internationalized Domain Names (IDN), also beispielsweise Domains mit Umlauten im Namen: In den kommenden Beta-Versionen von Mozilla 1.8 und im geplanten Firefox 1.0.1 wird die IDN-Unterstützung ausgeschaltet. mehr (http://www.heise.de/security/news/meldung/56376)

McAfee führt tägliche Signatur-Updates ein
Antivirus-Hersteller McAfee hat angekündigt, künftig seine Virensignaturen auf täglicher Basis bereitzustellen -- zunächst allerdings nur für Unternehmenskunden. McAfee gab heute bekannt, dass der neue Update-Zyklus am 24. Februar für alle Unternehmenskunden in Kraft treten soll. Allerdings werden die täglichen Updates nur zwischen Montag und Freitag verteilt, am Wochenende sind keine Signaturen geplant -- abgesehen von möglicherweise nötigen Emergency-Updates. Privatkunden bleiben zunächst auf die wöchentlichen Updates beschränkt. McAfee Deutschland erklärte gegenüber heise Security, dass die täglichen Updates aber zu einem nicht genannten späteren Zeitpunkt auch Endkunden zur Verfügung stehen sollen. mehr (http://www.heise.de/security/news/meldung/56378)

Schwachstelle in der Datenbanksoftware PostgreSQL
n der Datenbanksoftware PostgreSQL haben die Entwickler einen Bufferoverflow-Fehler im PL/PgSQL-Parser beseitigt, der es einem Angreifer ermöglicht, bösartigen Code mit den Rechten des Datenbankusers auszuführen. mehr (http://www.heise.de/security/news/meldung/56380)

Schlechte Vorzeichen im Linux-Kernel
Der Sicherheitsexperte Guninksi hat wieder Schwachstellen im Linux-Kernel entdeckt. In seinem Security Advisory #73 stellt er fest, dass der Code an mehreren Stellen den vorzeichenbehafteten Typ ssize_t falsch verwendet. Dies lässt sich unter anderem dazu ausnutzen, einen Pufferüberlauf herbeizuführen und damit Kernel-Speicher auszulesen. mehr (http://www.heise.de/security/news/meldung/56389)

Quelle: heise

Kryptoverfahren SHA-1 geknackt
Der Kryptopapst Bruce Schneier erklärt in seinem Weblog den Secure Hash Algorithm für geknackt. "SHA-1 ist geknackt. Nicht eine Version mit reduzierter Rundenzahl. Nicht eine vereinfachte Version. Das echte Verfahren (the real thing)", heißt es knapp und prägnant. mehr (http://www.heise.de/security/news/meldung/56428)

Verräterische JPEGs
Wer Personen auf einem Bild vor der Veröffentlichung unkenntlich macht, hat meist gute Gründe. Doch manche JPEGs verraten mehr, als ihrem Urheber lieb ist: Schuld ist ein kleines, im JPEG verborgenes Vorschaubild, das viele Digitalkameras für eine schnellere Navigation zwischen den aufgenommenen Bildern anlegen. Nicht alle Bildbearbeitungsprogramme können diese Thumbnail aktualisieren oder zumindest entfernen, weshalb eine aus rechtlichen Gründen verfremdete oder abgeschnittene Person möglicherweise erkennbar wird. mehr (http://www.heise.de/security/news/meldung/56430)

Erste Sicherheits-Evaluierung nach Common-Criteria EAL4+ für Suse-Linux
Für den Suse Linux Enterprise Server 9 (SLES 9) auf IBM eServer wurde als erstes Linux-System erfolgreich die Evaluierung nach der Sicherheitsspezifikation Common Criteria Assurance Level 4+ (CC EAL4+) abgeschlossen. atsec, das Unternehmen, das die Evaluierung durchgeführt hat, weist darauf hin, dass dies nun das erste Open-Source-Produkt ist, das diese Stufe der Evaluierung durchlaufen hat. mehr (http://www.heise.de/security/news/meldung/56431)

