Microsoft hat die Exploits für die DirectX-Schwachstelle untersucht. Sophos warnt vor einem gefälschten IDE-Update, Cyberkriminelle nutzen den Tod von Michael Jackson und Farrah Fawcett für ihre Zwecke, Bilder-Spam nimmt wieder zu, Cyberkriminelle erfinden den Google Cash Club und Koobface twittert. Finjan SecureBrowsing warnt vor gefährlichen URLs, und es gibt eine Reihe von Tipps und Tricks. Und Malte Pollmann von Sophos hat seinen BlackBerry verloren, ist darüber aber nicht all zu sehr beunruhigt.
Angriffe über die DirectX-Schwachstelle
Im Threat Research & Response Blog des Microsoft Malware Protection Center wird über die Schadsoftware berichtet, die die bisher nicht behobene Schachstelle in DirectX ausnutzt. Der eingeschleuste Code dient dazu, Zugangsdaten für Online-Spiele zu sammeln.
Fake-Sophos-IDE-Upate enthält Schadsoftware
Sophos warnt vor einem gefälschten IDE-Update, das Schadsoftware enthält. Das angebliche Update wird über Mails mit dem Subject "Update your SOPHOS IDE scanner" angepriesen. Wie immer gilt: Programme und Updates lädt man nur von der Website des Herstellers und evtl. noch von vertrauenswürdigen Download-Seiten, und nicht von Seiten, auf die einen eine E-Mail schickt. Ausgenommen natürlich E-Mails der entsprechenden Hersteller, die auf die Website des Herstellers führen. Aber dabei gilt besondere Vorsicht: Stammt die Mail wirklich vom Hersteller und führt der Link wirklich auf dessen Website, oder sieht das ganze nur so aus?
Rund um Michael Jackson und Farrah Fawcett
Cyberkriminelle nutzen jede sich bietende Gelegenheit, um Schadsoftware und Spam zu verbreiten. Katastrophen jeder Art und alle Nachrichten rund um Prominente sind dabei natürlich besonders geeignet, und der Tod von Michael Jackson und Farrah Fawcett zog prompt eine ganze Reihe Schadsoftware-Kampagnen nach sich. So gibt es suchmaschinenoptimierte Websites zum Verbreiten von Schadsoftware und Scareware, wie z.B. von Sophos, die McAfee Avert Labs und Trend Micro berichtet wird, ebenso wie entsprechende Spam-Wellen, wie sie z.B. von Sophos (gleich zwei mal), Symantec und im Handler's Diary des ISC gemeldet werden. Trend Micro berichtet außerdem über einen Wurm, der die Nachricht von Michael Jacksons Tod nutzt, um sich über MSN-IM-Nachrichten zu verbreiten.
Mails, die ein angebliches Video von Michael Jackson enthalten, fordern zum Download einer Datei auf, die tatsächlich ein Trojaner-Downloader ist. Die Websense Security Labs haben den Ablauf den Angriffs in einem Video dokumentiert.
Bilder-Spam - uralt, aber immer noch im Einsatz
Symantec berichtet über neue Spam-Wellen mit Bildern als Nachrichtenträgern. Eigentlich ist das ein uralter Trick zum Umgehen von Spam-Filtern, er scheint aber immer noch gut genug zu funktionieren, das er sich für die Spammer lohnt.
Neues Cyberkriminellen-Angebot: Google Cash Club
Google Cash Club ist kein Angebot von Google, sondern ein Versuch von Cyberkriminellen, Kreditkartendaten zu phishen, wie Trend Micro berichtet. Eine auf den ersten Blick normal aussehende Nachrichtenseite beschreibt, wie Benutzer mit Google Geld verdienen können. Um daran teilzunehmen, muss man sich anmelden und dabei seine Kreditkartendaten angeben. In Googles Supportform beschäftigt sich ein Thread mit diesem und ähnlichen Angeboten.
Jetzt twittert Koobface auch noch...
Der Schädling Koobface nutzt bereits verschiedene Social Networks zur Suche nach neuen Opfern. Laut einem Bericht von Trend Micro gehört seit neuestem auch Twitter zu den auserwählten Verbreitungswegen. Dabei nutzt eine neue Komponente Koobfaces zwei Wege, um seine Locknachrichten über die Twitter-Accounts seiner Opfer zu verbreiten: Zum einen wird versucht, sich mit vorhandenen Browser-Cookies einzuloggen, zum anderen wird gewartet, bis sich der Benutzer selbst anmeldet, so das der im Hintergrund laufende Schädling seine Nachrichten einschleusen kann. Der Rest ist läuft dann wie üblich: Eine neugierig machende Nachricht verweist auf eine URL bei einem URL-Verkürzer, und die führt auf eine Website, die dem arglosen Besucher Schadsoftware unterschiebt, in diesem Fall eben Koobface.
Finjan SecureBrowsing warnt vor gefährlichen URLs
Finjan SecureBrowsing ist eine Erweiterung für Internet Explorer und Mozilla Firefox, die vor gefährlichen URLs warnt. Dazu wird die Zielseite der URL gescannt und bei gefundener Schadsoftware der Link mit einem entsprechenden Icon versehen. Einen Kommentar dazu gibt es im Standpunkt Sicherheit.
Tipps und Tricks
Robert RSnake Hansen spekuliert im Blog auf ha.ckers.org über Greater Precision in Timing Attacks Using DoS: Wenn ein System durch einen DoS-Angriff z.B. mit Slowloris für alle anderen Benutzer als den Angreifer unbrauchbar ist, kann der unterschiedliche Ausführungszeiten für z.B. Datenbankabfragen nach gültigen bzw. ungültigen Benutzernamen viel besser unterscheiden als bei einem normal genutzten System.
Lenny Zeltser beschreibt im Handler's Diary des IS How Malware Defends Itself Using TLS Callback Functions: Callback-Funktionen für Thread Local Storage (TLS) können von Schadsoftware-Autoren genutzt werden, um das Anspringen des Schadcodes vor einfachen Analysen zu verbergen.
Guy Bruneau beschreibt im Handler's Diary die IP Address Range Search with libpcap, und außerdem gibt es dort einen Hinweis auf einen weiteren Podcast zur Konferenz SANSFIRE 2009: State of the Internet Panel.
Gefährliche Schwachstellen vom 26.06.2009
- Timbuktu:
Pufferüberlauf-Schwachstelle erlaubt Ausführung beliebigen Codes durch einen überlangen Parameter durch die "Named Pipe" PlughNTCommand - KDE:
Mehrere Schwachstellen erlauben entfernten Angreifern die Ausführung beliebigen Codes - Unisys Business Information Server:
Pufferüberlauf-Schwachstelle erlaubt Ausführung beliebigen Codes über präparierte TCP-Pakete - VLC Media Player:
Pufferüberlauf-Schwachstelle im SMB-Modul der Windows-Version erlaubt Ausführung beliebigen Codes - Joomla/PinMe! Component:
Heraufladen beliebiger Dateien möglich (vom 25.06.2009, aktualisiert)
Carsten Eilers
