Blogjoy.de

Seit Jahren hat kein Malware-Exemplar die Verschleierungstechniken EPO (Entry Point Obscuring) und Cavity benutzt. Doch nun entdeckten die Sicherheitslabore von Panda Security den neuen Virus Sality.AO.

In seinem Fall werden die speziellen Tarn-Mechanismen nicht mehr wie damals bei relativ harmlosen Angriffen eingesetzt. Jetzt dienen sie planmäßig als Hauptantriebsfeder der organisierten Internetkriminalität und rücken finanzielle Gewinne gezielt in den Vordergrund. Seit dem Fund am 5. Februar verzeichneten die Panda-Sicherheitsexperten einen auffälligen Anstieg der Infektionsraten von Sality.AO. Ein Ausbruch sei daher in naher Zukunft nicht auszuschließen und die Experten raten allen Anwendern dringend, ihre Sicherheitslösungen auf den aktuellen Stand zu bringen.

Neuer Virus mit alten Methoden
Frühere Internetangriffe hatten vornehmlich die gezielte Störung des Betriebsablaufes zur Folge. Dies wurde meist durch die Lahmlegung einzelner Computer-Anwendungen bewirkt. Hinter den Angriffen standen aber eher amateurhafte Viren-Programmierer, die sich für den wirtschaftlichen Faktor gar nicht vorrangig interessierten. Aus dieser Zeit stammen Verschleierungstechniken wie EPO und Cavity. EPO verdeckt seinen Schädling, indem ein Zeitfenster zwischen dem Ausnutzen der Sicherheitslücke und der Ausführung der eigentlichen Aktion entsteht. Die Methode Cavity kaschiert die schädliche Datei durch „blinde“ Codes, die unsichtbar in das original integriert werden. Die Manipulation ist daher nicht wie üblich anhand einer Datei-Vergrößerung zu identifizieren.

Solche Techniken sind weitaus komplexer als diese, die in der Regel als „Stangenware“ über automatische Malware-Tools angeboten werden. Viren, die auf diese Techniken zurückgreifen, werden „maßgeschneidert“ und setzen eine hervorragende Kenntnis der Schadcode-Programmierung voraus.

Sality.AO – Hybrid-Malware
Neben dem Wiedereinsatz früherer Methoden zeugt Sality.AO von Features, die den modernsten „Malware-Trends“ angepasst sind. Der Virus macht sich zum Beispiel nicht durch einen Komplett-Scan der Festplatte und einer anschließenden Massen-Infektion auf sich aufmerksam. Stattdessen infiziert er nur einige der vorhandenen und jede neu angelegte Datei mit seinem schädlichen Code. Weiter ist er in der Lage, sich mit dem IRC Server zu verbinden um Remote-Befehle ausüben zu können oder den infizierten PC in einem Zombie-Computer für weitere schädliche Aktionen (Spam-Versand, Malware-Verbreitung, Serviceverweigerung etc.) zu verwandeln. Zusätzlich wird der Virus nicht nur versuchen, weitere Dateien aus dem Internet zu laden um sich mit weiteren Schadcodes zu infizieren. Er wird auch versuchen, Webseiten mit iFrames zu manipulieren. Schon der einmalige Besuch einer solch geänderten Adresse lädt den Virus auf den jeweiligen Computer.

Sality.AO ordnen die Panda-Labore der Kategorie der so genannten Hybrid-Malware zu. Sie vereint die Funktionen von Trojanern und Viren in einer einzigen Schädlingsvariante. Die URLs, die diese Downloads verwenden, waren zum Zeitpunkt ihrer Entdeckung noch nicht aktiv. Weil die Zahl der Infektionen laut Panda Security bereits auf 15.000 befallene Computer (in insgesamt 31 Ländern) anstieg, fürchten die Experten, dass sie bald in Kraft treten können. „Durch modernste und ausgefeilte Technologien wie Panda Security’s Collective Intelligence können unsere Produkte sogar Low-Level-Attacken und die neuesten Malware-Techniken erkennen. Offenbar suchen Cyber-Kriminelle daher gezielt nach neuen Methoden und passen die alten Codes den neuen Anforderungen an“, stellt Luis Corrons, Direktor der Panda-Sicherheitslabore, besorgt fest.

