Security-Hinweise zu einem Jahr Conficker und mehr

Der RPC-Wurm Conficker/Downadup wird 1 Jahr alt. Ein Trojaner verhindert den Start von Windows XP, eine Phishing-Mail bringt ihr Phishing-Formular als Anhang mit, ein 'Space Invaders'-Clone für Mac OS X killt Dateien, Facebook-Phisher erweitern ihr Tätigkeitsspektrum und Passwortänderungen bei Twitter haben keine Auswirkungen auf OAuth. Graham Cluley von Sophos berichtet über eine Spam-versendende Datenschutz-Veranstaltung, und Bruce Schneier hat ein Essay über 'Fear and Overreaction' veröffentlicht.

1 Jahr RPC-Wurm

Trend Micro weist darauf hin, dass der RPC-Wurm Conficker/Downadup 1 Jahr alt wird, und fasst seine Entwicklung zusammen. Während die erste Variante 'nur' die außer der Reihe der normalen Patchdays behobene RPC-Schwachstelle (MS08-067) ausnutzte (und sich darüber rasend verbreitete), kam bald die Verbreitung über Netzwerk-Shares und die AutoRun-Funktion mobiler Datenspeicher dazu. Der für den 1. April erwartete Untergang des Internet, ausgelöst durch eine erwartete neue Wurm-Variante, fiel jedoch aus. Am 7. April begann der Wurm dann, Code nachzuladen und eine neue Variante zu verbreiten, die bis zum 3. Mai aktiv blieb und dann wieder durch den Vorgänger ersetzt wurde. Seitdem gibt es nichts wesentlich neues außer der ständig weiter steigenden Verbreitung des Wurms.

Trojaner verhindert XP-Start

Microsofts Malware Protection Center berichtet, dass der Trojaner Win32/Daonol, der sich in verschiedene Systemaufrufe einhängt, um Zugangsdaten zu sammeln und Web-Traffic umzuleiten, in manchen Fällen das Herunterfahren und den Start von Windows XP verhindert. Um den Schädling los zu werden, wird der Einsatz eines Antiviren-Produkts empfohlen, eine Beschreibung der manuellen Entfernung ist aber in der Schädlingsbeschreibung enthalten.

Phishing-Mail mit HTML-Formular im Anhang

Joji Hamada von Symantec berichtet über eine Phishing-Mail, die das HTML-Formular zur Eingabe der gewünschten Daten als Anhang mitbringt, statt das Opfer auf eine Website zu locken. Angeblich wurde das Bank-of-Amerika-Konto des Mailempfängers gesperrt, zur Freigabe soll er in das mitgelieferte Formular, das in einem aktuellen, JavaScript-fähigen Browser geöffnet werden soll, seine Sozialversicherungsnummer, seine Kontonummer und die zugehörige PIN eingeben, die nach dem Klick auf "Submit" an einen Server der Phisher geschickt werden.

'Space Invaders'-Clone für Mac OS X killt Dateien

Ben Nahorney von Symantec und Graham Cluley von Sophos berichten über einen Schädling, der in Form eines 'Space Invaders'/'Galaga'-Clones daherkommt und für jedes zerstörte Alien-Raumschiff eine Datei im Home-Verzeichnis des Benutzers löscht. Der Autor des 'Lose/Lose' genannten Spiels hat das auch so im Programm dokumentiert - aber wer liest schon Anleitungen, vor allem auf dem Mac? Sophos bezeichnet den Schädling als OSX/LoseGame-A, bei Symantec heißt er OSX.Loosemaque. Symantec hat ein Video dazu veröffentlicht:

Wie Graham Cluley sehr richtig festgestellt hat, gibt es aber durchaus gefährlichere Mac-Schädlinge.

Facebook-Phisher erweitern ihr Tätigkeitsspektrum

Die seit einiger Zeit laufenden Phishing-Angriffe auf Facebook-Nutzer, bei denen ein angeblich zugeschicktes neues Passwort tatsächlich ein Zugangsdaten sammelnder Trojaner ist, wurden um weitere Komponenten erweitert. Die McAfee Labs berichten, dass außer dem Datensammelnden Keylogger nun auch ein Fake-Virenscanner nachgeladen wird.

Passwortänderungen bei Twitter ohne Auswirkungen auf OAuth

Terence Eden hat festgestellt, das eine Passwortänderung bei Twitter nicht dazu führt, dass den vorher über OAuth Zugriff gewährten Diensten der Zugriff verweigert wird. Darüber, ob das nun zweckmäßig ist oder nicht, kann man streiten. Es kann jedenfalls eine Schwachstelle ergeben: Ein Angreifer, der ein Passwort ausgespäht hat, kann einen bösartigen Dienst über OAuth autorisieren und behält darüber dann auch nach einer Passwortänderung Zugriff auf das Twitter-Konto. Als zur Zeit einzige Abhilfe bleibt die Möglichkeit, in den Einstellungen die autorisierten Verbindungen manuell zu löschen.