| |
Home / Weblog
Analytiker-Tagebuch
|
Wie erwartet, können wir mehr infizierte Rechner bestätigen. Unsere aktuelle Zählung sieht folgendermaßen aus:
7798 VEREINIGTE STAATEN VON AMERIKA
1765 INDIEN
1332 ARGENTINIEN
1244 TÜRKEI
1094 RUSSISCHE FÖDERATION
1084 DEUTSCHLAND
968 SPANIEN
950 ISLAMISCHE REPUBLIK IRAN
881 REPUBLIK KOREA
878 MAROKKO
822 KANADA
815 PERU
792 JAPAN
712 THAILAND
689 ÖSTERREICH
678 RUMÄNIEN
655 POLEN
654 ISRAEL
628 SCHWEDEN
599 ITALIEN
Diese Zahlen beziehen sich auf Einzel-Hosts, von denen einige mehrere Userverzeichnisse usw. aufweisen, so dass die reale Zahl viel höher ist als hier gezeigt. Wie bereits erwähnt, verbreitet jeder dieser Hosts einen Satz von Schaddateien, die je nach Umgebung des Rechners an einen User verschickt werden. Wir verwendeten die Seite www.virustotal.com, um den aktuellen Erkennungs-Status von 41 Antivirus-Anbietern, die sich an dieser Seite beteiligen, zu bestätigen. Das Ergebnis zeigte, dass gegenwärtig nur 3 von 41 Anbietern die Schaddatei *.php file entdeckt haben, mit welcher die oben genannten Standorte infiziert sind. Die Schaddatei *.pdf file haben 4 von 41 Anbietern erkannt, den Flash-Content – 3 von 41 Anbietern. Hingegen haben 33 Anbieter die ausführbaren Hauptdateien erkannt. Natürlich können die Kriminellen, die diesen Betrug betreiben, jederzeit diese Schaddateien verändern. Wir verfolgen aufmerksam die weitere Entwicklung, um unsere User so schnell wie möglich zu schützen.
Gumblar - Verbreitung einer Infektion |
|
Um den 20. Oktober herum erhielten wir von unserem Büro in der Türkei einige Mails über „die mögliche Ausbreitung eines neuen Virus.“ Und unsere Kollegen hatten recht: Etwas war im Gange. Einige Tage vorher davor, am 16. Oktober, hatten wir Veränderungen auf einigen Webseiten festgestellt registriert, die wir seit Mai 2009 beobachtet überwacht hatten, als sich „gumblar“ ausbreitete. Verbreitung von Während im April/Mai der Angriff nur mit Iframes funktionierte, die auf zwei Schad-Webseiten umleiteten (gumblar.cn, martuz.cn), sind dieses Mal die ausbreitenden Server weiter verbreitet - wir haben mehr als 202 Standorte identifiziert. Es folgt die Top-20-Liste der Länder mit infizierten Hosts, welche auf diese Schad-URLs leiten.
