Hoax-Info Service | Weblog | Archiv

21.09.07PermaLink
Vorgebliche Rechnung vom Online-Casino

Mails mit Malware-Link von Euro Imperial Casino

Spam-artig verbreitete Mails eröffnen dem überraschtem Empfänger, er habe bei einem Online-Casino ein Spielkonto, auf das „EUR 497.5“ gutgeschrieben worden sein sollen. Die Mails tragen den Betreff „Es wurden von Ihrer Karte EUR 497.5 abgebucht“. Ein Link in der Mail zeigt zunächst auf eine PDF-Datei namens "billing-rechnung-182192711-1.pdf", beim Abruf wird man jedoch auf eine EXE-Datei weitergeleitet. Der Dateiname gleicht dem der PDF-Datei, es werden allerdings etliche Leerzeichen vor der zusätzlichen Endung ".exe" eingefügt. Beim Aufrufen der EXE-Datei wird ein Trojanisches Pferd aus der Bzup-Familie herunter geladen. Es installiert eine DLL im System32-Verzeichnis von Windows - jeder Aufruf generiert eine andere Datei (anderer Name, andere Prüfsumme). Es registriert sie als BHO (Browser Helper Object) für den Internet Explorer. Damit werden Eingaben in Online-Formulare protokolliert, um Zugangsdaten für das Online-Banking oder für Online-Spiele auszuspionieren.

E-Mail ansehen | →Erkennung durch Virenscanner

18.09.07PermaLink
OpenOffice.org 2.3 erschienen

Sicherheitslücke geschlossen, Funktionen erweitert

Die gerade bereit gestellte neuen Version 2.3.0 des quelloffenen Office-Pakets OpenOffice.org behebt eine Sicherheitslücke, die das Einschleusen von Code mittels präparierter Dokumente ermöglicht. Außerdem gibt es ein neues Chart-Modul für Diagramme und unter der Motorhaube hat sich auch Einiges getan. Fassungen für Windows und Linux (als RPM) in deutscher Sprache sind bereits erhältlich.
Unterdessen hat IBM angekündigt unter dem Namen Lotus Symphony ein kostenloses Office-Paket auf der Basis von OpenOffice.org anbieten zu wollen.

OpenOffice.org

18.09.07PermaLink
Firefox 2.0.0.7 ist schon da

Neue Version behebt Quicktime-Schwachstelle

Die eigentlich erst für Oktober erwartete Version 2.0.0.7 des Web-Browsers Firefox ist bereits verfügbar. Die Mozilla-Entwickler haben gewohnt schnell reagiert und eine schwer wiegende Sicherheitslücke geschlossen. Diese lässt sich über ein installiertes Quicktime-Update ausnutzen, um beliebigen Code einzuschleusen. Eine bereits in Firefox 2.0.0.5 implementierte Lösung für dieses Problem hatte sich als unzureichend erwiesen. Weitere Unterschiede zur Vorversion 2.0.0.6 soll es nicht geben.

Mozilla Security Advisories | →Download-Links

16.09.07PermaLink
Storm Games

Die nächste Masche der Sturm-Wurm-Bande

Während noch vereinzelt Mails der letzten Sturm-Wurm-Kampagne umher irren (darin geht es um die NFL - s.u.), schwappt bereits die nächte Welle in die Mailboxen. Mails mit einem Betreff wie „GAMES! GAMES!“, „1000+ Free Games!“, „Wow, cool games!“, „Get free games“, „One stop game shop“, „Finally, something truly free on the net“ oder „The internet just got better“ enthalten wie üblich Links direkt auf IP-Adressen (z.B.: http://123.123.12.34/). Dieses Mal führen auf eine vergleichsweise aufwändige Seite mit vorgeblichen Spiele-Downloads. Alle Links auf dieser Seite zeigen auf die selbe Datei, "ArcadeWorld.exe". Dabei handelt es sich um ein Trojanisches Pferd aus der Familie Nuwar/Peacomm/Tibs/Zhelatin. Wer diese Datei ausführt, fügt seinen PC dem Botnet der Sturm-Wurm-Bande hinzu. Der Rechner wird zur fremdgesteuerten Spam-Schleuder oder zu einem weiteren Web-Server der gerade beschriebenen Art. Auch der Besuch einer solchen Web-Seite kann dazu bereits genügen, da diese inzwischen wieder Exploit-Code für Sicherheitslücken im Browser enthalten.

Screenshot einer Sturm-Wurm-Website

12.09.07PermaLink
Patch Day: vier Security Bulletins

Microsoft stellt Sicherheits-Update für MSN Messenger bereit

Am Abend des 11. September (nach europäischer Zeit) hat Microsoft wie angekündigt vier Security Bulletins veröffentlicht. Eines davon behandelt eine als "kritisch" eingestufte Sicherheitslücke im Microsoft Agent unter Windows 2000. Sie kann mit einer speziell präparierten Web-Seite über das Microsoft Agent ActiveX-Steuerelement ausgenutzt werden, um beliebigen Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Die weiteren Security Bulletins betreffen Sicherheitslücken der Stufe "wichtig" im MSN und Windows Live Messenger vor Version 8.1, in Visual Studio .NET 2002/2003/2005 sowie in den Windows Services für Unix bzw. dem Subsystem für UNIX-basierte Anwendungen.

