Neue gefährliche "Bagle" Variante unterwegs

Eine neue Variante des "Bagle"-Wurms verbreitet sich gegenwärtig per E-Mail und in Filesharing Netzwerken im Internet. Der Wurm "Bagle.ai" verfügt über ein Remote-Access-Programm, auf infizierte Rechner kann von aussen zugegriffen werden, ohne dass der PC-Besitzer davon Kenntnis hat.

Auch die Hersteller von Antiviren-Software warnen. Der Eindringling verfügt über die Fähigkeit, laufende Virenscanner zu beenden. Außerdem bietet der Wurm sich selbstständig zum Tausch über Netzwerke an und kopiert sich dazu in freigegebene File-Sharing-Ordner.
Vereinzelt sind auch Passwort-geschützte Zip-Files aufgetaucht, die von Mailserver-Virenscannern nicht selbstständig zu öffnen und zu scannen sind. Damit Anwender die infizierten Zip-Dateien entpacken können, liefert Bagle.ai das entsprechende Passwort im Mailtext mit.
Bagle.ai wird mit unterschiedlichen Dateianhängen verschickt, die teilweise "tierische" Bezeichnungen tragen. Möglich sind Cat, Dog, Fish oder Music_MP3. Die Dateinamenerweiterungen variieren von .com und cpl über .exe und .scr bis hin zu .zip. (26.07.04, rp-online)

 

 

    Gefälschte Telefonrechnung beinhaltet Trojaner

Kunden der Deutschen Telekom, die ihre Telefonrechnungen per E-Mail bekommen, sollten jetzt besonders aufmerksam sein. So warnt die Telekom vor Telefonrechnungen mit dem Betreff: "Telekom-Rechnung Juni 2004/06", die den gefälschten Absender Telekom AG haben. Statt der wie üblich im Anhang befindlichen Rechnung, die als .PDF-Datei mitgesendet wird, ist der Dateianhang bei der gefälschten E-Mail Rechnung2004.pdf.exe und installiert eine neue Variante des Trojaners "PWS-LDPinch". Dieser Trojaner späht unter anderem Passwörter des PC-Besitzers aus und sendet diese dem Hacker zu. (24.07.04, dslteam)

 

 

    Trojaner verspricht Selbstmordfoto Bin Ladens

Auf die Sensationslust des Anwenders baut ein neuer Trojaner, der vorgibt, ein Beweisfoto für den Selbstmord Osama Bin Ladens zu sein. In Newsgroups und Internet-Message-Boards sind momentan zahlreiche Meldungen zu finden, wonach CNN-Journalisten Anfang der Woche den erhängten Terroristenführer entdeckt hätten. Die Fotos sind aber bis jetzt nicht veröffentlicht worden, da die USA zunächst die Identität Bin Ladens überprüfen will.
Die Meldungen verweisen auf eine Internetseite, von der eine Datei mit den vermeintlichen Fotos heruntergeladen werden kann. Statt Beweisfotos enthält die Datei den Trojaner "Troj/Hackarmy-A", der es Hackern erlaubt, die Kontrolle über den jeweils infizierten Computer zu erlangen. (23.07.04, ZDNet)

 

 

    IE weiterhin voller Sicherheitslücken

Trotz zahlreicher Sicherheitsupdates in den letzten Wochen, sind weiterhin Sicherheitslücken im Internet Explorer. Auch funktionieren viele der aktuellen Exploits nicht mehr, da die Absicherung der Hilfefunktion verbessert wurde und ADODB.stream und Shell.Application weitgehend stillgelegt wurde.
Ein noch nicht beseitigtes Problem ist, dass durch einfaches Drag & Drop auf eine präparierte Webseite,  eine Datei unbemerkt in den Autostart-Ordner abgelegt werden kann. Beim nächsten Anmeldevorgang könnte so unbemerkt ein Trojaner gestartet werden.
Noch kritischer wird dieses Problem durch so genanntes Click Hijacking. Dabei platziert ein Angreifer ein anklickbares Bild auf der Web-Seite. Mit JavaScript definiert er die Methode onmousedown(), die beim Klick auf das Bild aufgerufen wird und das Bild auf der Seite verschiebt. Die veränderten Koordinaten beim Loslassen des Maus-Buttons suggerieren dem Browser ein Drag-&-Drop-Event. Dieses Problem wurde von Microsoft bereits einmal behoben, lässt sich aber mit Popup-Fenstern immer noch ausnutzen.
Eine weiteres noch vorhandenes Sicherheitsrisiko ist der Rechteklau über spezielle URLs mit "%2F". Damit ist es einer Web-Seite möglich, sich die Rechte der Zone der "vertrauenswürdigen Sites" oder sogar "lokales Intranet" zu erschleichen. Mit letzterem kann die Web-Seite die Anmeldeinformationen im Windows-Netzwerk inklusive LanManager-Hashes ermitteln. Die Hashes lassen sich über Wörterbuch- oder Brute-Force-Attacken mit Tools wie L0phtcrack knacken.
Risikoreich ist auch das immer noch nicht beseitigte Risiko der Manipulation von Webseiten, die Frames nutzen. Beim "Phishing mit Frames" kann eine beliebige, fremde Web-Seite den Inhalt dieses Frames mit einer eigenen Web-Seite überschreiben. So kann ein Angreifer dem Anwender beispielsweise suggerieren, er befände sich auf einer bekannten Seite seines Vertrauens und ihn dort zur Eingabe von persönlichen Daten verleiten. (22.07.04, Heise)