7271 VEREINIGTE STAATEN VON AMERIKA
704 RUSSISCHE FÖDERATION
675 REPUBLIK KOREA
619 ISLAMISCHE REPUBLIK IRAN
540 TÜRKEI
510 DEUTSHLAND
499 INDIEN
487 JAPAN
400 THAILAND
382 POLEN
379 BRASILIEN
345 ARGENTINIEN
298 TSCHECHISCHE REPUBLIK
187 UNGARN
182 BELGIEN
173 ITALIEN
163 RUMÄNIEN
159 UKRAINE
157 FRANKREICH
117 VIETNAM
*Hinweis: Die US-Zählung enthält mehr als 4000 Einträge, die auf eine persische Blog-Seite leiten, welche wahrscheinlich der bisher größte missbrauchte Eintrag gewesen ist. Unter den infizierten Hosts befanden sich auch viele .gov-Maschinen. Gegenwärtig zählen wir nicht weniger als 71 .gov-Einträge, 47 davon befinden sich in der Türkei. Wir sehen auch etwa 65 .edu sites und ca. 79 .ac domains, die hauptsächlich über Thailand, Indien und Korea verbreitet sind. Eine gründlichere Analyse der Zählungen in Japan hat mindestens 487 infizierte Seiten offenbart, davon sind noch 357 mit Schad-URLs infiziert, während dieser Beitrag hier geschrieben wird. Einige geschätzte Zugriffs-Zahlen:
21760 www.es***ne.com
20823 www.sport***.mk
19574 www.fortun***.ru
11937 www.***jinja.or.jp
10434 www.***land*.it
Für eine Woche hat unsere Kumulativzählung insgesamt 443748 Zugriffstreffer gezeigt, und das ist nur ein Teil des gesamten Geschehens. Während mehrerer Tage, nachdem wir diese neue Bedrohung festgestellt und unsere Angaben um die Aufdeckung der Schad-Dateien, die auf Adobe Reader und Flash Player zielen, ergänzt hatten, wurde in IT-Sicherheitskreisen überraschenderweise wenig darüber gesprochen. Es brauchte einige Zeit, bis 'new gumblar' in größerem Maßstab erkannt wurde, und viele scheinen ihn immer noch nicht erkannt zu haben. Er ist jedoch in der Tat sehr aktiv, und als Nebenwirkung sind verschiedene PC-Händler-Suppportlines mit Fragen bezüglich plötzlicher Neustarts usw. überschüttet worden. Es wird auch darüber berichtet, dass Rechner, die mit einer Schadversion von gumblar infiziert sind, nicht vollständig hochgefahren werden können, der Bildschirm bleibt schwarz, und nur der Mauszeiger ist zu sehen. Natürlich sind die oben angegebenen Zahlen nicht endgültig, und sie steigen jeden Tag.
Ein “Black Hat” verliert die Kontrolle |
|
Die Urheber bösartiger Software versuchen immer, ihre Identität zu verschleiern, richtig? Falsch! Sogar einige der heute tätigen Online-Kriminellen mit Geschäftsabsichten enthüllen ihre Identität. Wir sind etwas überrascht, aber hier ist die Geschichte eines “Black Hat” der seine Identität preisgab und jetzt versucht “Schadenersatz” für die Recherchen Kasperskys zu bekommen. Vor kurzem beschäftigten wir uns mit einem neuen Dienst für Malware-Programmierer: [avtracker dot info]. Es handelt sich um einen Online-Dienst für die Verfolgung von Antivirus-Software-Herstellern. Die Homepage von [avtracker dot info] beschreibt den Dienst, welcher den Schutz von Schadprogrammen gegen die Überprüfung durch Programme zum Aufspüren von Malware beschreibt und ruft außerdem zu einem DDoS-Angriff gegen Antivirus-Unternehmen auf: 
Zusätzlich haben einige unserer Forscher ein Network Request zur Verfügung gestellt, welches dazu benutzt wurde, um Informationen an [avtracker dot info] zurück zu geben. Dieser Request wurde in einem speziellen Spionageprogramm verwendet, welche vom [avtracker dot info] Inhaber an verschiedene Antiviren-Labs versendet wurde. Bei Ausführung des Programms kontaktiert dieses den Eigentümer und beschreibt die Umgebung des infizierten Systems. Wir haben etwas mit diesem Request gespielt und verschiedene Nutzernamen- und Systemparameter durch zufällige Zahlen- und Buchstabenfolgen ersetzt. Der WHOIS Eintrag war nicht hilfreich – [avtracker dot info] war anonym registriert worden. Dies war nicht überraschend. Online-Kriminelle registrieren Domains meistens anonym, um ihre Identifizierung zu erschweren. So weit nichts Außergewöhnliches – ein normaler Tag im Leben eines Antiviren-Software-Unternehmens. Und dann…Überraschung! Der Inhaber der Dienstes für Malware Programmierer kontaktierte uns und enthüllte seine Identität. Obendrein verlangte er ein Lösegeld von 2000 Euro als Kompensation seines Schadens, der bei unserem Versuch entstand, sein neues Spielzeug zu “zerstören”. Während wir dies schreiben, haben wir das Spionageprogamm erhalten, in dessen Programmcode die folgende Nachricht enthalten war, welche auf dieselbe Person hinwies, die uns kontaktiert hatte: 
Natürlich haben wir alle relevanten Daten unserem Anwalt übergeben, welcher nun die weiteren Schritte unternehmen wird. Wären alle Online-Kriminelle so kooperativ, wäre das Leben eines Antivirus-Unternehmens bedeutend einfacher.