→MS Download-Links

10.09.07PermaLink
Falsche Mails von Schweizer Anwalt

Vorgebliche Anwaltsrechnung mit Trojanischem Pferd

Wie schon mehrmals in diesem Jahr muss ein Schweizer Anwalt erneut als angeblicher Absender von Mails herhalten, die zur Verbreitung von Malware dienen. Die Mails kommen mit einem Betreff wie „Inkasso Forderung“ und behaupten, der Anwalt agiere im Namen der Schmidtlein-Brüder. Es werden Forderungen erhoben, die wie schon früher diverse Rechenfehler enthalten. Der Anhang der Mails besteht aus einem ZIP-Archiv namens "Rechnung_10.9.2007.zip", das eine 8 KB große EXE-Datei mit sehr langem Dateinamen ("Rechnung__...__PDF.exe") enthält. Dabei handelt es sich um ein Trojanisches Pferd, das weitere Malware aus dem Internet nachlädt. Die Erkennung des Schädlings durch Antivirus-Software ist noch sehr lückenhaft. Der Anwalt Hans E. Rüegsegger aus Bern, der als vorgeblicher Mail-Absender angegeben wird, erklärt auf seiner Website, er habe nichts mit den Mails oder den Schmidtleins zu tun.

Advokatur Hans E. Rüegsegger

09.09.07PermaLink
Sturm-Wurm spielt Football

Die neueste Masche zielt auf NFL-Fans

Nachdem die Sturm-Wurm-Bande mit ihren Mails in der zurück liegenden Woche zunächst auf Nutzer von Tauschbörsen abzielten, wechselten sie schnell wieder auf die bereits erprobte YouTube-Masche. Inzwischen haben sie sich auf Sportfans verlegt und versenden Mails mit einem Betreff wie „Football Fan Essentials“, „Free NFL Game Tracker“, „NFL Season Is Here!“ oder „Get Your Free NFL Game Tracker“. Auf den in den Mails verlinkten Websites wird eine Tabelle anzeigt und eine "tracker.exe" zum Download angeboten. Dabei handelt es sich um ein Trojanisches Pferd aus der Familie Nuwar/Zhelatin/Tibs.

E-Mail ansehen | Screenshot einer Sturm-Wurm-Website

07.09.07PermaLink
Nutzer von Tauschbörsen im Visier von Malware

Neue Masche des Sturm-Wurms

Die neueste E-Mail-Masche der Sturm-Wurm-Bande zielt auf Nutzer von Tauschbörsen. Die Mails kommen mit einem Betreff wie „Your privacy is no longer safe“, „Your Privacy is being violated“ oder auch „Careful, you.re being watched.“. Die Links zeigen wie üblich direkt auf IP-Adressen, die Websites dahinter sind eher kurzlebig. Angeboten wird vorgeblich ein Anonymisierungs-Tool namens TOR, tatsächlich handelt es sich bei der Datei "tor.exe" um ein Trojanisches Pferd aus der Familie Nuwar/Zhelatin/Tibs. Das echte TOR (The Onion Router) gibt es auf der Website der EFF (tor.eff.org).

E-Mail ansehen | Screenshot einer Sturm-Wurm-Website

06.09.07PermaLink
Microsoft bringt nur wenige Sicherheitsflicken

Ausblick auf den Patch Day in der nächsten Woche

Am kommenden Dienstag wird es nach der gerade veröffentlichten Ankündigung Microsofts fünf vier Security Bulletins geben. Eines davon wird eine als "kritisch" eingestufte Schwachstelle in Windows 2000 behandeln. Die weiteren tragen lediglich den maximalen Schweregrad "hoch" und betreffen Visual Studio .NET, den MSN Messenger, die SharePoint-Dienste sowie die Dienste für Unix.
Update: Microsoft hat das angekündigte Security Bulletin bezüglich der SharePoint-Dienste ohne Angabe von Gründen erst einmal auf Eis gelegt.

Microsoft Security Bulletin Advance Notification for September 2007 (engl.) | deutsche Fassung

05.09.07PermaLink
Alte Hoaxes neu aufgelegt

Einige Uralt-Falschmeldungen kursieren derzeit wieder heftig

Totgesagte leben länger - diese alte Weisheit unterstreichen derzeit einige gut abgehangene Hoaxes (Falschmeldungen), die Kettenbrief-artig verbreitet werden. So erfreut sich etwa die ebenso alte wie immer noch falsche Warnung vor dem „Bildschirmschoner Budweiser Frösche“ (Bud Frogs) zurzeit großer Verbreitung. Sie kommt im Sammelpaket mit anderen Hoaxes wie „An Internet Flower for you“ und „Virtual Card for you“. Ebenfalls derzeit stark verbreitet wird ein Uralt-Hoax, der behauptet, Microsoft bzw. Bill Gates verschenke sein Vermögen an Weiterleiter dieses Kettenbriefs.

Extra-Blätter: Bud Frogs | Virtual Card / Internet Flower | Microsoft / AOL