Weitere Informationen unter: pandalabs.pandasecurity.com

Familiengeschichten von “Brangelina”, Skandale von Paris Hilton, Abstürze und Neubeginne von Britney Spears – das Internet versorgt uns täglich mit den neuesten Gerüchten! Doch vom starken Interesse am Leben der Hollywood-Stars profitieren nicht nur die Medien. Auch Online-Kriminelle wissen um unser aller Portion Neugier am Klatsch und Tratsch über Stars und Sternchen.

Daher setzten sie aktuelle News beliebter Schauspieler, Musiker und Co. beim Spam-Versand erfolgreich als Neugier weckende Betreffzeilen ein. Pünktlich zur diesjährigen Oscar-Verleihung veröffentlicht Panda Security seine Celebrity Study 2008 und präsentiert die Top Ten der Persönlichkeiten, die einen Oscar für den besten “Malware-Lockvogel” verdient hätten.

Im Rahmen der Celebrity Study 2008 untersuchte Panda Security weltweit Spam-Mails. Weniger als 4% aller empfangenen Mail sind heutzutage erwünscht, beziehungsweise regulär. Über 96% aller elektronischen Nachrichten bestehen aus unerwünschten Spam-Mails, deren Links oder Anhänge den Empfänger mit Malware infizieren sollen. Mit interessante Betreffzeilen versuchen die Internet-Betrüger, die Empfänger zum Öffnen der Mails und zum Download/Anklicken der verseuchten Dateien/Links zu animieren. Auf der Liste der effektivsten “Köder” rangieren die neuesten Promi-Geschichten an erster Stelle. Die Ergebnisse der Studie belegen, dass Namen von Hollwood-Schauspielern am häufigsten in den Betreffzeilen der Spam-Mails des vergangenen Jahres erschienen. Brad Pitt und Tom Cruise stehen als erfolgreiche “Lockvögel” deutlich an der Spitze und zeichnen sich für fast einen Viertel der schädlichen Emails über vermeintliche Promi-News verantwortlich. Auch Angelina Jolie (Platz 4), Lindsay Lohan (Platz 5), Jessica Alba (Platz 7) und Jennifer Aniston (Platz 10) eignen sich hervorragend dazu, die Empfänger zum Klick auf den beworbenen Link oder zum Download der angepriesenen Datei zu verleiten. Doch nicht nur Schauspieler, sondern auch Musiker werden bei Online-Kriminellen heiß gehandelt. So stehen zum Beispiel Britney Spears auf Platz 3 und Lindsay Lohan auf Platz 5 der Rangliste der meist versendeten Promi-Mailings. Dass die millionenschwere Hotel-Erbin Hilton mit ihren ständigen Skandalen immer wieder für spannende, virtuelle Schlagzeilen sorgt, kommt den Online-Kriminellen beim Spam-Versand ebenfalls zugute. So nimmt sie mit einem Anteil von über sechs Prozent Platz 9 der Oscar verdächtigen Malware- Lockvögel ein.

Häufige Promi-Namen in Spam-Mails:
Celebrity %
Brad Pitt 12.57
Tom Cruise 12.14
Britney Spears 12.01
Angelina Jolie 11.62
Lindsay Lohan 10.15
American Idol 9.79
Jessica Alba 9.52
Oprah Winfrey 8.08
Paris Hilton 6.64
Jennifer Aniston 5.14
Andere 2.34

Christina Aguilera, Barack Obama, Lewis Hamilton, Tiger Woods, Rihanna, Shakira, Madonna, Scarlett Johansson und Fidel Castro sind nur einige der vielen, berühmten Namen, die im vergangenen Jahr ebenfalls ein- oder mehrere Male beim Spam-Versand eine “Oscar-Nominierung” verdient hätten.

So lauten typische Betreffzeilen der Spam-Mails, die mit prominenten Persönlichkeiten locken:
“Angelina Jolie nude”
“Britney Spears hot images”
“Rihanna exposed”
“Scarlett Johansson spills boobs”.

Weblinks:
pandalabs.com
flickr.com

Microsoft hat erst vergangene Woche eine Sicherheitslücke im Internet Explorer geschlossen. Jetzt versuchen Internetkriminelle, durch diese Lücke einen Schädling auf verwundbare Rechner zu schleusen.