Viren-Almanach (Nr. 9, September 2009) |
|
- Die Top-Drei-Länder, in denen am meisten schädliche URLs gefunden wurden.
Spitzenreiter ist Kanada, dort tauchten über 21% aller schädlichen Links weltweit auf.
Auf dem zweiten Platz befinden sich die USA mit 16%, auf
Platz drei China mit 15%.
- Die Top-Drei-Länder mit den meisten Webseiten, über die schädliche Objekte verbreitet wurden.
China belegt in dieser Kategorie Platz eins – mit 26% aller infizierten Webseiten weltweit.
Platz zwei geht an die USA mit 18%.
Auf dem dritten Platz liegt Russland mit 12%.
- Die Webseite, über die die meisten Schadprogramme verbreitet wurden.
langlangdoor.com – diese Adresse ist der Grund für 1,62% aller infizierten Computer weltweit. Bei der Webseite handelt es sich um ein chinesisches Portal, auf dem pornographische Inhalte angeboten werden. Immer noch ein geeignetes Mittel (Social-Engineering-Trick), um zahlreiche Anwender auf infizierte Webseiten zu locken.
Über langlangdoor.com wurden vor allem Trojaner verbreitet, die zum größten Teil zu den Familien Trojan-Downloader.Win32.Agent und Trojan.Win32.StartPage gehören. - Die Webseite, über die die meisten unterschiedlichen Schädlinge verbreitet wurden.
gddsz.store.qq.com – Über diese Internetseite wurden insgesamt 1.142 Schadprogramme verbreitet, darunter befanden sich nahezu alle erdenklichen Arten von Malware.
- Der größte Schädling
Trojan.Win32.Chifrax.d mit 388 MB. Von diesem Trojaner wurden zahlreiche Modifikationen registriert, die allesamt größer sind als 300 MB. - Der kleinste Schädling
Trojan.BAT.Shutdown.ab mit 30 Byte. Dieser Schädling ist Teil eines anderen Trojaners, mit dessen Hilfe Anwendercomputer infiltriert werden. - Die größte Schwachstelle auf Anwendercomputern
Adobe Flash Player Multiple Vulnerabilities, die erstmals Ende Juli dieses Jahres entdeckt wurden. Mittels dieser Schwachstellen können Cyberkriminelle auf Anwendersysteme zugreifen und dort willkürlich Codes ausführen, vertrauliche Daten anzapfen und das Sicherheitssystem umgehen. Weitere Informationen zu den Adobe-Lücken inkl. Tipps, wie man diese schließt, sind verfügbar unter: http://www.viruslist.com/en/advisories/35948 - Der populärstes Exploit
Exploit.JS.DirektShow.a. Exploits dieser Familie nutzen in Verbindung mit dem Exploit.Win32.DirektShow eine gefährliche Sicherheitslücke im Internet Explorer (Versionen 6 und 7) und sind in letzter Zeit im Internet weit verbreitet. - Der am weitesten im Netz verbreitete Schädling
Packed.Win32.TDSS.z, der im Laufe eines Monats versucht hat, Anwendercomputer in 108 verschiedenen Ländern zu befallen. - Scherzprogramm des Monats (so genannter Hoax – ein Programm ohne schädliche Funktion, das Anwender allerdings erschrickt oder von der Arbeit abhält.)
