Trojaner nutzt IE-Sicherheitslücke

Ein neues Trojanisches Pferd installiert sich mit Hilfe eines Pop-Up Fensters und nutzt dabei eine Sicherheitslücke im Internet Explorer aus.
Auf einem befallenen System werden die Anmeldeinformationen der Deutschen Bank, der Sparkasse, der Citibank sowie der Landesbank Baden-Württemberg und des Deutschen Investment-Trusts beim Online-Banking abgefangen. Das Trojanische Pferd fängt Post- und Get-Befehle ab, bevor diese vom Internet Explorer per SSL verschlüsselt und an die Bankenwebseiten gesendet werden. So erlangt das Trojanische Pferd alle Daten, um sich per Online-Banking in fremden Konten austoben zu können.
Der Trojanischer gelangt über Pop-Up-Werbung auf fremde Systeme und macht sich eine bekannte Sicherheitslücke im Internet Explorer bei der Ausführung von chm-Dateien zu Nutze. Auf einem von dem Trojanischen Pferd befallenen System findet man die Datei img1big.gif, die sich als Grafikdatei tarnt. Tatsächlich verbirgt sich darin aber eine ausführbare Windows-Datei, welche vermutlich über das oben genannte Sicherheitsleck im Internet Explorer gestartet wird. In der vermeintlichen Grafikdatei steckt zudem eine dll-Datei, die sich unter zufällig gewähltem Namen im Verzeichnis C:\Windows\System32\ als "Browser Helper Object" (BHO) ablegt. (30.06.04, golem.de)

   Sun lässt den Tiger los

Das neue Java 1.5, Codename "Tiger" verspricht in manchen Bereichen eine bis zu dreißigfache Beschleunigung gegenüber der Vorgängerversion. Eines der Faktoren auf die Sun bei der neuen Java-Version Priorität gelegt hat, war die Erhöhung der Sicherheit der Software. Neu hinzu kommt ein grafisches Entwicklungstool namens Studio Creator. Das neue Java 1.5 soll laut Sun der bedeutendste technologische Fortschritt in der Geschichte von Java sein. (28.06.04, derstandard.at)

   Neue Trojaner beinhalten Dialer

Eine neue Welle von Schädlingen aktivieren auf infizierten Rechnern die Modem-Verbindung und wählen den PC mit teuren Telefonnummern ein. Diese Trojaner nisten sich heimlich im PC ein und können die Einstellung verändern, mit der sich der Rechner ins Internet einwählt. "Sobald der Anwender versucht, eine Internetverbindung herzustellen, wird eine Telefonnummer mit Premium-Raten angewählt, statt des herkömmlichen Zugangs-Codes des Internetproviders", so Anti-Viren Hersteller Sophos. "Häufig sind diese Dialer so installiert, dass sie sofort Zugang auf pornografische Websites erzwingen. Doch es kann auch weniger offensichtlich sein, wie ein Trojaner die Computereinstellungen verändert hat." Es wird geraten den Virenschutz zu aktualisieren und auf der Hut zu sein, welche Software man installiert. 25.06.04, teltarif.de)

   Webseiten installieren Trojaner über IE

In immer mehr Webseiten großer Unternehmen oder populärer Web-Angebote ist Scriptcode eingebettet, der ein Trojanisches Pferd auf dem Rechner des Besuchers installiert. Betroffen sind Nutzer eines Internet Explorer, der nicht mit den letzten Sicherheits-Patches versehen ist. Bisher hat die Bedrohung noch nicht die Ausmaße einer Epidemie angenommen, eine stärkere Verbreitung des schädlichen Codes ist jedoch vorauszusehen, so Symantec, Hersteller von Anti-Viren Software.
In letzter Zeit wurden vermehrt zahlreiche große Webserver von Eindringlingen gehackt. Wo es sonst eher üblich war, seinen Namenszug zu hinterlassen, um in der Szene Annerkennung zu ernten, wurde jetzt vermehrt eine Weiterleitung über einen russischen Server hinterlassen. Wird diese in einen ungepatchten Internet Explorer geladen, installiert sich über zwei Sicherheitslücken im Browser der Trojaner. Dieser bringt unter anderem einen Keylogger mit, der alle Tastenanschläge des Nutzers aufzeichnet. Aus den Aufzeichnungen können unter anderem Passwörter und Konto-Daten extrahiert werden. Weiterhin öffnet das Programm eine Hintertür, über die der Urheber des Schädlings auf den infizierten Rechner zugreifen kann. (25.06.04, de.internet.com)

   UDSL-Turbo: Bandbreiten bis zu 100 Mbit/s

Texas Instruments hat eine neue DSL-Technologie mit hoher Bandbreite vorgestellt, die abwärtskompatibel mit bestehenden Infrastrukturen ist. UDSL soll DSL-Breitband auf ein Niveau bringen, das die Übertragung von HDTV ermöglicht.

