Viren, Würmer, Trojaner & Co.

[Rene]

Sicherheitslücke im RealPlayer

RealNetworks hat neue Versionen seines Multimediaprogramms RealPlayer sowie Patches veröffentlicht, die eine Lücke bei der Verarbeitung von Real-Audio-Daten schließen sollen. Präparierte RAM-Dateien verursachen einen Pufferüberlauf, über den ein Angreifer eigene Programme in den Stack der Anwendung kopieren und starten kann.

Betroffen sind unter Windows der RealPlayer 10.5, RealPlayer 8 und 10, RealOnePlayer v2 und v1 sowie RealPlayer Enterprise. Auf dem Mac sind die Fehler im RealPlayer 10 und RealOnePlayer enthalten. Bei den Linux-Versionen zeigen sich nur RealPlayer 10 (10.0.0-3) und der Helix Player (10.0.0-3) verwundbar. Die Mobilversionen für Palm und Nokia S60 enthalten die Fehler nicht.

Windows- und Mac-Anwender können ihre Versionen über die automatische Update-Funktion aktualisieren. Nutzer von Linux müssen sich manuell eine komplett neue Version herunterladen. Allerdings stellen Linux-Distributoren wie Suse derzeit ebenfalls neue Pakete bereit.


Quelle:

 

[Rene]

Voransicht des Windows Explorer führt eingeschleusten Code aus

Die Sicherheitsspezialisten von GreyMagic haben eine Schwachstelle im Windows Explorer unter Windows 2000 entdeckt, mit der Angreifer über präparierte Dateien eigenen Code auf dem System eines Opfers ausführen können. Dazu muss die Datei selbst nicht ausführbar sein, sie muss auch keinen Buffer Overflow ausnutzen. Auch ist es nicht erforderlich, sie mit einer Anwendung zu öffnen. Es genügt die Voranschau im Windows Explorer, sofern dieser für die Darstellung im Web-Mode konfiguriert ist.

Der Trick besteht darin, JavaScript-Code in die Metadaten einer Datei zu schreiben, der bei der Voransicht mit den Rechten der lokalen Zone und des Anwenders ausgeführt wird. Schreibt man in das Autoren-Feld der Eigenschaften (Dateiinfo) einer .doc-Datei folgende Zeile

a@b´ style=´background-image:url(javascript:
alert("Successful injection!"))´

so führt der Windows Explorer den Code aus, statt ihn anzuzeigen. Nach Angaben von GreyMagic kann ein Skript all das tun, was der angemeldete Nutzer auch tun kann. Zur Demonstration sind im veröffentlichten Advisory drei .doc-Dateien verlinkt, die die Schwachstelle veranschaulichen. Präparierte Dateien können beispielsweise per Mail auf das System gelangen. Der Angriff funktioniert auch mit Dateien, die auf Netzlaufwerken gespeichert sind.

Ursache des Problems ist die Web-View-Bibliothek webvw.dll des Windows Explorers, die Metadaten nicht richtig filtert. Betroffen sind alle Windows-2000-Versionen bis einschließlich Service Pack 4. Windows XP ist nicht betroffen. Ein Patch ist nicht verfügbar, als Workaround genügt es, von der Webansicht auf die klassische Darstellung (unter Ordneroptionen) ohne Voransicht umzustellen.

Quelle:

 

[Rene]

52 neue Symbian-Trojaner entdeckt

Smartphones werden immer häufiger von Malware attackiert

Papakura (pte) - Der neuseeländische Anti-Virus-Spezialist SimWorks http://www.simworks.biz warnt vor 52 bisher unbekannten Trojanern, die auf Mobiltelefone mit Symbian-OS zielen. Die Trojaner verbreiten sich vor allem über gecrackte Versionen populärer Symbian-Applikationen wie "BitStorm", "BugMe", "CosmicFighter, "3D Motoracer" und "SplashlD". Neben dem Installations-File enthalten die Trojaner verschiedene Versionen bekannter Malware wie "Cabir" und "Locknut".

"Das ist eine sehr interessante Entwicklung, denn für gewöhnlich haben wir in dieser Zeit höchstens zwei oder drei Handy-Trojaner entdeckt", erklärt SimWorks-CEO Aaron Davidson. "Für einen Virenschreiber wäre es zwar einfach, einen Trojaner zu programmieren und ihm anschließend 52 verschiedene Namen zu geben, doch dies ist hier nicht der Fall. Wir haben es tatsächlich mit 52 unterschiedlichen, geknackten und infizierten Anwendungen zu tun. Jemand hat hier scheinbar weder Zeit noch Mühen gescheut", so Davidson.