Hoax.JS.Agent.c – der Hoax mit dem größten Aufkommen. Dieses Programm zeigt ein Videofragment mit anstößigem Inhalt und überhäuft den Anwender mit beleidigenden Mitteilungen, die sich nicht abstellen lassen.
|
In der ersten Maiwoche traf ein gewichtiger Teil der Antiviren-Community im sonnigen Budapest zusammen. Der erste Punkt auf der Tagesordnung war der dritte, jährlich stattfindende CARO Workshop, an dem mehr als Hundert Virenforscher aus aller Welt teilnahmen. Im Anschluss an diesen Workshop wurde eine Konferenz der AMTSO Mitglieder abgehalten. Diese Zusammenkunft mit rund vierzig Personen fand in deutlich kleinerem Kreis statt, darunter auch Dennis Nazarov und ich als Vertreter von Kaspersky Lab. In unserem Gepäck hatten wir den Plan, über folgende vier Dokumente abstimmen zu lassen:
- Best Practices für die Validierung von Samples,
- Best Practices für Testverfahren bei In-the-Cloud Security-Produkten,
- Analyse von Bewertungsprozessen und
- Themen rund um das Erstellen von Schadprogrammen für Testzwecke
Nach einer Prüfung entschieden die Teilnehmer, dass der Text Themen rund um das Erstellen von Schadprogrammen für Testzwecke noch nicht ausgereift genug für eine Abstimmung sei. Hierbei handelt es sich um das bei weitem umstrittenste Dokument, das von der AMTSO ausgearbeitet wird.
Die Kluft zwischen denjenigen, für die das Modifizieren/Entwickeln von Malware für Testzwecke kein Problem darstellt und anderen, die lieber darauf verzichten möchten, ist enorm. Bis vor wenigen Jahren noch waren derartige Malware-Entwicklungen sowohl auf Grund technischer als auch wegen ethischer Bedenken ein absolutes Tabu. Inzwischen jedoch steigt die Anzahl der Personen, sich für diese Vorgehensweise aussprechen, unter der Voraussetzung, dass die entsprechenden Sicherheitsmaßnahmen sichergestellt sind.
Immerhin wurden die drei anderen Dokumente für abstimmungsreif erachtet und wurden zur Abstimmung vorgelegt. Alle Texte wurden angenommen. Das Dokument über die Sample-Validierung nimmt Bezug auf das wichtige Thema, dass sämtliche Dateien in einer Testreihe gültig sein müssen, d.h., dass keine Datenkorruption vorliegt.
Da in immer mehr Produkte sogenannte „Cloud-Funktionen“ integriert werden, stellt sich die Frage nach angemessenen Testverfahren für diese Produkte. Mit einer sich ständig verändernden Cloud ist das Reproduzieren von Testergebnissen keine adäquate Lösung. Unser Dokument enthält einige wichtige Anregungen zu diesem Thema.
Der Text mit den sicherlich größten Auswirkungen ist die Analyse von Bewertungsprozessen. Er liefert die Richtlinien, die die AMTSO bei der Analyse von veröffentlichten Testberichten beachten muss.
Ein Sonderausschuss wird Testberichte auf Basis der grundlegenden AMTSO Prinzipien für Testverfahren prüfen, um festzustellen, ob sie diesen entsprechen. Zwar arbeiten wir immer noch daran, einige der anderen betroffenen Prozesse effizienter zu gestalten, trotzdem sind wir alle von diesem Projekt schon jetzt restlos begeistert.
Die kürzlich veröffentlichten Dokumente können hier eingesehen werden.
