blogrettung.de ist …

das Blog für eine Schnellehilfe für das gehackte WordPress Blog: Fachwissen, praktische Erfahrung, Tipps und Neuigkeiten für erfolgreiche BlogSecurity. Sie wollen mehr über das Beratungs-Angebot wissen? Notfallservice, wenn’s mal schnell gehen muss – auch an Wochenenden und Feiertagen sowie 24h-Service schnelle@blogrettung.de.

Kritische Schwachstelle im Internet Explorer

Kritische Zero-Day-Schwachstelle im Internet Explorer

Mit breitflächiger Ausnutzung ist zu rechnen / BSI empfiehlt temporär Nutzung eines alternativen Browsers

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist Internetnutzer auf eine bisher unbekannte, kritische Schwachstelle im Browser Microsoft Internet Explorer hin. Betroffen sind IT-Systeme, die den Internet Explorer in den Versionen 7 oder 8 unter dem Betriebssystem Microsoft Windows XP, sowie in den Versionen 8 und 9 unter Microsoft Windows 7 verwenden. Die Schwachstelle wird bereits in gezielten Angriffen ausgenutzt. Zudem ist der Angriffscode auch frei im Internet verfügbar, sodass mit einer breitflächigen Ausnutzung rasch zu rechnen ist. Um die Schwachstelle auszunutzen reicht es aus, den Internetnutzer auf eine präparierte Webseite zu locken. Beim Anzeigen dieser Webseite kann dann durch Ausnutzen der Schwachstelle beliebiger Code auf dem betroffenen System mit den Rechten des Nutzers ausgeführt werden.

Ein Sicherheitsupdate des Herstellers ist derzeit nicht verfügbar. Daher empfiehlt das BSI allen Nutzern des Internet Explorers, so lange einen alternativen Browser für die Internetnutzung zu verwenden, bis der Hersteller ein Sicherheitsupdate zur Verfügung gestellt hat. Das BSI steht bezüglich einer Lösung zur Schließung der Schwachstelle mit Microsoft in Verbindung. Sobald die Sicherheitslücke geschlossen ist, wird das BSI darüber informieren.

Quelle: Pressemitteilung
Foto © alphaspirit – Fotolia.com

Neue Version von Trojan.Hosts sperrt scheinbar Internetzugang und erpresst Geld

Der Antiviren-Software-Hersteller und Sicherheitsspezialist Doctor Web warnt vor einer massiven Verbreitung von Trojan.Hosts.5858, von dem in erster Linie Anwender aus der deutschsprachigen Region bedroht sind. Der Trojaner leitet das Opfer beim Aufrufen einer Webseite auf eine vorgeschobene Website weiter, auf welcher von einer angeblichen Sperrung des Internets aufgrund von Spam die Rede ist. Für die Entsperrung wird ein Lösegeld per Kreditkarte gefordert.

Trojan.Hosts.5858 wird vor allem auf Computer heruntergeladen, die durch BackDoor.Andromeda bereits infiziert sind. Vielfältige Vertreter dieser BackDoor-Familie können selbständig gefährliche ausführbare Dateien herunterladen. Zusammen mit Trojan.Hosts.5858 können auf einen anfälligen Computer andere Trojaner wie Trojan.Spambot.11349 und BackDoor.IRC.Aryan.1 gelangen.

Nachdem sich Trojan.Hosts.5858 ausgeführt hat, modifiziert er die hosts-Datei im Systemverzeichnis von Windows, die für die Zuordnung von Host-Namen zu IPs verantwortlich ist. Durch eine Zuordnung beliebter Websites wie Facebook, Google, Yahoo usw. zu ein und derselben IP in der hosts-Datei wird das Opfer auf eine spezielle Website weitergeleitet, wo ihm eine vermeintliche Sperrung seines Internetzugangs mitgeteilt wird. Die angebliche Entsperrung soll für 2 Euro durchgeführt werden, wofür die Betrüger sich die Kreditkartendaten des Opfers übermitteln lassen.