Laut SimWorks waren manche der bisherigen Handy-Viren zwar in der Lage sich zu vermehren, aber sie starteten keine gefährlichen Attacken. Andere wieder richteten zwar Schaden an, aber sie vermehrten sich nicht. Die große Anzahl der nun entdeckten Trojaner könnte eine Reaktion des Virenschreibers auf seine bisherige Unfähigkeit sein, zerstörerische Trojaner zu programmieren, die sich auch effektiv vermehren können. Offensichtlich soll durch die große Anzahl der Malicious-Codes die Wahrscheinlichkeit gesteigert werden, die Malware herunter zu laden und zu installieren.

Alle Trojaner befallen laut Anti-Viren-Experten Mobiltelefone der Serie 60, die Symbian OS V 6.1 verwenden. Aber auch neuere Nokia-Handys wie das 3650, das 6600 oder das 6620 sind gefährdet. Keiner der Trojaner stellt hingegen eine Gefahr für UIQ-basierte Smartphones (User Interface Quart) dar, wie das SonyEricsson P900/910 und das Motorola A925/1000. SimWorks empfiehlt allen Handy-Usern keine Files von unbekannten Personen zu akzeptieren oder Anwendungen von unbekannten Quellen oder Crack-Seiten herunter zu laden.

Quelle:

 

[Rene]

Neue Bagle-Modifikation in Umlauf

Kasperksy warnt vor "Email-Worm.Win32.Bagle.bn"

Moskau (pte) - Der russische Sicherheits-Experte Kaspersky Labs http://www.kaspersky.com warnt vor einer gefährlichen Modifikation des bekannten "I-Worm.Bagle". Der Bagle-Autor ist derzeit besonders aktiv und verbreitet laut Kaspersky wöchentlich neue Varianten des Wurms. Gegenwärtig verbreitet sich "Email-Worm.Win32.Bagle.bn" primär über Spam. Der Security-Spezialist geht davon aus, dass damit die Bagle-"botnets" aufrechterhalten werden sollen.

Die infizierten E-Mails werden mit leerer Betreffzeile versandt und besitzen auch keinen Briefkörper. Der Wurmkörper, eine ZIP-Datei, die ein mit PeX gepacktes EXE-File enthält, befindet sich im E-Mail-Anhang. Die EXE-Datei trägt den Namen "19_04_2005.exe" und hat gepackt eine Größe von rund 19 KB. Beim Start der ausführbaren Datei wird eine Text-Datei im temporären Windows-Verzeichnis erstellt. Der Name dieser Text-Datei beginnt mit dem Symbol und verfügt über die Dateiendung txt. Der restliche Teil des Namens wird zufällig erzeugt. "Bagle.bn" verwendet zum Öffnen der Datei den Standard-Texteditor des befallenen Systems. Der User sieht im Texteditor lediglich das Wort "Sorry".

Im Anschluss extrahiert der Wurm die Dateien "winshost.exe" aus dem Wurmkörper, speichert diese in das Windows-System-Verzeichnis und registriert sie in der Windows-Registry. Anschließend blockiert der Wurm die Arbeit diverser Antiviren-Programme und verhindert, dass eine Reihe von Einträgen in der Registry gelöscht werden kann. Darüber hinaus beendet der Wurm Prozesse in Verbindung mit Antiviren- und Firewall-Programmen und überschreibt die hosts-Datei, um zu verhindern, dass der Anwender Webseiten von Antiviren-Herstellern aufrufen kann. "Bagle.bn" ist nicht in der Lage, sich selbst zu verbreiten. Der Wurmautor könnte jedoch auch zukünftig Spam-Techiken verwenden, um Repliken des Wurms massenhaft zu verbreiten.

Quelle:

 

[Rene]

(Über-)Last durch Virenscanner

Ein Update bringt Viren-Scanner aus Trend Micros PC-cillin Internet Security und OfficeScan Corporate Edition aus dem Tritt: Mit dem kaputten Update Nummer 594 vom 22. 4. erzeugen die Scanner auf Windows 2003 Server und XP unter Umständen 100 Prozent CPU-Last. Ursache soll eine nicht näher spezifizierte Inkompatibilität zwischen Betriebssystemfunktionen, Scan-Engine und Signaturen sein. Trend Micro stellte deshalb kurz darauf das Update Nummer 596 bereit, das das Problem beheben soll. Auf Systemen, die das Update nicht (mehr) automatisch nachinstallieren, muss dies unter Umständen von Hand geschehen. Alternativ kann man auch ein Rollback durchführen oder das Update-File löschen.