Der Internet-Link auf die Webseite mit der Schadsoftware befindet sich in einem Word-Dokument, das als Dateianhang an einer Spam-Mail im Postfach von Internetnutzern landet. Beim Öffnen des Dokuments versucht dieses, die infizierte Webseite aufzurufen, die die Schwachstelle im Internet Explorer missbraucht, um den Schädling zu installieren. Avira schützt vor dem Befall des Rechners: Die Virenschutzlösungen warnen den Anwender vor einer Infektion der Webseite mit HTML/Rce.Gen.

Die infizierte Webseite versucht, die Datei jc.exe auf den Rechner zu befördern und zu installieren. Es handelt sich dabei um das Trojanische Pferd TR/Rincux.AW, das Aviras Schutzlösungen mit der VDF-Erkennungsdatei 7.01.02.40 namentlich erkennen. Der Schädling erstellt die Datei wininet.dll im Systemverzeichnis von Windows. Zudem modifiziert er die Systemregistrierung, um bei einem Neustart ebenfalls ausgeführt zu werden. Er kontaktiert einen Server im Internet und überträgt dabei Daten über den Rechner.

Wie in der jüngeren Vergangenheit häufiger zu beobachten war, missbrauchen die kriminellen Drahtzieher die Sicherheitslücken zum Einschleusen von Schadcode, kurz nachdem Microsoft ein Update dafür veröffentlicht hat. Insbesondere Firmen prüfen in der Regel die Updates nach der Veröffentlichung erst einmal auf Verträglichkeit mit der eingesetzten Software und installieren sie die Updates erst mit großer Verzögerung auf den Rechnern. Somit können die Cyberkriminellen mit einem hohen Verbreitungspotenzial ihrer Schädlinge rechnen.

Hamburger IT-Experten haben bei Routinefahndungen im Deep Internet neueste Anleitungen und Technologien zur Herstellung von GPS-Bomben analysiert, danach können ahnungslose Logistikunternehmen zu unfreiwilligen Attentätern werden.

Durch eine bereits im Internet befindliche Softwareerweiterung für Mobiltelefone mit GPS-Empfänger, wird aus einem handelsüblichen Mobiltelefon ein automatischer und metergenauer Präzisionszünder, der die Signale des Global Positioning System (GPS), eines satellitengestützten Systems, das vom Verteidigungsministerium der USA betrieben wird und der weltweiten Positionsbestimmung dient, zur Zündung des Sprengsatzes missbraucht. Somit können Terroristen ihren Anschlag metergenau programmieren und den Ort exakt bestimmen, an dem die Bombe explodiert.

Die üblichen Ablaufmuster zur Verübung eines Terroranschlags haben beim Einsatz der GPS-Bombe keine Relevanz mehr. So brauchen die Terroristen keine Selbstmordattentäter mehr. Auch eine gesteigerte Kommunikation, unmittelbar vor der Ausführung des Anschlages, wird es nicht mehr geben, da Fahrer eines Paketzustellers oder einer Spedition als unwissende Selbstmordattentäter die Bomben zum Anschlagsziel fahren. Kurz, die Vorbereitung zum Terroranschlag besteht nur noch aus dem Download einer Bombenanleitung und einer Softwareerweiterung aus dem Internet, dem Einkauf in einem Supermarkt, dem Kauf der GPS-Telefone und der abschließenden Paketaufgabe.

Die Betrachtung der möglichen Einsatzfelder der GPS-Bombe führte zur Erkenntnis, dass die per Internet erhältliche Technologie und die im Internet befindlichen Sprengstoff- und Bombenbauanleitungen, zusammen den Bau einer höchst brisanten Waffe ermöglichen, die unmittelbar für die Verübung einer bis dato nicht für möglich gehaltenen terroristischen Anschlagswelle eingesetzt werden kann.

Gilles der Kerchove, oberster Terrorismus-Koordinator bei der Europäischen Union, informierte sich bereits ausführlich über die neuen Erkenntnisse und Einschätzungen zur GPS-Bombe bei Bert Weingarten, Vorstand der PAN AMP AG.