Microsoft bekräftigt Anti-Spyware- und Virenschutz-Anstrengungen
Microsoft will Privatkunden die Finalversion der neuen "Windows AntiSpyware"-Software kostenlos zur Verfügung stellen. Chief Software Architect Bill Gates kündigte damit auf der RSA Conference 2005 in San Francisco nicht nur einen neuen Internet Explorer an, sondern beendete auch Spekulationen, die Kosten für die Übernahme der Giant Company Software Inc. Ende vergangenen Jahres könnten womöglich auch auf die Einzelanwender umgewälzt werden. mehr (http://www.heise.de/security/news/meldung/56446)

Quelle: heise

Zwei Schwachstellen in PuTTY
Durch Fehler im freien SSH-Client PuTTY können SSH-Server auf dem Client-Rechner beliebigen Code ausführen. Die Schwachstellen betreffen alle Versionen bis einschließlich 0.56. mehr (http://www.heise.de/security/news/meldung/56628)


Umlaut-Domains in Mozilla/Firefox: Anzeigen statt abschalten
Die Entwickler der Mozilla-Foundation wollen die Nutzung von Domains mit Umlauten und anderen Sonderzeichen in den nächsten Versionen von Mozilla und Firefox nun doch nicht in der Standardeinstellung unterbinden. Erst vergangene Woche hatte das Mozilla-Team bekanntgegeben, dass man die Unterstützung von Internationalized Domain Names (IDN) vorerst per Default deaktivieren wolle, um den jüngst bekannt gewordenen Phishing-Trick zu umgehen. mehr (http://www.heise.de/security/news/meldung/56631)


Linux-Kernel-Patches beseitigen neue und alte Lücken
Der Linux-Distributor Red Hat stellt einen wichtigen Sammel-Patch für den Linux-Kernel bereit. Die Updates korrigieren eine Reihe von Schwachstellen des 2.6er-Kernels, die teilweise schon seit Mitte Dezember bekannt sind. Das Advisory führt aber auch einige Sicherheitslücken auf, mehr (http://www.heise.de/security/news/meldung/56625)

Quelle: heise

Neuer Trick: Virus warnt vor sich selbst

Der englische Viren-Spezialist MessageLabs warnt vor einer neuen Version des Sober-Virus "W32.Sober.K-mm", der sich als Warnungen verschiedener Anbieter von Antiviren-Lösungen tarnt. Der Wurm bezieht sich genau auf die neue Version des Virus beziehen und soll User dazu verleiten, das beigefügte Attachement zu öffnen um angeblich einen neuen Patch herunter zu laden.

http://img.kronline.at/hps/upload/hxmedia/2004/05/18/2_PEhsD5sWxChwg.gif

Um das Schadprogramm auszuführen muss der Empfänger den E-Mail-Anhang zuerst öffnen. Anschließend sucht der Virus auf dem infizierten Rechner nach E-Mail-Adressen und versendet sich selbstständig in Form einer deutschen oder englischen Mitteilung.

Der Virus installiert auf dem infizierten Rechner mehrere ausführbare Dateien mit den Namen "csrr.exe", "winlogon.exe" und "smss.exe". Dann modifiziert er den Registry-Key so, dass er beim Start des Rechners immer automatisch ausgeführt wird. Zum Abschluss werden die Inhalte der Datei "systemdrive%/windows/temp/doc_data-text.txt" in Programm Notepad angezeigt.

"Sober.K" ist ein Mass-Mailing-Virus, der sich selbst via E-Mail-Attachement verschickt. Der Virus dürfte aus Deutschland stammen. Gleichzeitig tauchte "Sober.K" laut MessageLabs aber auch in Frankreich, den USA und Großbritannien auf. Innerhalb von nur drei Stunden sind dem Security-Experten bisher 1.400 Exemplare des neuen Wurms ins Netz gegangen.