 

 

    Service Pack 2 - Kompatibilitätsprobleme befürchtet

Mit Microsofts Ziel mehr Sicherheit zu erreichen, könnten zahlreiche Programme unterschiedlicher Hersteller Probleme bekommen. Letztlich auch aus diesem Grund wurde das Erscheinen des SP 2 ja bereits mehrmals verschoben.
Für die Software Norton Antivirus, auf etwa 100 Millionen Desktop Computern weltweit aktiv, wird ein Norton Update notwendig sein, damit die Software auch reibungslos mit dem Service Pack 2 arbeitet.
Die Änderungen die Microsoft mit SP2 vornimmt, werden ernsthafte negative Konsequenzen für die Kunden und für viele Programme und Webseiten haben, sagt Erika Shaffer, Sprecherin von Real Networks. Dabei darf allerdings nicht vergessen werden, dass die Firma mit ihrem RealPlayer in Sachen Multimedia-Player mit Microsoft konkurriert.
Besonders betroffen werden Programme und Service sein, die regelmäßig online interagieren. Man schätzt, dass etwa drei Prozent der Programme nicht mehr funktionieren werden. Daher geht selbst Microsoft davon aus, das viele Firmen nur eine sehr abgespeckte Version des Service Packs 2 anwenden werden. Zum Problem könnte etwa die Administration der Firewalls auf tausenden Desktop-PCs werden.

(18.07.04, derstandard.at)

 

 

    ServicePack 2 für XP erneut aktualisiert

Da das RC2 noch so einiges an Fehlern aufwies, wurde in den Gerüchteküchen schon seit einiger Zeit eine weitere Vorabversion vermutet. So war es dann auch, vor einigen Tagen bekamen eingetragene Beta-Tester die Nachricht, dass Build 2162 zum Download bereitstehe. Einigen Hackern hat es dann auch keine Ruhe gelassen, dass die neue Version nicht für die Öffentlichkeit gedacht war, so kursiert mittlerweile im Internet ein Registry-Eintrag, der die Beta-Version des Windows Update Version 5 dazu überredet, die 2162 zum Download anzubieten.
Die neue Vorabversion lässt sich als Update des RC2 installieren, knapp 20 MByte Download sind dann fällig. Microsoft scheint vor allem Fehler ausgemerzt zu haben, Änderungen an der Oberfläche sind jedenfalls auf den ersten Blick nicht zu entdecken: Sicherheitscenter, Firewall, Popup-Blocker, Add-on-Manager und WLAN-Assistent präsentieren sich wie vom RC2 gewohnt.
Wann das SP2 endlich fertig ist, bleibt weiterhin unklar. Microsoft selbst sagt "im August", die deutsche Pressestelle formuliert vorsichtiger "im Sommer". (18.07.04, Heise)

 

 

    Deutschlands aktivster Raubkopierer erwischt

Bei einer Hausdurchsuchung in Tauberbischofsheim, ist der Polizei vermutlich der aktivste Raubkopierer hierzulande ins Netz gegangen.
So wurden bei der Hausdurchsuchung des tatverdächtigen Kopierers ein PC und zahlreiche CDs sichergestellt. Der Mann soll 30.000 Musiktitel im Internet über Tauschbörsen angeboten haben, wodurch ihm die Polizei auf die Schliche kam. Er selbst konnte aber noch nicht befragt werden, er befindet sich gerade im Urlaub.
Nun hat der vermeintliche Raubkopierer mit einer Strafanzeige sowie Schadensersatzforderungen der Musikindustrie zu rechnen. Ob er es wirklich war oder jemand unter seinem Namen die heiße Ware feilgeboten hat, muss sich noch zeigen - die Beweismittel seien allerdings erdrückend, berichtet ein Fahnder der Musikindustrie in der dort üblichen Vorverurteilungs-Dialektik. Vermutlich habe man den aktivsten Raubkopierer Deutschlands gefunden, frohlockte der Mann gegenüber der Presseagentur. (16.07.04, vunet)