Quelle:

 

[Rene]

Erster Apple-Trojaner gesichtet

Mac/Cowhand-A ermöglicht geheime Netzwerkzugriffe

Abingdon (pte) - Der britische Security-Experte Sophos http://www.sophos.com hat nach eigenen Angaben den ersten Trojaner für Mac OS X aufgespürt. "Mac/Cowhand-A" installiert sich automatisch durch einen Eintrag in der Registry und öffnet ein Hintertürchen auf Apple-Rechner. Dadurch soll er laut Sophos Zugriffe über das Netzwerk ermöglichen. Weiters kann der Mac anschließend als Proxy "missbraucht" werden.

Ob die Premiere des ersten Apple-Trojaners die Einleitung einer Viren- und Würmerplage für Apple-User darstellt, darüber herrschen bei Sophos noch Zweifel. In freier Wildbahn wurde "Cowhand-A" derzeit noch nicht gesichtet und anderen Sicherheitsexperten ist er ebenfalls noch nicht in die Netze gegangen. Die Viren-Experten von Sophos vermuten in dem Malicious-Code eher eine "Virenstudie" und geben den derzeitigen Verbreitungsgrad mit "gering" an.

Quelle: yahoo

 

[Rene]

Neuer Wurm löscht die MP3-Sammlung

Vor einem Wurm mit dem Namen W32/Nopir-B warnen jetzt verschiedene Hersteller von Antiviren-Software. Der elektronische Schädling verbreitet sich vor allem über Tauschbörsen im Internet. Er tarnt sich als Crackmöglichkeit für eine beliebte DVD-Kopier-Software. Wer das Programm herunterlädt, um damit die Software freizuschalten, erlebt allerdings eine böse Überraschung: Zunächst zeigt sich ein Anti-Raubkopie-Hinweis auf dem Bildschirm. Zeitgleich löscht der nun freigesetzte Wurm alle MP3-Dateien, die er im System finden kann. Auch Dateien mit der Endung .com werden von dem Schädling aus dem System entfernt. Die meisten Hersteller von Antiviren-Software haben ihre Produkte bereits aktualisiert, die Updates lassen sich von den Seiten der Unternehmen herunterladen. Experten raten zudem dringend, auf den Download von Crack-Werkzeugen oder anderen illegalen Dateien aus dem Internet generell zu verzichten.

Quelle: yahoo

 

[Rene]

02.05.2005 18:40

Sober-Wurm tarnt sich als Benachrichtung zur WM-Ticket-Auslosung

Seit wenigen Minuten kursiert eine neue Version des Sober-Wurms, die unter anderem als eine in deutsch verfasste Benachrichtigung über ein gewonnenes Ticket zur Fußball-WM 2006 daherkommt. Daneben tragen die Nachrichten auch Betreffzeilen wie: "Ich bin´s, was zum Lachen", "Mail-Fehler", "Ihr Passwort" und "Ihre E-Mail wurde verweigert." Die Absenderadressen der Mails sind wie üblich gefälscht[..]

Quelle und weiter: heise news

 

[Rene]

Neuer Soberwurm,

Achtung, scheint ziemlich agressiv zu sein, hab schon jede Menge verseuchter Mails erhalten.

Gruß René

 

[Rene]

Ausbruch von Sober.O beeinträchtigt Systeme des WM-Organisationskomitees

Der Ausbruch des Mass-Mailing-Wurms Sober.O beeinträchtigt zurzeit das interne Computersystem des Organistionskomitees (OK) der Fußball-WM 2006, erklärte Jens Grittner, Pressesprecher des OK. Die Vergabe oder Bestellung der Tickets sei davon allerdings nicht betroffen.

Zurzeit ist der Internet-Auftritt des OK (www.ok2006.de) nicht zu erreichen. Wahrscheinlich dürften eher Nachfragen verunsicherter Kartengewinner die Ursache sein, die ihre Mails an "WM-Ticket@ok2006.de" schicken und somit zur Überlastung des Netzes führen. Dass der Wurm selbst Urheber der Störungen ist, hat bislang auch noch kein Hersteller von Antivirensoftware bestätigt: Eine Funktion für eine DoS-Attacke ist im Code bislang nicht zu entdecken gewesen. Auch Schadfunktionen oder Code zur Installation einer Hintertür auf den befallenen Systemen ist in dem Wurmcode nicht zu entdecken[..]