Quelle: www.krone.at

Neue gefährliche Mydoom-Variante

Als "besonders gefährlich" stufen Sicherheitsexperten eine neu entdeckte Variante des Internet-Wurms Mydoom ein. Mydoom.bb verbreitet sich über E-Mail, hängt eine Kopie von sich als Anhang an und lädt den Trojaner BackDoor-CEB.f herunter und führt ihn aus, berichtet der Virenspezialist McAfee.

Die meisten Reports seien in den USA gemeldet worden, der Virus trete aber außerdem in Australien und Großbritannien auf, teilte McAfee weiter mit. MyDoom.bb durchstöbert die infizierten Systeme nach E-Mail-Adressen und sucht auch über Suchmaschinen nach zusätzlichen Adressen. Er fälscht die Absender-Adresse der elektronischen Nachrichten.

Der Wurm führt aber auch Backdoor-Funktionalitäten im Gepäck. Die vom Wurm infizierten Maschinen werden dadurch ein leichteres Ziel für Angriffe bzw. Zugriffe durch potentielle Hacker. Der Wurm installiert eine SERVICES.EXE Datei im Windows Verzeichnis und öffnet den TCP Port 1034 bei infizierten PC/Servern und wartet auf Verbindungen von "draussen", schreibt der österreichische Security-Anbieter Ikarus.

User sollen vor allem bei Absender-Adressen wie mailer-daemon@xxxx.domain, noreply@xxxx.domain sowie postmaster@xxxx.domain vorsichtig sein. Beim Subject werden Begriffe wie "delivered", "hello", "hi", "error", "status" oder "test" verwendet. Um seine "Entdeckung" möglichst lang zu verzögern verschickt sich der Wurm nicht an E-Mail Adressen in welchen er einen Namen oder Phrasen wie "spam" oder "abuse" vorfindet.

Erneut kritische Lücke in phpBB

Betreiber der populären Forensoftware phpBB kommen nicht zur Ruhe. Kaum ist die kürzlich veröffentlichte Version 2.0.12 installiert -- in der zwei Sicherheitslöcher geschlossen sind -- steht 2.0.13 ins Haus. Auch dort hat man zwei Lücken beseitigt. Über eine davon können Angreifer an Administratorrechte gelangen und so etwa die Kontrolle über die Foren übernehmen. Die Entwickler empfehlen dringend das Update auf die fehlerbereinigte Version. mehr (http://www.heise.de/security/news/meldung/56866)

Mehrere Schwachstellen in phpmyAdmin beseitigt

Die neue Version 2.6.1-pl2 von phpMyAdmin -- einem grafischen Web-Frontend zur Administration von MySQL-Datenbanken -- schließt mehrere Schwachstellen in verschiedenen Modulen. Die Fehler lassen sich für Cross-Site-Scripting-Attacken, zum Ausspähen des Installationspfades und zum Ausführen eigener Skripte ausnutzen. mehr (http://www.heise.de/security/news/meldung/56857)

Quelle heise

ImageMagick Sicherheitsupdates verfügbar
m Grafikprogramm ImageMagick sind neue Fehler aufgetaucht, die ein Angreifer ausnutzen kann, um das Programm abstürzen oder Kommandos ausführen zu lassen. Die Schwachstellen wurden von SUSE und Red Hat in gestern erschienenen Updates bereits behoben. mehr (http://www.heise.de/security/news/meldung/57888)


Outlook ignoriert gefälschte Absender in signierten Mails
Roberto Franceschetti berichtet, in Microsofts Mail-Software Outlook ein bedenkliches Fehlverhalten im Umgang mit digitalen Signaturen gefunden zu haben. Demnach könne man digital signierte E-Mails ändern, ohne dass Outlook eine Warnung ausgebe. Vielmehr stufe die Software die Signatur weiterhin als vertrauenswürdig ein, obwohl Franceschetti die Absenderadresse der E-Mail geändert hatte. mehr (http://www.heise.de/security/news/meldung/57934)


