JSP Gruppe

Schon wieder ist der Trojaner/Wurm  HIDDENEXT\Worm  unterwegs. Diesmal angeblich als ein MMS-gesandtes Foto von einer angeblichen Vodafone-Rufnummer. Angehängt ist allerdings eine ZIP-Datei mit einem ausführbaren Programm und der besagten Wurm-Signatur. Also garnicht erst neugierig werden und sofort in den Papierkorb!

Seit kurzer Zeit ist eine E-Mail im Umlauf, welche von einer Domain …@facebookmail.com stammt. (Achtung: dies ist dieselbe Endung wie von Facebook selbst!)

Der Betreff lautet: „Royal Mail Shipping Advisory“ (Versandbenachrichtigung der englischen Post) mit einer aktuellen Datumsangabe und man wird auf Englisch aufgefordert, die angeblich vom Versender angehängte Nachricht im Anhang zu lesen. Die E-Mail hat zwar das typische „Facebook-Layout“ hat aber mit Facebook nichts zu tun. Facebook wird außerdem nichts versenden, schon garnicht für die englische Post. 

Wenn Sie den Anhang aufrufen würden und die enthaltene angebliche ZIP-Datei anklicken, wird stattdessen der Trojaner-Wurm „HIDDENEXT/Worm.Gen“ auf Ihren Rechner geladen – und der ist gar nicht schön.

Ein zusätzlicher Hinweis, dass es SPAM ist: einige Nutzer erhalten diese Mail an eine E-Mailadresse, welche sie gar nicht auf Facebook registriert haben. So sehen die Mails aus (Klick zum Vergrößern):

Schon wieder eine verseuchte Mail!  Angeblich von Amazon stammt eine Mail, in der mitgeteilt wird, dass man etwas (z.B. für 79,88 Dollar) bestellt habe und dass man die Bestelldetails in der angehängten Datei sehen könne. Alle darunterstehenden Links führen tatsächlich zur Amazon-Seite, aber das ist nur Augenwischerei – man möchte ja, dass Sie den Anhang öffnen.

Wer die angehängte Datei „Amazon-Order-Details-REF8238865.zip“   dann allerdings anklickt, holt sich mit der dort versteckten EXE-Datei den Trojaner  „TR/Kazy.MK“  auf den PC.

Und Sie können sich wohl auch kaum daran erinnern, bei Amazon etwas in US-Dollar bestellt zu haben…

So sieht die Mail aus:

Seit kurzer Zeit ist eine E-Mail im Umlauf, welche von einer Domain …@facebookmail.com stammt. (Achtung: dies ist dieselbe Endung wie von Facebook selbst!)

Der Betreff lautet: „Your friend added a new photo with you to the album“ (Dein Freund hat dem Album ein Foto von Dir hinzugefügt) und man wird auf Englisch aufgefordert, das angeblich beigefügte Photo von sich selbst im Anhang zu betrachten. Die E-Mail hat zwar das typische „Facebook-Layout“ hat aber mit Facebook nichts zu tun. Eine weitere  – sehr ähnliche – Mail lautet im  Betreff:  „Your friend wants to share photos and updates with you“ (Dein Freund will Fotos mit Dir tauschen). Auch diese Mail ist mit einem gefährlichen Trojaner versehen.

Wenn Sie den Anhang aufrufen würden und die enthaltene angebliche ZIP-Datei anklicken, wird stattdessen der Trojaner-Wurm „HIDDENEXT/Worm.Gen“ auf Ihren Rechner geladen – und der ist gar nicht schön.

Ein zusätzlicher Hinweis, dass es SPAM ist: einige Nutzer erhalten diese Mail an eine E-Mailadresse, welche sie gar nicht auf Facebook registriert haben. So sehen die Mails aus (Klick zum Vergrößern):

So sieht diese Mail aus --> am Besten sofort löschen !

... und so sieht die andere Mail aus - sofort löschen....

 

 

 

In den letzten Tagen hat ein neuer Computervirus mit Namen „Dorifel“ die Niederlande hart getroffen. Der Schädling, der unter anderem Office-Dokumente verschlüsselt, hat sogar ganze Gemeinden lahmgelegt. Die Malware trat zuerst bei unseren Nachbarn auf, hat sich aber inzwischen auch nach Deutschland ausgebreitet. Sie zirkuliert vor allem in Behörden und Organisationen und lädt anderen Schadcode nach, der Bankdaten ausspioniert.