Weihnachtliche Frühlingspost |
|
Heute ist der 23. Mai, seit Weihnachten ist also fast ein halbes Jahr vergangen. Bis zum nächsten Weihnachtsfest verbleibt also demnach noch mehr Zeit – 7 Monate genau. Das scheint allerdings kein Hinderungsgrund zu sein, Weihnachten nicht zum Spammen zu nutzen, denn Jahr für Jahr ist kein Thema einträglicher als dieses. Warum sollte man es dann nicht im Februar, März, April und schließlich auch im Mai Ertrag bringend einsetzen? Hier zwei Beispiele von Weihnachtspost, die wir am 27. März und am29. April erhalten haben: 
Als ich diese Spam-Mail erhielt, die im Februar Bezug aufs Weihnachtsfest nimtm, dachte ich zunächst, die Spammer hätten einfach vergessen, den Hinweis aufs Christfest und das Geschenkversprechen zu löschen. Derselbe Gedanke kam mir im März. Im April wich dieser Gedanke einer gewissen Verunsicherung. Heute, nachdem mir wieder 12 Viagra-Tabletten kostenlos als Weihnachtsgeschenk angeboten wurden, wurde mir klar, dass die Spammer bereits weit im Voraus planen und sich schon im Sommer auf Weihnachten vorbereiten. 
Könnte es nicht sein, dass die Spammer damit ausdrücken wollten: „Kaufen Sie jetzt eine Packung Viagra und erhalten Sie dann überraschend eine weitere zum nächsten Weihnachtsfest!“? Doch versteh einer die Spammer! Wie auch immer – auch das Thema kostenloser Krams ist nicht neu.
Selbst ist der User: Trojan-Ransom.Win32.Krotten entfernen |
|
Der nächste typische Vertreter seiner Art ist der Trojaner Trojan-Ransom.Win32.Krotten (gemäß der Klassifizierung von DrWeb auch bekannt als Trojan.Plastix). Im Gegensatz zu den SMS-Erpressern, die den Systemstart blockieren ohne das System dabei zu beschädigen, richten die Vertreter dieser Erpresserfamilie reichlich Schaden im System selbst an, so dass die Anwesenheit des Trojaners und sein Autostart daraufhin schon nicht mehr wichtig sind. Andererseits sind die Schäden durchaus reparabel, da die meisten durch eine Modifizierung der System-Registry hervorgerufen werden. Der übliche Preis für die „Rettung des Systems“ beträgt $10. Nehmen wir als Beispiel für eine typische Variante den Trojan-Ransom.Win32.Krotten.hu einmal genauer unter die Lupe. Die ausführbare Datei des Schadprogramms ist 139 KB groß. Das Icon der Datei ähnelt dem eines RAR-Archivs. Wird der betreffende Schädling gestartet, führt er eine Reihe von Operationen durch, die charakteristisch für die gesamte Krotten-Familie sind:
- Das Programm erstellt eine Policy zur eingeschränkten Nutzung des Programms (Schlüssel der Registry [Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\RestrictRun\]), blockiert den Start aller Anwendungen außer thebat.exe, msimn.exe, iexplore.exe, MyIE.exe, Maxthon.exe, sbrowser.exe, absetup.exe, avant.exe, Photo.exe, notepad.exe, WinRAR.exe und WINZIP32.EXE.
- Es blockiert den Start von UsbStor (ein wichtiger Systemtreiber, der Treiber für alle USB-Speichermedien), und verhindert somit die Arbeit mit Flash-Speichern.
- Es treibt Unfug mit den Explorer-Einstellungen (unterdrückt insbesondere die Darstellung des Menüs „Start“ > „Ausführen“).
- Es erstellt eine Unmenge Sicherheits-Policys für Zugangsbeschränkung der Anwender zu den Systemeinstellungen und beschneidet nahezu alle Browser-Funktionen.
- Es ändert die Startseite des Internet Explorers (und ersetzt diese durch einen Link auf die Website poetry.rotten.com) sowie die Überschrift im Fenster des IE (und ersetzt diese durch derbe Flüche).
- Es deaktiviert das Kontextmenü in den Systemverzeichnissen.
- Es löscht den Ordner „Gemeinsame Dokumente“ aus dem „Arbeitsplatz“ (physisch wird der Ordner nicht gelöscht, es erfolgt lediglich ein Löschen{59031a47-3f72-44a7-89c5-5595fe6b30ee} aus dem Registry-Schlüssel [SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\DelegateFolders\]).
- Aktiviert die Ausgabe von Benachrichtigungen über zu geringen freien Festplattenraum. Normalerweise erscheint diese Mitteilung nur dann, wenn weniger als 1% des Festplattenraums auf der HDD verfügbar ist. Aufgrund der Aktivität von Krotten wird diese Mitteilung immer ausgegeben.