Pierre Curien von Doctor Web dazu: „Die Infektionswelle reißt nicht ab. Diesmal sind die deutschen Internetnutzer im Visier. Wir reagieren darauf und haben die Signatur für Trojan.Hosts.5858 in die Virendefinitionsdatei von Dr.Web bereits eingetragen. Somit kann der Trojaner erfolgreich aus dem System entfernt werden.“

Doctor Web rät dazu, bei erneuten Lösegeldforderungen, eine wiederholte Systemprüfung mit Dr.Web CureIt! durchzuführen oder die Datei Windows\System32\Drivers\etc\hosts zu editieren und unnötige Eintragungen zu löschen.

Weitere Informationen finden Sie unter www.drweb-av.de

Foto / Grafik © Igor Petrov – Shutterstock.de

Doctor Web: Virus Rmnet.12 infiziert über eine Millionen Windows-Rechner

Der Antiviren-Software-Hersteller und Security-Spezialist Doctor Web hat erneut ein Botnet entdeckt. Diesmal hat der Virus Win32.Rmnet.12 ein Botnetz mit mehr als einer Million Windows-Rechnern infiziert. Win32.Rmnet.12 agiert als Backdoor und stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind. Die Passwörter könnten später dazu benutzt werden, um Netzwerk-Attacken zu planen und Webseiten zu infizieren. Win32.Rmnet.12 verarbeitet Befehle von einem Remote-Server, die unter Umständen das Betriebssystem lahm legen können.

Pierre Curien, Geschäftsführer Deutschland bei Doctor Web: „Erste Einträge zu Win32.Rmnet.12 in die Virus-Datenbank von Dr. Web erfolgten bereits im September 2011. Seitdem verfolgen unsere Analysten die Entwicklung. Der Virus greift Computer auf verschiedene Arten an – über infizierte Speichergeräte, mit infizierten auszuführenden Dateien oder unter Nutzung spezieller Skripts, die in HTML-Dokumente eingebettet sind. Doctor Web hat volle Kontrolle über das virale Netzwerk von Win32.Rmnet.12, sodass Angreifer keinen Zugriff mehr auf infizierte Computer haben. Um eine Infektion durch Win32.Rmnet.12 zu verhindern empfehlen wir, eine aktuelle Antiviren-Software zu benutzen und deren Viren-Signaturen aktuell zu halten. Unsere Lösung Dr.Web CureIt! oder Dr.Web LiveCD desinfiziert das System effektiv.“

Win32.Rmnet.12 ist ein komplexer Multikomponenten-Virus, der aus verschiedenen Modulen besteht und sich selbst vervielfältigen kann. Beim Eindringen in ein System überprüft Win32.Rmnet.12, welcher Browser als Standard-Browser installiert ist und injiziert seinen Code in den Browser-Prozess. Falls der Standard-Browser nicht identifiziert werden kann, attackiert der Virus den Microsoft Internet Explorer. Dann benutzt er die Festplatten-Seriennummer, um seinen eigenen File-Namen zu generieren, speichert sich selbst im Autorun-Ordner des jeweiligen Users und vergibt das Attribut „hidden“ an die von ihm erzeugte Kopie. Die Virus-Konfiguration wird im gleichen Ordner gespeichert. Danach nutzt der Virus eine in ihm enthaltene Funktion, um den Namen eines Control-Servers zu bestimmen. Anschließend versucht er, sich mit diesem zu verbinden.

Eine der Viruskomponenten ist eine Backdoor. Nach dem Eindringen versucht sie, die Geschwindigkeit der Internet-Verbindung zu bestimmen. Sie sendet Anfragen an google.com, bing.com und yahoo.com in 70-Sekunden-Intervallen und analysiert die Antworten. Anschliessend startet Win32.Rmnet.12 einen FTP-Server auf der infizierten Maschine, verbindet sich mit einem Remote-Server und überträgt die Informationen über das infizierte System an die Eindringlinge. Die Backdoor kann vom Remote-Server empfangene Befehle ausführen, im Speziellen um beliebige Dateien herunterzuladen und auszuführen, sich selbst zu aktualisieren, Screenshots zu erstellen und diese zu den Angreifern zu senden und schließlich das Betriebssystem lahmzulegen.