In sehr kurzer Zeit wurden über 3000 Computer. Der Virus verschlüsselt Dokumente, unter anderem mit den Dateiendungen DOC, DOCX, XLS, XLSX und EXE auf den betroffenen Computern sowie im verfügbaren, lokalen Netzwerk. Der ursprünglich wohl über E-Mail-Anhänge aktivierte Virus hat sich wohl zuerst in den Niederlanden ausgebreitet, tritt aber inzwischen auch in Deutschland, Dänemark, den USA und den Philippinen auf. In den Niederlanden habe er bisher insbesondere Rechner in Behörden, Unternehmen und Organisationen befallen.

Dortigen Medienberichten zufolge wurden zwischen dem 7. und 14. August 2012 über 30 Gemeinden, Unternehmen und Universitäten im Land teils schwer getroffen. Die Stadt Weert in der Provinz Limburg musste ihr Netzwerk sogar komplett abschalten und hat erst fünf Tage später mit dem Neustart ihrer Online-Angebote begonnen und schrittweise fortgesetzt.

Die Analyse eines mit Dorifel infizierten Servers durch Experten ergab außerdem, dass entsprechende Systeme vermutlich mit weiterer Schadsoftware infiziert sind, die darauf aus ist, Bankdaten zu stehlen. Diesen Schluss lassen gefundene Logfiles mit Namen, Kreditkartennummern und Kartenprüfnummern zu. Es wurde zudem gemeldet, dass die Bankdaten mehrerer hundert Personen den Cyberkriminellen in die Hände gefallen sind, vornehmlich Kunden der ING. (Die TV-Werbung sagt es ja schon: Da man kann überall in Europa Geld abheben…)

Zunächst werden verschiedene Office-Dokumente sowie EXE-Dateien verschlüsselt und damit unbrauchbar gemacht – und das auch auf Netzwerk-Laufwerken. Dazu kommen Komponenten, die auf den Diebstahl von Finanzdaten ausgelegt sind, wie eben Daten von Bankkunden. Man hat auf Kontrollservern des Schädlings aber auch Kredikartendaten gefunden. Auf Servern werden ferner Hintertüren (Backdoor-Trojaner) installiert.

Kaspersky empfiehlt, derzeit verstärkt darauf zu achten, Anhänge von E-Mails unbekannter Sender nicht zu öffnen. Selbst E-Mails von bekannten Unternehmen oder Organisationen sollten Anwender mit Bedacht öffnen – etwa nur, wenn der Anwender bereits im Dialog mit dem ihm bekannten Unternehmen steht. Allerdings seien Nutzer von Antivirussoftware gegen Dorifel geschützt – wenn diese auf dem neuesten Stand ist.

Administratoren wird nahegelegt, die IP-Adressen 184.82.162.163 und 184.22.103.202 zu blockieren: Netzwerk-Traffic zu diesen Adressen sei ein Hinweis darauf, dass das eigene Netz infiziert ist und über den befallen Server weitere Schadsoftware nachgeladen werden kann. Eine Kontroll-Domain zu Dorifel wurde mittlerweile effektiv ausgeschaltet.  Auf Dorifel-infizierten Computern ist meist weitere Malware installiert, die neue Versionen von Schadprogrammen herunterladen kann.

Schon wieder was Neues: Achtung vor dieser oder einer ähnlichen E-Mail:

 
  Natürlich hat Booking.com in den Niederlanden damit nix zu tun. Die Mail kommt von einem Relay Server aus den USA, dahinter steckt ein Spam-Versender, der laut eigener Werbung bereits über 50 Milliarden E-Mails versendet hat.

Der Anhang ist eine ZIP-Datei, in der eine ausführbare EXE-Datei versteckt ist – und was die anrichtet, kann man sich denken…..

So oder so ähnlich präsentiert sich der Bildschirm mit dem falschen Antivirenprogramm....

 

Dieser Schädling verbreitet sich gerne über vermeintlich seriöse Internetseiten, auf welchen der kostenfreie Download von Antivirensoftware oder so genannter  Security-Tools beworben wird.

Nach Download und Installation  gaukelt die Software einen Virenscan vor. Man kann beobachten, wie  scheinbar Festplatten und Wechsellaufwerke des PCs durchsucht – und dabei  „natürlich“ Viren gefunden werden.

Es wird dann gemeldet, dass der Rechner extrem gefährdet sei, da sich einige der Viren nur  mit der  kostenpflichtigen  Version des Antivirenprogrammes entfernen ließen.