Quelle und weiter: heise

 

[Rene]

WM-Ticket-Wurm" Sober.O schaltet Virenschutz ab

Der derzeit grassierende Wurm Sober.O hat nach Auskunft des Bundesamtes für Sicherheit in der Informationstechnik (BSI) doch Schadfunktionen. Das BSI hat seine Wurmbeschreibung dazu aktualisiert. So schaltet er einige Virenschutz-Programme ab und löscht insbesondere Dateien der Anti-Viren-Produkte von Symantec. In der Folge ist die Aktualisierung des Programms und der Signaturen nicht mehr möglich. Zudem verhindert der Wurm den Start verschiedener Entfernungs-Tools, indem er nach dem Namen solche Programme in der Prozessliste sucht[..]

Quelle und weiter: heise

 

[Talkrabb]

Seit dem ich auf Gmail umgestellt habe bekam ich keinen einzigen Wurm/Virus mehr - NIX - 0!

Mein AntiVirusprogramm ist arbeitslos und das bei taglich ca. 50 Emails!

 

[Rene]

Hab die verseuchten Mails nur auf meine .de-Adresse bekommen.

René

 

[Rene]

WM-Ticket-Wurm lässt Welle von Nazi-Mails los

Frankfurt/Main (AP) Der WM-Ticket-Wurm «Sober» hat zu Pfingsten im Internet eine riesige Welle von E-Mails mit Nazi-Propaganda in Gang gesetzt. Infizierte Computer sendeten seit Sonntag massenhaft elektronische Post mit ausländerfeindlichen Betreffzeilen wie «Multi-Kulturell=Multi-Kriminell». Computerexperte Christoph Fischer sprach am Montag im AP-Interview von einer «Riesenflut» vor allem im deutschsprachigen Internet.

Die Spam-Mails enthalten auch Betreffzeilen wie «Verbrechen an der Deutschen Frau» oder «Deutsche werden künftig beim Arzt abgezockt» und verweisen im Text unter dem (grammatisch falschen) Hinweis «Lese selbst» entweder auf die Website der rechtsextremistischen NPD oder aber auf Artikel seriöser Online-Medien zu Themen, mit denen sich Stimmung gegen Ausländer machen lässt.

«Das ist ein hinterhältiges Ding und eine kleine Zeitbombe», sagte der Sprecher der Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Michael Dickopf. Der Wurm könne glücklicherweise keine technischen Schäden anrichten.

Nach Angaben der Sicherheitsfirma H+BEDV besitzt der Wurm «Sober.p» einen automatischen Nachlademechanismus, der zu einem vorbestimmten Zeitpunkt das Sober.q genannte Update im Internet holt. Dieser neue Wurm verschickt sich dann nach einer bestimmten Zeit wieder von selbst an alle auf dem infizierten Rechner gefundenen Adressen. Laut H+BEDV war das Nachlade-Datum der 11. Mai, während der Massen-Versand am 15. Mai um 00:00 Uhr begann. Das Schadens- und Verbreitungspotenzial dieser Sober-Variante werde als hoch eingeschätzt, erklärte die Firma in Tettnang. Sober.q enthält aber im Gegensatz zu Sober.p keinen infizierten Dateianhang.

Quelle und weiter: yahoo

 

[johndoe69]

ja, dieses Würmchen ist hier auch bei dem ein oder anderen User eingegangen - z.T. gleich 50 mal in einem Postfach. Enthält aber keinerlei Code sondern eben nur Links zu rechtslastigen Texten. Würd ich eher als Spam klassifizieren.

 

[Rene]

Spam-Trojaner Sober.Q versucht kommenden Montag nachzuladen

Immer noch verschickt der Trojaner Sober.P massenhaft Spam-Mails von infizierten PCs. Als würde das nicht ausreichen, füllen sich die Postfächer der Anwender noch zusätzlich mit Fehlermeldungen von Mail-Servern à la "Delivery has failed".

Das alles aber könnte sich am kommenden Montag, den 23. Mai, schlagartig ändern. So haben die Hersteller von Antivirensoftware unter anderem diesen Zeitpunkt ausgemacht, an der Sober.P mit dem Versenden der Mails aufhört und von diversen Web-Servern neue Programme nachlädt. Was die Programme genau machen werden, weiß derzeit noch niemand. Die Dateien sind bislang noch nicht auf den Servern vorhanden. Anwender sollten auf alles gefasst sein: Denkbar ist, dass der Schädling versucht, weitere Rechner mit einer neuen Sober-Variante zu infizieren, Spam-Mails mit neuen Texten verschickt oder gar befallene Rechner in Bots für großangelegte Angriffe auf Web-Server umfunktioniert.