Erweiterte Videodienste sowie Sprache und Daten können damit mit begrenztem Einsatz von Glasfaserkabeln direkt in die Haushalte geliefert werden. Das Konzept basiert auf ein Glasfasernetz, das vom Betreiber bis zu den Knotenpunkten verlegt sein muss. Von dort aus wird der Kunde mit den vorhandenen Kupferkabeln an das Netz angeschlossen.

Der Radius um die Knotenpunkte beträgt dabei 1.800 Meter. Mit der UDSL-Architektur können Betreiber ihren Kunden nicht nur die Dreifach-Kombination von Sprach-, Video- und Datendiensten anbieten, sondern gleichzeitig Investitionskosten sparen, da UDSL alle ADSL- und VDSL-Standards unterstützt und nur begrenzte Investitionen in Glasfaser erfordert. (22.06.24, presstetext.de)

   Mozilla: Sicherheitsrisiko durch Browser-Plug-ins

Lange Zeit galt der Internet Explorer, aufgrund der zahlreichen Sicherheitslücken, als ein eher unsicherer Browser. Deshalb sind immer mehr Anwender dazu übergegangen, Alternativen, wie Mozilla oder Firefox, zu nutzen. Mittlerweile nimmt aber auch die Zahl der Webseiten zu, die auch Lücken in diesen Browsern aktiv ausnutzen.

So können untergejubelte Browser-Plug-ins und Erweiterungen auch den Mozilla unter Umständen offen wie ein Scheunentor machen. Zuviel Vertrauensseligkeit und zuwenig Eigenverantwortung des Users ist hier gleichermassen der Hauptgrund für trügerische Sicherheit. (18.06.04, Heise)

   RC2 des SP2 für XP zum Download freigegeben

Seit heute ist das Release Candidate 2 des SP2 für Windows XP bei Microsoft zum Download freigegeben. Auf der Microsoft Webseite kann man sich die 260 MB grosse deutsche und englische Versionen und weitere diverse Informationen abholen. Ungewöhnlich ist, dass der RC2 nicht nur als Gesamtpaket heruntergeladen werden kann, sondern auf Wunsch auch per Windows-Update zur Verfügung steht. Damit reduziert sich der Download auf rund 100 MByte.

Voraussetzung für dieses Vorgehen ist, dass man zuvor auf Windows Update Version 5 aufrüstet, welches sich derzeit noch in der Beta-Phase befindet. Zudem muss man erklären, dass man registrierter Beta-Tester ist. Das RC 2 sollte jedoch nicht leichtfertig installiert werden. Wie bei allen Release Candidate- oder Beta Versionen ist keine Fehlerfreiheit gewährleistet. Probleme sind also nicht auszuschliessen. (16.06.04, Heise)

   Sober.H verschickt rassistische Spam-Mails

Seit Donnerstag verschickt ein neuer Schädling Spam-Mails mit rassistischen Inhalten. Der Schädling, von dem Anti-Viren Softwarehersteller F-Secure "Sober.H" genannt, verbreitet sich nicht selbst, sondern wird von dem Mass-Mailing-Wurm Sober.G als 59747 Byte große Datei "doerkggg.exe" nachgeladen.

Sober.H verfügt über eine eigene SMTP-Engine zum versenden seiner mitgebrachten Spam-Mails. Nachdem der neue Schädling von Sober.G aktiviert ist, gibt er seinem Vorgänger das Signal sich zu deaktivieren, indem er bestimmte Dateien ohne Inhalt erzeugt. Dann macht sich Sober.H daran, den Wirtsrechner nach E-Mail-Adressen zu durchforsten, an die er seine politisch rechts angesiedelten Botschaften, nicht aber sich selbst verbreiten kann.
Wie sein Vorgänger Sober.G verfügt Sober.H über eine Routine zum Nachladen einer neuen ausführbaren Datei. Er kann vom Host people.freenet.de die Datei "winhlpx32ll.exe" herunterladen und ausführen. In regelmäßigen Abständen durchsucht der Schädling seinen Wirtsrechner nach der Datei "sysmms32.lla". Wenn er diese Datei findet, deinstalliert er sich selbst. Befindet sich die Datei bereits vorher dort, installiert er sich gar nicht erst. (13.06.04, Heise)

   Erstmals Deutscher P2P-Nutzer verurteilt

Zum ersten Mal ist auch in Deutschland ein illegaler Musikanbieter einer Internet-Tauschbörse verurteilt worden. Der 23- Jährige muss Schadenersatz von 8000 Euro und eine Strafe von 400 Euro zahlen, teilte das Landgericht Cottbus mit. Nach Angaben der Deutschen Phonoverbände habe der Auszubildende tausende Musiktitel über die Tauschbörse Kazaa angeboten. Bei einer Durchsuchung seien 6000 MP3-Dateien beschlagnahmt worden. (08.06.04, Yahoo)