Eine weitere Viruskomponente stiehlt Passwörter, die auf populären FTP-Clients gespeichert sind, wie z.B. Ghisler, WS FTP, CuteFTP, FlashFXP, FileZilla, Bullet Proof FTP etc. Diese Information kann später dazu genutzt werden, um Attacken auf Netzwerke auszuführen oder weitere Malware auf Remote-Servern zu platzieren. Außerdem durchsucht Win32.Rmnet.12 die Cookies des Users, sodass die Angreifer Zugang zu Accounts des Users erhalten können, die eine Authentifizierung voraussetzen. Zusätzlich kann diese Komponente den Zugang zu betimmten Seiten blockieren und den User zu einer Webseite umleiten, die von den Virenautoren kontrolliert wird. Eine der Win32.Rmnet.12-Modifikationen ist in der Lage, mittels Web-Injections Informationen über Bankkonten zu stehlen.

Der Virus verbreitet sich über verschiedene Wege. Er benutzt Browser-Schwachstellen, die es Eindringlingen ermöglichen, ausführbare Dateien über das Laden einer Webseite zu speichern und zu starten. Der Virus sucht auf allen vorhandenen Festplatten und Partitionen nach gespeicherten HTML-Dateien und bettet den VBScript-Code dort ein. Zusätzlich infiziert Win32.Rmnet.12 alle .exe-Dateien und kann sich selbständig auf Wechseldatenträger kopieren. Er speichert eine Autorun-Datei und einen Shortcut zu einer schädlichen Anwendung im Stammverzeichnis angeschlossener Wechseldatenträger, wodurch das automatische Ausführen des Schadcodes möglich wird.

Das aus mit Win32.Rmnet.12 infizierten Hostrechnern bestehende Botnetz wurde von Doctor Web bereits 2011 identifiziert, als die Analysten auf das erste Virensample stießen. Sie entschlüsselten bald die Namen der Control-Server, welche im disassemblierten Code von Win32.Rmnet.12 gefunden wurden. Danach entschlüsselten die Analysten das Protokoll, das für die Kommunikation zwischen Bots und Control Servern benutzt wurde und die Kontrolle über die Bots ermöglichte. Am 14. Februar kreierten die Analysten ein Sinkhole, registrierten Domain-Namen verschiedener Server, die eines der Win32.Rmnet.12-Netzwerke kontrollierten und erhielten so volle Kontrolle über das Botnetz. Ende Februar wurde ein weiteres Win32.Rmnet.12-Subnetz auf diesem Weg gehijackt. Zu Beginn war die Anzahl der Bots relativ gering und erreichte einige Hunderttausend, jedoch stieg die Zahl weiter an. Am 15. April umfasste das Win32.Rmnet.12 Botnetz bereits 1.400 520 Hosts und wuchs stetig weiter.

Bundesbehörde warnt vor neuer Schadsoftware

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt allen Internetnutzern, ihre Rechner auf Befall mit der Schadsoftware „DNS-Changer“ zu überprüfen. Ab sofort ist eine solche Überprüfung mit Hilfe der Webseite www.dns-ok.de ganz einfach möglich. Die Webseite wird gemeinsam von der Deutschen Telekom, dem BSI und dem Bundeskriminalamt zur Verfügung gestellt.

Dies wurde notwendig, weil Internetkriminelle die Netzwerkkonfiguration von PC- und Mac-Systemen durch den Eintrag neuer DNS-Server mit der Schadsoftware „DNS-Changer“ manipuliert hatten. Das DNS (Domain Name System) ist einer der wichtigsten Dienste im Internet, welcher für die Umsetzung von Namen (URLs) in IP-Adressen verantwortlich ist. Im Falle einer Infektion mit der Schadsoftware leitet der Webbrowser die Benutzer bei Abfrage populärer Webseiten unbemerkt auf manipulierte Seiten der Kriminellen um, wo betrügerische Aktivitäten wie beispielsweise die Verbreitung angeblicher Antivirensoftware, Klickbetrug oder nicht lizenzierter Medikamentenverkauf stattfinden. Zudem konnten die Kriminellen gezielt manipulierte Werbeeinblendungen an infizierte Rechner senden, Suchergebnisse manipulieren und weitere Schadsoftware nachladen.