- Verhindert die Darstellung von Desktop-Wallpapers.
- Erstellt eine nicht standardisierte Maske zur Zeitformatierung in den regionalen Einstellungen, was unter anderem dazu führt, dass anstelle der Uhrzeit anstößige Bemerkungen angezeigt werden und behindert die Funktion aller Programme, die die Uhrzeit gemäß der Systemeinstellungen der Formatierung anzeigen.
- Erstellt eine Mitteilung, die während des System-Neustarts angezeigt wird: Überschrift: DANGER, Text: Erpressung von $10 oder 500 für die Wiederherstellung der Funktionsfähigkeit des PC.
- Blockiert durch Policys den Start des Registry-Editors und des Task-Managers.
- Versucht Kopien seiner ausführbaren Datei unter den Namen
C:\WINDOWS\Provisioning\Schemas\lsass.exe
Und
C:\WINDOWS\WinSxS\Manifests\explorer.exe zu erstellen.
- Macht durch die Zerstörung des Registry-Schlüssels [regfile\shell\open\command] den Import von REG-Dateien unmöglich.
- Verhindert die Darstellung und das Öffnen von Festplatten im Explorer.
- Erstellt leere Ordner auf der Festplatte C mit den Namen DOS und VISTA. Dabei installiert es für die Ordner „Dokumente und Einstellungen“, „Programmdateien“ und WINDOWS die Attribute Verborgen und System.
Nach Ausführung der beschriebenen Operationen öffnet der Trojaner ein Fenster mit seiner „Lösegeldforderung“: 
Nach dem Neustart sieht der befallene Computer folgendermaßen aus: Das Hintergrundbild auf dem Desktop ist nach links verschoben, auf dem Desktop befinden sich keine Icons mehr, das Menü Eigenschaften des Desktop funktioniert nicht, das Startmenü wurde buchstäblich auf Null reduziert, der Registry-Editor und der Taskmanger sind blockiert, im Explorer wird die HDD nicht dargestellt und während des Neustarts öffnet sich ein Fenster mit der Lösegeldforderung (in der sowohl die geforderte Summe als auch eine Kontakt-E-Mail angegeben sind). Trotz allem ist es nur halb so schlimm und die Funktionsfähigkeit des Systems lässt sich wiederherstellen. Zunächst einmal kann man den Explorer entweder über das Menü starten, das aufgerufen wird, wenn man mit der rechten Maustaste auf die Schaltfläche Start klickt, oder durch das gleichzeitige Drücken der Tasten Win+E. Zwar erhält man von hier aus keinen Zugriff auf die Festplatte, doch es ist im Prinzip möglich, ein Programm mit erlaubten Namen (s. Punkt 1 oben) zu starten. Um allerdings den Namen nicht erraten zu müssen (die Zusammenstellung der erlaubten Programme kann je nach Trojaner-Modifikation variieren und das Laden des benötigten Programms kann zum Problem werden), muss man lediglich die folgenden Schritte ausführen:
- Das System im „geschützten Modus aus der Befehlszeile“ starten.
- In dem sich nach dem Laden öffnenden Fenster die folgenden Befehle auswählen:
REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
REG DELETE
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- Nach jedem Befehl muss die Enter-Taste betätigt werden. Nun muss das Löschen der einzelnen Registry-Schlüssel mit der Y-Taste bestätigt werden.
- Desweiteren kann der Explorer auch durch Ausführen des Befehls explorer.exe gestartet werden. Da für den Explorer dabei keine Einschränkungen wirksam werden, kann aus dem Explorer jede beliebige Anwendung gestartet und jede beliebige Festplatte geöffnet werden.