    Wieder neue Lücken im Internet Explorer

Erneut sind Fehler im Internet Explorer 6.0 bekannt geworden, die es Angreifern ermöglichen, beliebigen Code auf das System eines Opfers zu laden und auszuführen. Diese Fehler sollen bereits von einigen Webseiten aktiv ausgenutzt werden. Dabei reiche der Besuch einer Webseite ohne weitere Benutzerinteraktion aus, um unbemerkt Trojaner und Adware installiert zu bekommen.
Der bereits durch frühere Veröffentlichungen zu Sicherheitslücken in Microsofts Browser bekannte Sicherheitsspezialist Jelmer analysiert in seinem Advisory detailliert die Funktion des neuen Angriffs, der aus einer Kombination mehrerer alter und mindestens zwei bisher unbekannter Lücken im Internet Explorer 6.0 besteht. Der mehrstufige Exploit lädt unter anderem besonders codiertes JavaScript auf das System, um die Arbeitsweise zu verschleiern und Virenscanner auszutricksen. Außerdem setzt er diverse Tricks ein, um den eigentlich zur Internet-Zone gehörenden Code in der lokalen Zone, die standardmäßig fast keine Sicherheitseinschränkungen kennt, auszuführen. (08.06.04, Heise)

   Neuer Wurm "Korgo" befällt Windows-Systeme

Eine ganze Wurmfamilie, "Korgo A. bis F." nutzt die durch "Sasser" bekannt gewordene LSASS-Sicherheitslücke und verbreitet sich rasant. Damit stellt sich so langsam die Frage, warum auf so vielen Windows Systemen das Patch gegen die LSASS-Lücke nach den verheerenden Auswirkungen durch Sasser und Co in der Vergangenheit immer noch nicht installiert ist. "Korgo.F" hat jedenfalls bei Symantec bereits die Risikostufe 3 erreicht, der Hersteller stellt auch schon ein Removal-Tool zur Verfügung. W32.Korgo.F infiziert Rechner über Port 445 und öffnet Hintertürchen auf den Ports 113, 3067 und weiteren zufälligen. Darüber hinaus versucht er sich mit verschiedenen IRC-Servern auf Port 6667 zu verbinden, um Kommandos entgegenzunehmen. (03.06.04, Heise)

   Microsoft: Patent auf den Doppelklick

Microsoft zeigt, dass man sehr sorgfältig auf eigene Ideen achtet und hat sich den Doppelklick patentieren lassen. "Eine Methode und System zur Erweiterung der Funktionalität von Anwendungsknöpfen eines Computer-Gerätes mit begrenzten Ressourcen", so wird es im Patent mit der Nummer: 6.727.830 beschrieben. Als Erfinder werden Charlton E. Lui und Jeffrey R. Blum genannt. Dass der Griff zur Maus damit künftig lizenzpflichtig wird, ist zur Zeit aber noch nicht zu befürchten. (03.06.04, vu.net)

   Telekom will Kundendaten von Internetnutzern

Die Telefonauskunft der Telekom soll zukünftig auch Auskünfte über E-Mail- und Domain-Adressen geben können. So will die Telekom das leicht schwächelnde Geschäft für derartige Dienste wieder ankurbeln. Allerdings stösst die Art und Weise, wie die Telekom an die benötigten Kundendaten kommen will, auf allgemeine Empörung bei Providern und Konkurrenten. So sollen Netzprovider ohne große Umstände angehalten werden, "Kundenadressen (mit und ohne geschäftlichen Bezug) für die elektronische Datenübermittlung (z.B. E-Mail-Adresse und/oder Domain-Namen) zur Veröffentlichung in den Voiceauskünften der Deutschen Telekom AG, T-Com" zu übergeben.
Außer Einzelheiten, in welchen Formaten die Daten gewünscht werden, fehlen weitere Erklärungen über den Grund der "Anfrage". Der "Datenbeschaffer" der Telekom-Festnetzsparte T-Com, Michael Staats, verweist nur darauf, dass die Veröffentlichung der Datensätze mit den elektronischen Adressen für die Provider "kostenfrei" sei. Das ohne Zustimmung des Kunden der Provider die gewünschten Daten gar nicht herausgeben dürfen, scheint die Telekom dabei nicht zu stören. (01.06.04, Heise)

    Login-Sicherheitslücke bei Win 2000

In Windows-2000-Netzwerken ist das Login an einem Arbeitsplatzrechner auch möglich, wenn das Passwort schon abgelaufen ist. Der Fehler tritt aber nur dann auf, wenn der vollständige Name des Netzwerk-Rechners [Fully Qualified Domain Name] genau acht Zeichen lang ist. Betroffen sind Windows 2000 Advanced Server, Windows 2000 Professional und Windows 2000 Server.
Microsoft hat zwar bereits einen Hotfix bereit gestellt, weist aber darauf hin, diesen nur bei Auftreten des Problems zu installieren, da er noch nicht ausgetestet ist. Der Hotfix ist nur über den telefonischen Support [Tel. 01 50222 22 55] erhältlich.
Netzwerke, die von dem Fehler bisher verschont geblieben sind, sollten nach Empfehlung Microsofts erst mit dem nächsten Service Pack für Windows 2000 gepatcht werden. (01.06.04, futurezone.orf)