Die Software startet sich von nun an nach jedem Windows-Start automatisch selbst und kann weder regulär  noch über den Taskmanager beendet werden.

In Wirklichkeit ist diese Software allerdings ein Trojanisches Pferd im wahrsten Wortsinn. Sie  löscht keinen einzigen Virus, sondern lädt stattdessen im Hintergrund nachträglich andere Schadprogramme aus dem Internet nach.

Der Arbeitsaufwand, befallene Rechner zu säubern hängt  davon ab, wie aktuell die Version dieses Trojaners ist  und wie viel  Schadsoftware nachgeladen wird bzw. schon wurde.

Jedoch konnten wir in letzter  Zeit die meisten Rechner unserer Kunden vollständig von diesem „Wolf im Schafspelz“ befreien, ohne gleich das Betriebssystem neu installieren zu müssen.

Extrem ärgerlich: Man bekommt eine E-Mail  mit einem  Betreff wie „ihre Rechnung„, oder „Zahlungserrinnerung“ und öffnet ahnungslos den E-Mail-Anhang. Dann kommt das große Erwachen: Plötzlich befinden sich anstelle der eigenen Bilder, Text- und Musikdokumente nur noch Dateien mit kryptischen Dateinamen auf dem Windows-PC.

Nach dem Neustart des Rechners erscheint im  Vollbild die Meldung (ähnlich der Meldungen von BKA-Trojaner & Co), der Rechner sei von einem Verschlüsselungstrojaner befallen worden und man solle zur Lösung des Problems Geld bezahlen.
Die Meldung spricht in einem Punkt tatsächlich die Wahrheit: Ein Trojaner hat alle persönlichen Dateien verschlüsselt.

Natürlich bringt es jedoch nichts, ein „Lösegeld“ zur Entschlüsselung der persönlichen Dateien zu bezahlen.

Was kann man jetzt tatsächlich machen?

Das hängt davon ab, um welche Version des Verschlüsselungstrojaners es sich handelt. Hat man es mit einer älteren Version zu tun und ist zusätzlich im Besitz von mindestens einer nicht verschlüsselten Originaldatei (beispielsweise in Form eines Backups auf CD), so kann die Festplatte mit entsprechenden Werkzeugen wieder entschlüsselt werden – Hersteller von Antivirensoftware wie Avira oder Kaspersky bieten dazu teils kostenfreie Lösungen  an.

Handelt  es sich jedoch um eine neuere Version des Trojaners, so heißt es abwarten… zwar lässt sich der Trojaner in diesem Fall entfernen, jedoch gibt es aktuell noch keine Möglichkeit,  die eigenen Dateien  zuverlässig Entschlüsseln zu lassen.

Zurzeit wird von verschiedenen Seiten fieberhaft  an einer Lösung gearbeitet. Falls Ihr Rechner Opfer dieser Schadsoftware geworden ist, geben Sie deshalb nicht auf und löschen Sie in keinem Fall einfach die betroffenen Dateien.
Wir halten Sie an dieser Stelle  auf dem Laufenden.

Kaspersky: „Duqu ist ein Meisterstück“

Duqu: Strukturvergleich mit Stuxnet (Foto: Kaspersky)

Programmiersprache hinter dem Schädling identifiziert

Moskau (pte/20.03.2012/06:00) Sicherheitssoftware-Hersteller Kaspersky Labs http://kaspersky.comhat gestern, Montag, im Rahmen einer Onlinekonferenz neue Erkenntnisse zum Duqu-Wurm präsentiert. Nach langem Rätseln war es den Experten nach Hinweisen aus der Community gelungen, die Programmiersprache zu identifizieren, in der die Malware verfasst wurde. Vitaly Kamluk, Chief Malware Experte, bezeichnete den Schädling dabei als einzigartiges „Meisterstück“.

Eine Basis, zwei Familien
Sehr früh konnten die russischen Fachleute starke, strukturelle Ähnlichkeiten zwischen Duqu und dem Industriespionagetool Stuxnet feststellen. Trotzdem erwies es sich als schwierig, den Schädling weiter zu zerpflücken, denn trotz des ähnlichen Aufbaus finden sich im Code selbst laut Kamluk „bedeutende Unterschiede“. Beide scheinen zwar auf dem gleichen, hochspezialisierten Framework zu basieren, werden aber unterschiedlichen Schädlingsfamilien zugerechnet.