Neue DNS-Poisoning-Welle im Gang
Seit einigen Tagen läuft anscheinend eine neue Pharming-Welle. Diesmal versuchen die Hintermänner alle Browser-Aufrufe von .com-Adressen auf ihre Web-Site umzuleiten, auf der sie verschreibungspflichtige Medikamente verkaufen. Auslöser der Zwangsumleitung kann schon eine HTML-E-Mail mit einem Link zu einer externen Grafikdatei sein, die auf einem Server der Hintermänner liegt. mehr (http://www.heise.de/security/news/meldung/57938)


Pufferüberlauf in Trillian-Plugins
Der Instant-Messaging-Client Trillian kommt nicht aus den Schlagzeilen heraus: In einer E-Mail an mehrere Security-Mailinglists weist Matt Hargett, Mitarbeiter des Softwarehauses LogicLibrary, auf ein fortbestehendes Problem des Windows-Programms hin. Zumindest die Plugins für die IM-Dienste von AOL (AIM), MSN, Yahoo sowie für RSS-Feeds sollen gegen überlange HTTP-1.1-Antworten anfällig sein. mehr (http://www.heise.de/security/news/meldung/57940)


Quelle: heise

Virus löscht Musik von der Festplatte

Den neuesten Virus könnte die Musik-Industrie erfunden haben: Nopir-B zerstört alle MP3-Dateien, die sich auf der Festplatte befinden. Raubkopierer, die sich den Virus einfangen, können ihre ganz Musiksammlung binnen Minuten verlieren!

Der Wurm Nopir-B zeigt außerdem ein Anti-Raubkopie-Bild auf dem Bildschirm an, wenn er gestartet wird. Der Wurm löscht anschließend alle COM- und MP3-Dateien auf dem Computer, berichtet der Virenspezialist Sophos.

Der Wurm deaktiviert außerdem den Task-Manager, Registrierungs-Tools und den Zugriff auf die Systemsteuerung. Nopir-B kopiert sich in den Programm-Ordner unter „\Projects Visual Studio.NET\Nctrup.exe“ sowie unter \Restore\ unter einem zufällig gewählten Dateinamen, sowie ins eMule-Verzeichnis als „AnyDVD 5.1.0.1 Crack+Keygen By Razor.exe“. Der Wurm verbreitet sich über Tauschbörsen, ein Update der Antivirus-Software ist empfehlenswert.


Quelle: www.krone.at

Spam-Trojaner Sober.Q versucht kommenden Montag nachzuladen

Immer noch verschickt der Trojaner Sober.P massenhaft Spam-Mails von infizierten PCs. Als würde das nicht ausreichen, füllen sich die Postfächer der Anwender noch zusätzlich mit Fehlermeldungen von Mail-Servern à la "Delivery has failed".


Das alles aber könnte sich am kommenden Montag, den 23. Mai, schlagartig ändern. So haben die Hersteller von Antivirensoftware unter anderem diesen Zeitpunkt ausgemacht, an der Sober.P mit dem Versenden der Mails aufhört und von diversen Web-Servern neue Programme nachlädt. mehr (http://www.heise.de/security/news/meldung/59729)


Quelle: heise

Schon wieder neuer Mytob-Wurm

Der spanische Security-Spezialist Panda Software warnt vor einer weiteren Variante des Mytob-Wurms. "Mytob.GV" öffnet ein Hintertürchen auf infizierten Systemen und verbreitet sich via E-Mail und gemeinsam genutzten Ressourcen mit schwachen Passwörtern.

Nach der Infektion beendet der Wurm zahlreiche Prozesse im Rechner, hauptsächlich von Antivirenlösungen. Zusätzlich blockiert er den Webzugriff auf die Seiten von Security-Spezialisten.

Die Betreffzeilen der Wurm-E-Mail können lauten: "*DETECTED* Online User Violation Email Account Suspension", "Important Notification", "Members Support", "Notice of account limitation Security measures",
"Warning Message: Your services near to be closed", "You have successfully updated your password", "Your Account is Suspended For Security Reasons", "Your Account is Suspended", "Your new account password is approved", "Your password has been successfully updated" oder "Your password has been updated".