- AVZ, AVPTool oder Kaspersky Internet Security starten und in ihnen das folgende Skript ausführen:
var
i : integer;
Begin
For i := 1 to 9 do
ExecuteRepair(i);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\UsbStor',
'Start', 1);
RegKeyStrParamWrite('HKCU', 'Control Panel\International', 'sTimeFormat',
'H:mm:ss');
RegKeyParamDel('HKLM', 'SYSTEM\CurrentControlSet\Services\lanmanserver\parameters',
'DiskSpaceThreshold');
RegKeyCreate('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpac
e\DelegateFolders\{59031a47-3f72-44a7-89c5-5595fe6b30ee}');
ExecuteWizard('TSW', 2, 3, true);
DeleteDirectory('%SysDisk%\DOS');
DeleteDirectory('%SysDisk%\VISTA');
ExecuteFile('attrib -R -S -H "'+NormalFileName('%WinDir%')+'"', '', 1, 10000, true);
ExecuteFile('attrib -R -S -H "'+NormalFileName('%PF%')+'"', '', 1, 10000, true);
ExecuteFile('attrib -R -S -H "'+NormalFileName('%ProfileDir%')+'"', '', 1, 10000,
true);
RebootWindows(true);
end.
Das Ergebnis: Die Funktionsfähigkeit Ihres Computers ist wiederhergestellt und die Folgen der Infizierung mit Trojan-Ransom.Win32.Krotten wurden beseitigt.
Spammer warnen vor sich selbst |
|
Die erste Maihälfte bot Spammern in der russischen Hauptstadt viele Ereignisse, so dass sie reichlich zu tun hatten. Kaum waren die Böllerschüsse zum Tag des Sieges am 09.05. – einem wichtigen russischen Feiertag - verklungen, stand schon das Finale des Eurovision Song Contest in Moskau ins Haus. Und wenn das kein Anlass ist, Spam zu versenden, was dann?! Also hatten die Spammer die Eurovision ins Visier genommen. Und wie lässt sich am offensichtlichsten mit diesem Ereignis Geld verdienen? Natürlich mit dem Verkauf von Eintrittskarten, und zwar ganz egal, ob man tatsächlich welche zu verkaufen hat oder nicht. Die ersten „Eintrittskarten“ wurden im russischen Internet bereits Mitte Februar angeboten, einen Monat vor dem offiziellen Vorverkaufsbeginn. Die Tickets wurden äußerst aggressiv beworben und derartiges Spam überflutete die Postfächer russischer User. Dabei kostete eine Eintrittskarte durchschnittlich das Anderthalbfache bis Doppelte der im offiziellen Vorverkauf angebotenen Tickets. 
Dabei waren die Verkäufer, die echte Billets zum dreifachen Preis verkaufen wollten, noch nicht einmal das Schlimmste. Im schlimmsten Fall hat man nämlich das Dreifache für ein gefälschtes Ticket gezahlt. Die offiziellen Tickets sind mehrfach geschützt, daher ist eine qualitativ gute Fälschung ebenso schwer herzustellen wie Falschgeld. Hinzu kommt, dass längst nicht alle Betrüger jemals eine echte Eurovisions-Eintrittskarte gesehen oder gar in den Händen gehalten haben. Daher konnte sich ein Imitat nicht nur inhaltlich, sondern auch formal stark vom Original unterscheiden. Darauf, dass die Tickets gut geschützt sind, wiesen auch die Spammer selbst hin, beispielsweise in der unten stehenden Mail - mit einem von den Spammern frei erfundenen Eurovisions-Logo. 
„Nehmen Sie sich in Acht vor Fälschungen!“ lautet der letzte Satz im russischen Mail-Text. Und in diesem seltenen Fall kann ich den Spammern nur aus vollstem Herzen zustimmen. Nehmen Sie sich in Acht vor Fälschungen, meine Damen und Herren, und fallen Sie bitte auch nicht auf den Versuch der Spammer rein, den Eindruck seriöser Verkäufer zu erwecken, die echte Tickets anzubieten haben.
