PC-Doktor Köln

Neuer Wurm “Duqu” entschlüsselt

jsp-redakteur — Tue, 20 Mar 2012 21:00:04 +0000

Kaspersky: “Duqu ist ein Meisterstück”

Duqu: Strukturvergleich mit Stuxnet (Foto: Kaspersky)

Programmiersprache hinter dem Schädling identifiziert

Moskau (pte/20.03.2012/06:00) Sicherheitssoftware-Hersteller Kaspersky Labs http://kaspersky.comhat gestern, Montag, im Rahmen einer Onlinekonferenz neue Erkenntnisse zum Duqu-Wurm präsentiert. Nach langem Rätseln war es den Experten nach Hinweisen aus der Community gelungen, die Programmiersprache zu identifizieren, in der die Malware verfasst wurde. Vitaly Kamluk, Chief Malware Experte, bezeichnete den Schädling dabei als einzigartiges “Meisterstück”.

Eine Basis, zwei Familien
Sehr früh konnten die russischen Fachleute starke, strukturelle Ähnlichkeiten zwischen Duqu und dem Industriespionagetool Stuxnet feststellen. Trotzdem erwies es sich als schwierig, den Schädling weiter zu zerpflücken, denn trotz des ähnlichen Aufbaus finden sich im Code selbst laut Kamluk “bedeutende Unterschiede”. Beide scheinen zwar auf dem gleichen, hochspezialisierten Framework zu basieren, werden aber unterschiedlichen Schädlingsfamilien zugerechnet.

Die technische Basis ist aber ein Hinweis darauf, dass beide von den selben Erfindern stammen könnten. Der Kaspersky-Experte geht davon aus, dass es sich um ein großes, organisiertes Team mit mehreren Profi-Entwicklern handelt, die verschiedene, schwierige Techniken beherrschen und implementieren können.

Erfolgreicher Aufruf an die Community

Damit handelt es sich um ein Kaliber fernab des durchschnittlichen Cyberkriminellen, der seine Schadsoftware mit Baukästen nach dem Rapid-Developement-Verfahren zusammenstellt. Konkrete Hinweise auf die geografische Herkunft der Hersteller gibt es jedoch kaum. “Die Entwickler haben sich um sprachneutrale Gestaltung des Codes bemüht”, so der Sicherheitsprofi.

Duqu basiert auf einem eigens gebauten Framework und einer um Objektorientierungs-Kapazitäten erweiterten Variante der Programmiersprache C. Letzteres konnte Kaspersky erst nach Hinweisen aus der Community entschlüsseln, um welche das Unternehmen zuvor gebeten hatte. Kompiliert wurde das Framework mit Microsofts Visual C 2008. Der Vorteil der Vorgangsweise liegt dabei laut Kamluk auf der Hand. “Hat man einmal ein solches Gerüst entwickelt, kann man es immer wieder verwenden”, erläutert Kamluk, für den sich der Schädling deutlich von üblicher Schadsoftware abhebt.

Prophylaxe: User in der Pflicht

Die selbst angepasste Progammiersprache sorgt dabei nicht nur für technische Spezialisierungsmöglichkeiten, sondern erschwert auch die Nachvollziehbarkeit. Gerade dies war das Ziel der Nachforschungen von Kaspersky. Laut dem Malwareforscher geht es dem Security-Team darum, “zu verstehen, wer hinter Duqu steckt und welche Ziele die Erschaffer verfolgen”. Man rechnet in Zukunft mit vermehrtem Auftreten hoch spezialisierter Bedrohungen.

Um diesen Gefahren in Zukunft besser begegnen zu können, muss auch der Anwender in die Pflicht genommen werden. So betont Kamluk gegenüber pressetext, dass User etwa seltsame und unbekannte E-Mail-Attachements unter keinen Umständen öffnen, sondern an Sicherheitsexperten in ihrem Unternehmen oder direkt an die Hersteller von Antivirensoftware weiterleiten sollten. “Auch wenn es jeden Tag viele Mio. von Empfängern von derartigen Nachrichten gibt, so besteht doch die Chance, dass man einen Beitrag zur Entdeckung einer neuen Bedrohung leistet”, so der Experte abschließend.

(Ende)

Aussender: pressetext.redaktion
Ansprechpartner: Georg Pichler
E-Mail: pichler@pressetext.at

neue Schadsoftware: DNS-Changer

jsp-redakteur — Mon, 23 Jan 2012 08:31:23 +0000

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt eindringlich vor einem neuen Schädling.