Nach seiner Attacke hinterlässt "Mytob.GV" einen laut Panda "schutzlosen", für weitere Malware verwundbaren Rechner. Erst kürzlich hatte eine andere Variante des Wurms, "Mytob.U", für Alarm gesorgt.



Quelle: www.krone.at (http://www.krone.at)

Kampf der Plug&Play-Würmer

Antivirenhersteller melden eine Flut neuer Würmer und Bots, die die Plug&Play-Schwachstelle unter Windows 2000 ausnutzen. Derzeit benutzen die Hersteller für die verschiedenen Varianten die Namen Zotob, Bozori, IRCBot, RDBot, Esbot, Mytob, CodBot, SDBot und Drudgebot -- jeweils mit verschiedenen Suffixes. Allerdings gibt es hier zahlreiche Überschneidungen. Während Bitdefender den Wurm Zotob.D nennt, heißt er bei Kaspersky Bozori.A, bei Panda IRCbot.KC und bei Sophos sogar Tpbot-A. mehr (http://www.heise.de/security/news/meldung/62908)



Quelle: www.heise.de (http://www.heise.de)

Lücke macht den Internet Explorer zum Proxy
Durch einen Fehler im ActiveX-Control Microsoft.XMLHTTP könnte eine böswillige Website beliebige HTTP-Anfragen "einschleusen", Daten wie den Referrer manipulieren oder sogar eine Man-in-the-Middle-Attacke ausführen. Diese Angriffe sind auch bei einem vollständig gepatchten Windows XP mit Service Pack 2 möglich. Eine ähnliche Lücke schlossen die Mozilla-Entwickler mit den vor kurzen aktualisierten Browser-Paketen; Netscape ist wahrscheinlich noch anfällig. mehr (http://www.heise.de/security/news/meldung/64426)


Neue Abiword-Version schließt Lücke im RTF-Import
Die neue Version der Textverarbeitung Abiword 2.2.10 schließt unter anderem ein kritisches Sicherheitsloch im Importmodul für Rich-Text-Format-Dateien (.rtf). mehr (http://www.heise.de/security/news/meldung/64422)



Quelle: www.heise.de (http://www.heise.de)

Vorsicht vor "Klassentreffen": Neue Variante des Sober-Wurms unterwegs


Der Schädling tarnt sich als Suchmail einer angeblichen ehemaligen Schulkameradin für ein Klassentreffen. Im beigefügten vermeintlichen Klassenfoto soll sich der Empfänger wiederfinden. mehr... (http://www.heise.de/security/news/meldung/64627)



Quelle: heise

Das BSI warnt: "Computerwurm Sober verbreitet sich rasant weiter"

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einer Mitteilung erneut vor der Anfang der Woche aufgetauchten Variante des Sober-Wurms. Die aktuelle Sober-Variante ähnelt zwar funktional ihren Vorgängern, findet aber durch besonders raffiniert gefälschte E-Mails offenbar mehr Opfer als die vorherigen Varianten. mehr (http://www.heise.de/newsticker/meldung/66623)



Quelle:www.heise.de

Trojaner dringt über ungepatchte IE-Lücke in Windows-PCs ein

Für die vor kurzem nachträglich als äußerst kritisch eingestufte Sicherheitslücke im Internet Explorer ist nach Angaben von Microsoft bereits der erste Schädling öffentlich aufgetaucht. Der Win32/Delf.DH genannte Trojaner infiziert einen PC bereits beim Besuch einer manipulierten Webseite. Betroffen sind alle Versionen von Windows. Einzig Windows Server 2003 mit und ohne Service Pack 1 sind immun, sofern die Enhanced Security Configuration aktiviert ist. mehr infos (http://www.heise.de/security/news/meldung/66846)