Weingarten führte bereits am 10.02.2009 in seinem Vortrag auf dem 12. Europäischen Polizeikongress aus, dass die bisherige Verbreitung der GPS-Bomben-Technologie und der beteiligten Personen im In- und Ausland vollständig aufgeklärt werden müsse und bestehende Foren, die Inhalte und Download-Quellen zur GPS-Bombe beinhalten, sofort aus dem Internet genommen werden müssen. Die rechtliche Grundlage hierzu wird derzeit geprüft, da in Deutschland das Einstellen von Sprengstoff- und Bombenbauanleitungen noch immer nicht explizit verboten ist. Das Bundesjustizministerium ist seit nunmehr fünf Jahren nicht im Stande, eine eindeutige Gesetzeslage zur Strafbarkeit von Veröffentlichungen und zum Bezug von Sprengstoff- und Bombenbauanleitungen aus dem Internet zu bewerkstelligen.

Mehr als die Hälfte der deutschen Internetnutzer erledigt private Bankgeschäfte inzwischen online. Um weitere Kunden zu überzeugen, sollten Institute vor allem Vorbehalte gegenüber der Sicherheit überwinden. Denn für 64 Prozent der Bankkunden sind Sicherheitslücken der wichtigste Grund, Banktransaktionen nicht online durchzuführen.

Vor allem die Angst vor PIN-Diebstahl (Phishing), führt dazu, dass Bankkunden ihre Geldgeschäfte weiterhin in der Filiale erledigen. Dies ergab die Trendstudie “Bankpräferenzen” des Consulting- und Softwarehauses PPI AG in Kooperation mit Handelsblatt.com und dem IMWF Institut für Management- und Wirtschaftsforschung.

Vier von zehn “Internet-Banking-Verweigerern” befürchten zudem, dass die Kreditinstitute keine Haftung bei Online-Geschäften übernehmen. Die Angst, für den entstandenen Schaden selbst aufzukommen, ist allerdings unbegründet: Das europäische Parlament hat 2007 die Zahlungsverkehrsdirektive (PSD) verabschiedet, in der die Position des Kunden gestärkt wird. Im November 2009 wird die PSD in nationales Recht umgesetzt. Zukünftig haftet der Internet-Nutzer lediglich bei grober Fahrlässigkeit – und das zusätzlich begrenzt auf eine Höhe von 150 Euro. “Dies ist ein wichtiger Schritt in die richtige Richtung, sagt Uwe Prieß, Vorstandsvorsitzender der PPI AG. Es wäre wünschenswert, wenn der Gesetzgeber darüber hinaus weitere Maßnahmen ergreift, um das Bedürfnis der Kunden nach Sicherheit weiter zu verbessern. Gleichzeitig sind die Verbände aufgefordert, flankierende Vertragsgestaltungen zu entwerfen, so dass auch hier die Transparenz für den Online-Nutzer verbessert wird. Das bietet Chancen für alle Beteiligten am Online-Banking”.

Um nun die letzten Vorbehalte der Bankkunden gegenüber Online-Banking abzubauen, investieren immer mehr Kreditinstitute in verbesserte technische Verfahren. Beispielsweise haben viele Banken das als bisher sicherer geltende iTAN-Verfahren bereits abgelöst und durch ein Kartenlesegerät mit elektronischer Signatur ersetzt. Darüber hinaus bieten dynamische TAN-Generatoren sowie SMS-TAN erheblich mehr Sicherheit bei Online-Transaktionen. Um die Akzeptanz der Verfahren zu steigern, stellen Kreditinstitute die nötige Hardware vereinzelt kostenlos zur Verfügung. “Banken die bis jetzt mit ihrer Technik noch nicht auf diesen Zug aufgesprungen sind, sollten dies schnellstmöglich tun”, erklärt Uwe Prieß.

Gründe für die Ablehnung von Online-Banking

Zu hohes Risiko 64%
Angst vor Phishing 48%
Banken übernehmen keine Haftung 41%
Mir ist die persönliche Beratung wichtig 36%
Geschäfte über die Filiale sind sicherer 33%
Angst vor Viren und Würmern 29%
Angst vor Trojaner 29%

n=66 © PPI AG

Hintergrundinformationen Die Studie “Bankpräferenzen 2008″ stellt die Ergebnisse einer Online-Befragung dar, die im Auftrag von PPI in Kooperation mit dem IMWF Institut für Management- und Wirtschaftsforschung und Handelsblatt.com durchgeführt wurde. An der Befragung haben 859 Endverbraucher teilgenommen. Befragungszeitraum: 6. bis 27. Oktober 2008.