Wie kürzlich in der Tagespresse zu vernehmen, verändert die Schadsoftware DNS-Changer bei betroffenen PCs und MACs die Netzwerkkonfiguration und leitet Internet Anfragen auf manipulierte Server um, die sich fälschlicherweise als die angegebene Seite ausgeben. Mittlerweile hat das FBI (Federal Bureau of Investigation) die manipulierten Server beschlagnahmt und leitet die Anfragen wieder auf die korrekten Server um. Zum 08.03.2012 stellt das FBI diese Tätigkeit jedoch ein und ein befallenes System kann dann keine Internetseiten über den Browser abrufen, da diese aufgrund der Schließung der Server, nicht mehr aufgelöst werden können.

Daher empfiehlt das BSI eine vorherige Überprüfung des PCs unter folgender, eigens dazu eingerichteten Seite:

www.dns-ok.de

Hier kann überprüft werden, ob der eigene PC mit dem DNS-Changer verseucht ist. Es werden allerdings keine weitere Überprüfung auf Schadsoftware unternommen. Ihr System kann trotz Entwarnung auf dieser Seite dennoch von anderen Viren/Trojanern oder weiterer Schadsoftware befallen sein. Der Trojaner wird auch nicht durch den Abruf auf dieser Seite entfernt! Dafür und für einen kompletten Virenscan vereinbaren Sie am besten einen Termin mit uns, damit wir eine umfassende Prüfung Ihrer gesamten Festplatte durchführen können.

Ihrer eigenen Sicherheit zuliebe.

Sperrt BKA Betriebssysteme?

Der PC-Doktor — Fri, 02 Sep 2011 09:42:35 +0000

Immer öfter kommt es vor, dass Kunden Ihre Rechner bei uns abgeben, weil der Zugriff auf Ihren PC scheinbar von der Bundespolizei gesperrt wurde.

Zumindest erscheint diese Meldung bei jedem Windows-Start im Vollbild. Ein Zugriff auf den Desktop, Dateien oder Programme ist nicht mehr möglich.

Weiter heißt es in der Meldung, die Ursache für die Sperrung seien illegale Aktivitäten und der Besuch von verbotenen Internetseiten. Als Strafe solle ein gewisser nicht unerheblicher Betrag überwiesen werden.

Sie und die allermeisten Menschen werden wohl ahnen, dass es sich hierbei nicht um eine offizielle Maßnahme des BKA handeln kann.

Tatsächlich ist ein Trojaner dafür verantwortlich, wie es jetzt auch BKA, BSI oder Avira bestätigt haben.

Diesen sog. “BKA-Trojaner” gibt es mittlerweile in den verschiedensten Abwandlungen und jene Methode zum entfernen des Trojaners, welche an einem befallenen PC noch erfolgreich gewesen war, kann bereits am nächsten Rechner nicht mehr funktionieren, wenn sich der Schädling in der Zwischenzeit angepasst hat.

Oft lädt er andere Viren oder Schadsoftware aus dem Internet nach, so das es teilweise ratsam (weil weniger zeitaufwendig) ist, dass komplette Betriebssystem neu zu installieren.

Falls Sie Opfer des BKA-Trojaners geworden sind, ist es sinnvoll den Internetzugang vom betroffenen PC zu trennen, solange das Problem nicht behoben wurde.

150.000 Viren auf einem PC!

Der PC-Doktor — Thu, 18 Aug 2011 14:43:00 +0000

Anfangs schien es ein normaler Reparaturauftrag zu werden: Einer unserer Kunden gab seinen PC mit dem Hinweis ab, dass dieser langsamer als gewöhnlich sei.
Zunächst starteten wir standardmäßig einen Virenscan. Weil die Suche auch nach 5 Stunden noch nicht abgeschlossen war, ließen wir den Virenscanner über Nacht weiter arbeiten.
Am nächsten Tag stand das Ergebnis fest:

Auf dem PC befanden sich über 150.000 Viren, Trojaner oder Malware-Signaturen!

Kaum zu glauben, aber wahr – und selbst für unsere Verhältnisse ein absoluter Rekord!
Nachdem alle Viren entfernt werden konnten, ist der Rechner jetzt wieder voll einsatzbereit.

Der PC-Doktor rät:

Gehen Sie nicht ohne Antivirenprogramm ins Internet – es gibt kostenfreie und gute Antivirensoftware, die Ihren PC zuverlässig schützen kann.
Kommen Sie vorbei, wir beraten Sie gerne!

Ein neuer Mitarbeiter

Der PC-Doktor — Thu, 18 Aug 2011 07:18:42 +0000

Der PC Doktor darf einen neuen Mitarbeiter in seinem Team willkommen heißen:

Notarzt René Tbaila trägt ab sofort dazu bei, dass Ihre PC-Reparaturen trotz des erhöhten Arbeitsaufkommens gewohnt schnell und zuverlässig durchgeführt werden können.