Quelle: www.heise.de

Mambo-Wurm wühlt sich durchs Netz
Der Linux-Wurm Linux/Elxbot nutzt eine kürzlich gemeldete Schwachstelle im Mambo-Content-Management-System, um Server zu infizieren und sich dort einzunisten. Nach der Infektion horcht der Wurm auf die Befehle des Botnetz-Betreibers und bietet diesem eine Fülle von (Schad-)Funktionen an. weitere infos (http://www.heise.de/security/news/meldung/67006)



MediaWiki 1.5.3 schließt kritische Sicherheitslücke
Die neue Version 1.5.3 von MediaWiki behebt neben kleineren Bugs einen kritischen Programmierfehler, der einem Angreifer unter Umständen das Einschleusen von beliebigem Schadcode übers Netz ermöglicht. Aus den Release-Notes geht hervor, dass alle bisherigen Versionen der 1.5er-Serie einschließlich der Release-Candidates, nicht jedoch Version 1.4 oder älter davon betroffen sind. weitere infos (http://www.heise.de/security/news/meldung/67002)



Quelle: heise

Die meist verbreiteten Viren im Internet

Kaum ein Tag vergeht, an dem nicht Mails voller Viren und Trojaner ins Postfach trudeln. Der Virenspezialist SophosLabs veröffentlichte jetzt eine aktuelle Liste der meist verbreiteten

Mit über 40 Prozent aller Viren, Würmer und Trojaner führt Sober-Z die Hitliste (siehe Foto) aller Viren, Trojaner und Würmer an. Obwohl Sober-Z erst Ende des Monats im Netz auftauchte, sorgte die modifizierte Version des Sober-Wurms bereits für gehörigen Schaden.

Der Virus verbreitet sich durch den Mailverkehr mit einer angeblichen Nachricht des Bundeskriminalamts, in welcher man darauf aufmerksam gemacht wurde, dass man im Besitz von Raubkopien sei.

Die Beobachtungen von Sophos zeigen vor allem, dass man es immer seltener mit wirklich neuen Computer-Viren zu tun hat. Vielmehr handelt es sich um modifizierte Varianten altbekannter Schädlinge.

http://wcm.krone.at/hps/upload/hxmedia/2005/12/02/1_claBuK8U0D_rg.jpg
Foto: Sophos



Quelle:www.krone.at

Am 5. Januar startet der nächste Sober-Angriff

Seit ein paar Wochen treibt eine aktuelle Sober-Variante ihr Unwesen im Internet und auf den heimischen Rechnern. Während viele User noch damit kämpfen, den Virus von ihren PCs zu entfernen, steht der nächste Angriff schon bevor: Am fünften Januar soll der nächste Sober-Virus losgeschickt werden.

Stichtag ist der fünfte Januar 2006. Dieses Datum, so eine Untersuchung des Unternehmens Idefense, sei nämlich in der aktuellen Sober-Variante, die seit dem 22. November im Umlauf ist, fix einprogrammiert. Am Stichtag selbst würde der Virus dann neue Daten und Anweisungen von seinen Programmierern empfangen.

Die Zeit drängt also. Der finnische Antiviren-Hersteller F-Secure ist jedoch überzeugt, dass der Angriff auch abgewehrt werden könne. Der Wurm beziehe seine neuen Daten von kostenlosen Webspace-Anbietern, welche sich überwiegend in Deutschland und Österreich befänden. Mit etwas Glück könnten spezifische Adressen, die der Wurm versuchen wird aufzurufen, gesperrt werden.