Die technische Basis ist aber ein Hinweis darauf, dass beide von den selben Erfindern stammen könnten. Der Kaspersky-Experte geht davon aus, dass es sich um ein großes, organisiertes Team mit mehreren Profi-Entwicklern handelt, die verschiedene, schwierige Techniken beherrschen und implementieren können.

Erfolgreicher Aufruf an die Community

Damit handelt es sich um ein Kaliber fernab des durchschnittlichen Cyberkriminellen, der seine Schadsoftware mit Baukästen nach dem Rapid-Developement-Verfahren zusammenstellt. Konkrete Hinweise auf die geografische Herkunft der Hersteller gibt es jedoch kaum. „Die Entwickler haben sich um sprachneutrale Gestaltung des Codes bemüht“, so der Sicherheitsprofi.

Duqu basiert auf einem eigens gebauten Framework und einer um Objektorientierungs-Kapazitäten erweiterten Variante der Programmiersprache C. Letzteres konnte Kaspersky erst nach Hinweisen aus der Community entschlüsseln, um welche das Unternehmen zuvor gebeten hatte. Kompiliert wurde das Framework mit Microsofts Visual C 2008. Der Vorteil der Vorgangsweise liegt dabei laut Kamluk auf der Hand. „Hat man einmal ein solches Gerüst entwickelt, kann man es immer wieder verwenden“, erläutert Kamluk, für den sich der Schädling deutlich von üblicher Schadsoftware abhebt.

Prophylaxe: User in der Pflicht

Die selbst angepasste Progammiersprache sorgt dabei nicht nur für technische Spezialisierungsmöglichkeiten, sondern erschwert auch die Nachvollziehbarkeit. Gerade dies war das Ziel der Nachforschungen von Kaspersky. Laut dem Malwareforscher geht es dem Security-Team darum, „zu verstehen, wer hinter Duqu steckt und welche Ziele die Erschaffer verfolgen“. Man rechnet in Zukunft mit vermehrtem Auftreten hoch spezialisierter Bedrohungen.

Um diesen Gefahren in Zukunft besser begegnen zu können, muss auch der Anwender in die Pflicht genommen werden. So betont Kamluk gegenüber pressetext, dass User etwa seltsame und unbekannte E-Mail-Attachements unter keinen Umständen öffnen, sondern an Sicherheitsexperten in ihrem Unternehmen oder direkt an die Hersteller von Antivirensoftware weiterleiten sollten. „Auch wenn es jeden Tag viele Mio. von Empfängern von derartigen Nachrichten gibt, so besteht doch die Chance, dass man einen Beitrag zur Entdeckung einer neuen Bedrohung leistet“, so der Experte abschließend.

(Ende)

pressetext.redaktion

Aussender: pressetext.redaktion
Ansprechpartner: Georg Pichler
E-Mail: pichler@pressetext.at

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor einem neuen Schädling.DNS-Changer

Wie kürzlich in der Tagespresse zu vernehmen, verändert die Schadsoftware DNS-Changer bei betroffenen PCs und MACs die Netzwerkkonfiguration und leitet Internet Anfragen auf manipulierte Server um, die sich fälschlicherweise als die angegebene Seite ausgeben. Mittlerweile hat das FBI (Federal Bureau of Investigation) die manipulierten Server beschlagnahmt und leitet die Anfragen wieder auf die korrekten Server um. Zum 08.03.2012 stellt das FBI diese Tätigkeit jedoch ein und ein befallenes System kann dann keine Internetseiten über den Browser abrufen, da diese aufgrund der Schließung der Server, nicht mehr aufgelöst werden können.

Daher empfiehlt das BSI eine vorherige Überprüfung des PCs unter folgender, eigens dazu eingerichteten Seite:

www.dns-ok.de

Hier kann überprüft werden, ob der eigene PC mit dem DNS-Changer verseucht ist. Es werden allerdings keine weitere Überprüfung auf Schadsoftware unternommen. Ihr System kann trotz Entwarnung auf dieser Seite dennoch von anderen Viren/Trojanern oder weiterer Schadsoftware befallen sein. Der Trojaner wird auch nicht durch den Abruf auf dieser Seite entfernt! Dafür und für einen kompletten Virenscan vereinbaren Sie am besten einen Termin mit uns, damit wir eine umfassende Prüfung Ihrer gesamten Festplatte durchführen können.

Ihrer eigenen Sicherheit zuliebe.

© 2013 JSP-Gruppe