(mehr …)

Websense: Mit diesen Cyber-Attacken muss 2012 gerechnet werden

Was die Datensicherheit angeht, war 2011 ein Jahr voller böser Überraschungen: Hacking-Attacken ungeahnten Ausmaßes, Sicherheitslöcher in sicher geglaubten Systemen, hunderttausende gestohlener Account-Daten. Was kommt als Nächstes? Die Experten in den Sicherheitslaboren von Websense verraten, welche Cyber-Attacken 2012 drohen.

1. Digitale Identität ist für Cyber-Kriminelle wertvoller als Kreditkartendaten
In Foren wird es bald einen regen Handel mit persönlichen Informationen geben. Die sozialen Netzwerke basieren allesamt auf Vertrauen in die eigenen Kontakte. Mit einem gestohlenen Login gelangen die Datendiebe an vertrauliche Daten und können diese missbrauchen.

(mehr …)

OWASP Top 10 jetzt auch in Deutsch

Die deutsche Übersetzung der OWASP Top 10 ist fertiggestellt. Die OWASP Top 10 ist mittlerweile anerkannter Branchenstandard und eine der bekanntesten Übersichten über Sicherheitsschwachstellen von Webanwendungen. Diese steht damit einem breiten Publikum in deutscher Sprache zur Verfügung. Die deutsche Übersetzung ist ein wichtiger Baustein, um das Sicherheitsbewusstsein beim Einsatz von Webanwendungen in Deutschland – vor allem im Bereich des Mittelstandes – signifikant zu verbessern. So werden Schwachstellen wie Cross-Site-Scripting (XSS), SQL-Injection und vieles mehr in verständlicher Weise beschrieben. Wie alle Materialien der OWASP sind auch die Top 10 kostenfrei verfügbar. Das PDF kann unter http://owasp.de/top10 kostenlos heruntergeladen werden.

Die deutsche Übersetzung der OWASP Top 10 ist ein Beispiel dafür, wie der offene Ansatz von OWASP in der Praxis funktioniert. Die Übersetzung stammt aus der Feder von Experten verschiedener Firmen und
Institutionen: Frank Dölitzscher (Hochschule Furtwangen), Tobias Glemser (Tele-Consulting GmbH), Dr. Ingo Hanke (Ideas GmbH), Kai Jendrian (Secorvo Security Consulting GmbH), Ralf Reinhardt (sic[!]sec GmbH), Michael Schäfer (Schutzwerk GmbH).

Die OWASP ist eine offene Community mit dem Ziel, Know-How im Bereich der Websicherheit aufzubauen. Im Vordergrund der OWASP stehen Best Practices, Werkzeuge und Konzepte für die sichere Entwicklung sowie Test und Schutz von Webanwendungen. Die OWASP wendet sich sowohl an Entwickler, Sicherheitsberater, Projektmanager und Sicherheitsbeauftragte als auch an die Geschäftsleitung von Unternehmen und Organisationen.

Sicher im Web mit c't Surfix

Anwender müssen Virenscanner und Programme stets auf aktuellem Stand halten, um sich beim Surfen im Web vor Cracker-Angriffen zu schützen. Doch selbst ein tadellos gepflegtes System bewahrt heute nur bedingt vor Eindringlingen und Datenklau. Die Computerzeitschrift c’t hat mit c’t Surfix ein Betriebssystem so präpariert, dass man sich damit sicher im Internet bewegen kann. Eine DVD, von der c’t Surfix direkt starten kann, liegt der aktuellen Ausgabe 26/11 bei.

(mehr …)

Hash-Kollisionen können Webserver lahmlegen

Die Entwickler Alexander Klink und Julian Wälde haben eine Schwachstelle beschrieben, die in fast allen Webservern ausgenutzt werden kann: Durch das Auslösen von Hash-Kollisionen kann die CPU-Last von Webservern über lange Zeit auf bis zu 99 Prozent erhöht werden. Betroffen sind mehr oder weniger alle modernen Webserver, denn der softwareseitige Fehler ist in den meisten populären Skriptsprachen enthalten, darunter PHP.
(mehr …)