Quelle:www.krone.at

Wurm Dasher nutzt Windows-Lücke

Die Entwicklung vom Windows-Patch über einen öffentlich verfügbaren Exploit bis hin zum Wurm ist einmal mehr vollzogen: Dasher.b installiert auf Systemen, die den Patch aus MS05-051 nicht installiert haben, einen Keylogger samt Rootkit. Gefährdet sind vor allem Windows 2000-Systeme; XP-Rechner mit Service Pack 2 sind nicht betroffen. In Deutschland ist die Verbreitung offenbar eher gering; sie hat ihren Schwerpunkt anscheinend in China. mehr infos (http://www.heise.de/newsticker/meldung/67506)



Quelle:heise

Trojaner tarnt sich als YouTube-Video

http://img.kronline.at/hps/upload/hxmedia/2006/10/09/2_7gm_6X_VKxCFo.jpg

Das IT-Sicherheitsunternehmen Websense warnt vor einem neuen Trojaner, der sich als YouTube-Video tarnt. Der Schädling verschickt sich selbst als E-Mail mit wechselnden Betreffzeilen und versucht, seine Opfer auf diese Weise zu täuschen. Der E-Mail-Empfänger wird aufgefordert einen Link zu öffnen, der angeblich auf ein YouTube-Video verweist. Tatsächlich aber führt der Link direkt zum Trojaner mit dem Namen „video.exe“.

Die E-Mails erwecken den Anschein, dass sie von einem Bekannten kommen. Öffnet der Empfänger den Link, so gelangt er jedoch nicht auf das Videoportal, sondern auf eine Webseite, die den Virus enthält.

Bei unzureichender Sicherheitssoftware wird der PC schließlich mit einem so genannten „Sturm-Wurm“ infiziert. Der Wurm tauchte erstmals im vergangenen November auf. Seinen Namen erhielt der Wurm durch seine massenhafte Verbreitung, als Orkan Kyrill über Europa fegte.

Ziel des Wurms ist es, ein möglichst großes Bot-Netzwerk aufzubauen. Über solche ferngesteuerten Netzwerke werden schließlich Webangriffe gestartet oder Spam-E-Mails verschickt. Laut SecureWorks wurden in den Monaten Juni und Juli allein 1,7 Millionen Computer befallen.

Durch die Größe, die das Bot-Netzwerk mittlerweile erreicht hat, sind die Wurmautoren in der Lage, massive DoS-Attacken beispielsweise gegen Unternehmen durchzuführen. (pte)




Quelle:www.krone.at

http://img.kronline.at/hps/upload/hxmedia/2008/08/14/2_zfMFyEHD2rSlE.jpg

Virus kidnappt Daten und fordert Lösegeld

Vor einem besonders unangenehmen Computervirus warnen derzeit die Sicherheitsspezialisten von Kaspersky Lab: "Gpcode", so der Name des Schädlings, kapert Daten, verschlüsselt diese und fordert anschließend Lösegeld. Die Chancen, befallene Daten retten zu können, sind gering.

Bereits in der Vergangenheit hatte "Gpcode" für Aufregung gesorgt, der damals verwendete 1024-Bit-RSA-Schlüssel zur Verschlüsselung der gekidnappten Daten konnte von Virenspezialisten jedoch bald geknackt werden.
Nun scheinen die Virenautoren allerdings dazugelernt zu haben: Die neue Fassung soll den als unknackbar geltenden AES-Algorithmus verwenden - zumindest behaupten dies die Programmierer in einer Textdatei, die der Virus auf infizierten PCs hinterlässt.
Laut Kaspersky analysiere man derzeit die Verschlüsselungsfunktionen, um eine mögliche Schwachstelle ausfindig zu machen. Betroffenen rät man, auf die Forderung nach Zahlung eines Lösegeldes in Höhe von zehn US-Dollar nicht einzugehen. Zunächst solle man die im Juni erarbeiteten Wiederherstellungsmöglichkeiten testen (siehe Infobox).
Ob der eigene Rechner infiziert ist, lässt sich übrigens leicht erkennen: Ein roter Totenschädel auf dem Desktophintergrund weist auf den Befall hin. Betroffen von der Verschlüsselung sind überwiegend Word- und PDF-Dokumente, aber auch verschiedenste Bildformate.





Quelle:www.krone.at (http://www.krone.at/)