Quelle und weiter: heise

 

[Rene]

Spam-Trojaner Sober.Q gibt vorerst Ruhe

Anwender können aufatmen: Die Spam-Flut durch Sober.P/.Q und die vielen durch die Spams ausgelösten Mailserver-Fehlermeldungen ("Delivery Failure") haben vorerst ein Ende. Offenbar waren die Maßnahmen der Provider Arcor, Freenet und Pages in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgreich. Durch das Sperren einiger Web-Seiten kann Sober.Q alias Trojan.Ascetic.C keine weiteren Programme nachladen. Seit dem heutigen Montag, den 23.5., hat der Schädling nämlich seine Spam-Aktivitäten eingestellt und versucht stattdessen, neuen Schadcode auf befallene Systeme zu kopieren. Die Zugriffe auf mehr als ein Dutzend im Wurmcode einprogrammierte URLs laufen allerdings nun ins Leere.

Quelle und weiter: Heise

 

[Rene]

Trojaner verschlüsselt Daten und Dokumente

Der kürzlich aufgetauchte Trojaner PGPCODER.A ist zwar kaum verbreitet, dafür aber umso tückischer. Statt Hintertürchen zu öffnen und Tastatureingaben mitzulesen, verschlüsselt er auf infizierten Windows-PCs sämtliche Dateien mit den Endungen ASC, DB, DB1, DB2, DBF, DOC, HTM, HTML, JPG, PGP, RAR, RTF, TXT, XLS und ZIP. Die Original-Dateien löscht er im Anschluss an die PGP-Verschlüsselung. Nach getaner Arbeit löscht sich der Trojaner selbst von der Platte, eine eigene Verbreitungsroutine enthält er nicht.

Quelle und weiter: heise

 

[Rene]

TREND MICRO löst globalen Yellow Alert aus: MYTOB-Variante übertölpelt unerfahrene Anwender

TREND MICRO (NASDAQ: TMIC, TSE 4704) hat einen globalen Yellow Alert ausgelöst, um vor einer neuen Variante des Wurms MYTOB zu warnen. Infektionen von WORM_MYTOB.AR wurden bereits in verschiedenen Ländern gemeldet. Der Malicious Code verwendet klassische Social Engineering-Techniken, um unerfahrene Anwender hinters Licht zu führen und Spyware- sowie Adware-Komponenten zu hinterlegen. Bereits über 100 Varianten des MYTOB-Wurms wurden bisher identifiziert. Ähnlich wie bei Vorgängerversionen verbreitet sich dieser speicherresidente Wurm dadurch, dass er eine Kopie von sich selbst als eMail-Anhang anfertigt. Der Versand erfolgt über eine eigene Simple Mail Transfer Protocol (SMTP) Engine. Darüber hinaus lädt der Wurm nach der Ausführung ein Programm herunter, das Adware auf dem Rechner der Opfer hinterlegt. Zusätzlich verfügt der Wurm über Backdoor-Fähigkeiten: Über einen eingebauten Internet Relay Chat (IRC)-Bot werden Verbindungen zu bestimmten IRC-Servern aufgebaut.

Quelle: trendmicro

 

[Rene]

Neue Mytob-Würmer und Bagle-Trojaner im Netz unterwegs

Mehrere neue Varianten des Mass-Mailing-Wurms Mytob landen zur Zeit in den elektronischen Postfächern der Anwender. Allerdings erkennen noch nicht alle Scanner die neuesten Versionen. Der Zeitraum zwischen dem Auftauchen der Abkömmlinge hat sich zur Zeit stark verkürzt. Mytob steckt in einer Mail mit englischem Text und gaukelt eine Benachrichtigung über einen gesperrten oder abgelaufenen E-Mail-Account vor und enthält etwa Betreffzeilen wie:

DETECTED* Online User Violation
*IMPORTANT* Please Validate Your Email Account
*IMPORTANT* Your Account Has Been Locked
*WARNING* Your Email Account Will Be Closed
Account Alert
Email Account Suspension
Important Notification
Notice of account limitation
Notice: **Last Warning**
Notice:***Your email account will be suspended***
Security measures
Your email account access is restricted
Your Email Account is Suspended For Security Reasons

Um unverdächtig zu erscheinen, trägt der Wurm als Absender unter anderem den Webmaster der Domäne des Empfängers ein. Im Anhang findet sich dann eine gezippte ausführbare Datei, die beim Start den Windows-PC infiziert und unter anderem Hintertürchen öffnet.

Quelle: heise