Die menschliche Sicherheitslücke |
|
Stefan TanaseHallo aus dem Nahen Osten! Ich befinde mich derzeit in Kuwait City, wo ich einen Vortrag anlässlich des Kuwait ICT Security Forums halte. Worüber ich sprechen werde? Über Web 2.0 Angriffe natürlich – derzeit das am meisten diskutierte Thema überhaupt. Einer der wichtigsten Punkte in Zusammenhang mit Web 2.0 Bedrohungen ist die Bedeutung von Social Engineering oder, wie ich es lieber nenne, „der menschlichen Sicherheitslücke“ bei der Infizierung von Computern unschuldiger Nutzer. Sozialmanipulation ist ein schon seit jeher bekanntes Phänomen und existierte lange vor irgendwelchen Social Network-Plattformen, aber da heutzutage geradezu jedermann Websites wie Facebook, Twitter, etc. nutzt, scheint mir beides inzwischen untrennbar miteinander verbunden zu sein. Social Engineering, Social Networking – die Gemeinsamkeiten sind ziemlich offensichtlich, oder? Kürzlich konnten wir einen massiven Anstieg bei Pishing-Angriffen auf die Login-Seite von Facebook beobachten. Die Angreifer versendeten über das interne Facebook-Nachrichtensystem Kurznachrichten, mit denen die Teilnehmer auf „fbaction.net” umgeleitet wurden, einer Website, die in der Absicht erstellt wurde, die Login-Maske von Facebook zu kopieren. So, und warum wollen diese bösen Kerle Facebook-Passwörter stehlen? Die Antwort ist einfach: Über Social Network-Plattformen verbreiteter Schadcode ist für eine erfolgreiche Infizierung von Computern 10 mal effektiver als via E-Mail verbreitete Schadsoftware. Die Wahrscheinlichkeit, dass der Nutzer einen von einem zuverlässigen Freund (oder dem Freund eines Freundes!) erhaltenen Link anklickt, ist ungleich höher als bei einem Link, der in einer zufälligen Spam-Nachricht aufscheint. Lassen Sie sich nicht zu einem Opfer degradieren: Legen Sie ein Lesezeichen für die Login-Seite an oder tippen Sie www.facebook.com direkt in die Adresszeile des Internet-Browsers ein. Noch besser ist es, HTTPS zu verwenden, insbesondere, wenn Sie sich von einem öffentlichen Netzwerk einloggen: https://www.facebook.com. Diese Ratschläge gelten natürlich nicht ausschließlich für Facebook. Sie helfen dabei, unbeschwert Kontakte zu knüpfen! Oder sollte ich besser sagen...sicher Kontakte zu knüpfen?
Spammer heilen jede Krankheit! |
|
Spammer lieben Panik, denn sie lässt sich äußerst gut zu ihren Zwecken ausnutzen. Derzeit versetzt die Schweinegrippe die Gesellschaft in panikartige Stimmung. Das ist kein Geheimnis und die Spammer erkannten sehr schnell, wie sie sich diese Panik am besten zu Nutze machen können: Sie boten eine Impfung gegen die gefährliche Krankheit an, und schon quollen die Postfächer über vor kurzen Mitteilungen der folgenden Art: New medicine to prevent swine flu http://....com Diese Mitteilung bietet lediglich ganz neutral ein Mittel gegen die Schweinegrippe an. Es gibt allerdings auch Mails, die die Panik noch weiter schüren: Stop risk of being killed by swine flu! http://kp....com/ „Beseitigen Sie das Risiko, an der Schweinegrippe zu sterben!“ lautet der oben stehende Text. Doch folgt man dem Link, so sieht man, dass Spammer auf alle Leiden dieser Welt nur eine Antwort kennen. 
Ich habe auf dieser Seite ernsthaft nach irgendetwas gesucht, das auch nur ansatzweise etwas mit einer Impfung gegen die Schweinegrippe zu tun haben könnte. Doch außer Viagra, Cialis und den üblichen Mittelchen gegen Erkältung konnte ich nichts entdecken. Und das ist auch besser so, denn jedes von Spammern angebotene Mittel wäre zweifellos ein Fake – wie die meisten von ihnen feil gebotenen Artikel. | |