 

 

    Sieben neue Sicherheitslücken in Windows

Microsoft meldet sieben neue Sicherheitslücken in Windows, wobei zwei davon in die höchste Bedrohungskategorie eingestuft werden.
Betroffen von den Sicherheitslücken sind je nach Schwachstelle alle Systeme von Windows NT 4.0 SP6a bis hin zu XP und Server 2003. Die erste sehr kritische Schwachstelle wird durch einen Buffer-Overflow im "Task Scheduler" verursacht. Gelingt es einem Angreifer, diese Lücke zu nutzen, hat er laut Microsoft auf dem entsprechenden System dieselben Rechte wie der gerade eingeloggte Nutzer. Wird also mit Admin-Rechten im Internet gesurft, können selbst Accounts angelegt und gelöscht werden sowie Rechte verändert werden. Für einen erfolgreichen Exploit müsste ein Angreifer einen Anwender nur auf eine entsprechend präparierte Website locken.
Die zweite kritische Lücke betrifft die Komponenten "HTML Help" und "showHelp". Auch hier könnte ein Eindringling die Kontrolle über einen Rechner übernehmen. Vier weitere Schwachstellen stuft Microsoft mit dem zweihöchsten Rating auf seiner Skala ein. Eine der Lücken sei weniger gefährlich. Windows Anwendern wird dringend angeraten, die Patches für diese Lücken schnellstens zu installieren. (14.07.04, ZDNet)

 

 

    Windows Longhorn wird schon überwacht

Experten des amerikanischen Justizministeriums haben ein Auge auf die Entwicklung des Windows XP Nachfolgers "Longhorn". Durch die Überwachung soll sichergestellt werden, ob sich Microsoft an die Vorgaben der Behörden hält, wie Tools, wie Media-Player oder der Internet Explorer, in das Betriebssystem eingebunden werden. Mit frühzeitigen Prüfungen der Entwicklung soll gewährleistet werden, dass Änderungen durchgesetzt werden können, bevor der Programmcode finalisiert wird.
Schon mit dem neuen Service-Pack 2 für Windows XP werden wieder neue Funktionen hinzugefügt werden, die mit den Behördenvorgaben nicht vereinbar sind. Microsoft begründete dies mit neuen Inkompatiblitäten mit Programmen anderer Hersteller. (13.07.04, Chip)

 

 

    IE verliert Marktanteile an Mozilla

Einer aktuellen Studie zufolge hat im Juni der Internet Explorer ein Prozent der Nutzer an den Open-Source-Browser Mozilla verloren.
Seit Juni 2002 hält Marktführer Internet Explorer konstant etwa 95 Prozent Marktanteil bei der Browserverbreitung. Nach einer Studie von WebSideStory fiel der Anteil des Browsers im Zeitraum vom 4. Juni bis zum 6. Juli von 95,73 Prozent auf 94,73 Prozent. Dies wäre der größte Marktverlust seit 1999. Gleichzeitig konnten die Betreiber des Mozilla-Projekts einen verstärkten Download des Open-Source-Browsers feststellen. So habe sich das tägliche Transfervolumen nach bekannt werden kritischer Sicherheitslücken im IE auf 200.000 Kopien pro Tag verdoppelt, wie Bart Decrem, ein Sprecher des Mozilla-Projekts mitteilte. Laut Geoff Johnston, einem Analysten bei WebSideStory, brauche es einigen Anlass, damit ein User seinen Browser wechselt. In den letzten Jahren sei das nie in solch einem Ausmaß geschehen.
Die meisten User wechseln den Browser aus Sicherheitsgründen. Da die Mozilla-Browser im Gegensatz zum Internet Explorer nicht so tief in die Systeminstallation integriert sind, ist das System weniger anfällig gegen Attacken.

Allerdings bietet auch die Mozilla-Suite keinen 100-prozentigen Schutz. Vergangene Woche wurde eine Sicherheitslücke behoben, die es Angreifern erlaubt, mittels präparierten Webseiten auf dem Zielrechner beliebigen Code auszuführen (siehe unten). (12.07.04, tecchanneL.de)