Samstag, April 19, 2014
Text Size
++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++
Alerts / Sicherheitswarnungen
Donnerstag, den 13. September 2012 um 09:10 Uhr

Kaspersky Analyse: Geografie der Cyberverbrechen

Jeder dritte Rechner in Westeuropa und Nordamerika im ersten Halbjahr 2012 attackiert - Cyberkriminelle nutzen deutsche Infrastruktur und greifen am häufigsten Italien und Spanien an

Mehr als ein Drittel (33,4 Prozent) der Internetnutzer in Westeuropa und Nordamerika wurden im ersten Halbjahr 2012 mindestens einmal beim Internetsurfen attackiert.
Die am häufigsten angegriffenen Rechner stehen in Spanien und Italien.
Dort wurden mehr als 40 Prozent der Computer online attackiert. Die Bedrohungslage in Deutschland, Österreich und der Schweiz ist nicht derart dramatisch. Der deutschsprachige Raum gehört zur mittleren Risikogruppe, bei der zwischen 21 und 40 Prozent der Computer im ersten Halbjahr attackiert wurden. Diese Ergebnisse gehen aus der aktuellen Kaspersky-Lab-Analyse „Geografie der Cyberverbrechen: Westeuropa und Nordamerika“ hervor.

Allerdings ist vor allem Deutschland bei den Cyberkriminellen beliebt, wenn es darum geht, Web-Schädlinge auf Servern zu platzieren. 11,11 Prozent der Schadprogramme werden auf Servern aus Deutschland gehostet.
Lediglich die USA (28,50 Prozent) und die Niederlande (14,75 Prozent) beherbergen mehr Malware auf Servern.

Große Gefahr: Online-Banking- Trojaner

Vor allem in Ländern mit hoher Internetnutzungsdichte identifizierte Kaspersky Lab im ersten Halbjahr 2012 zahlreiche Computer, die mit Schadprogrammen infiziert waren, mit denen Finanzinformationen abgegriffen werden sollten. Speziell in den Ländern Westeuropas und Nordamerikas nutzen eine Vielzahl von Internetanwendern Online-Banking und -Shopping, bezahlen dabei mit Kreditkarten und speichern sensible Zugangsdaten auf ihren Rechnern. Bei genauerer Analyse der weitverbreiteten Online-Banking-Trojaner Sinowal, SpyEye und Zbot (auch ZeuS genannt) sieht man, dass es mehr als 70 Prozent der Sinowal-Attacken, über 40 Prozent der SpyEye-Attacken und circa 25 Prozent der Zbot-Angriffe auf Nutzer aus den oben genannten Region abgesehen haben.

„Länder mit einer hohen Internetversorgung und viel genutzten Online-Banking-Diensten ziehen Cyberkriminelle an. Denn dort können sie ihre immer raffinierteren Technologien einsetzen“, so Yuri Namestnikov, Senior Malware Analyst bei Kaspersky Lab. „Ein gutes Beispiel für solche komplexen Attacken ist die Schädlingsfamilie Zitmo. Zitmo arbeitet mit dem ZeuS-Trojaner zusammen und attackiert Smartphones, wenn Geld via Online-Banking transferiert wird. Die TAN-Nummer wird dann umgehend zu den Cyberkriminellen geschickt, das Zweiwege-Authentifizierungssystem der Banken ausgehebelt.“

Die komplette Analyse „Geografie der Cyberverbrechen:
Westeuropa und Nordamerika“ von Yuri Namestnikov, Senior Malware Analyst bei Kaspersky Lab, ist unter
http://www.viruslist.com/de/analysis?pubid=200883790 verfügbar.
Veröffentlicht in Alerts / Sicherheitsanalysen
Context-Experten warnen vor wachsender Bedrohung für den Finanzsektor

Schadsoftware, die auf den Finanzsektor abzielt, wird kontinuierlich weiterentwickelt. Laut den Analysten von Context Information Security gestaltet es sich immer schwieriger, die Bedrohung zu entdecken und zu bekämpfen. Sie recherchieren derzeit die Funktionsweise der neuen Generation sogenannter Financial Malware. Dazu zählt der noch junge Trojaner "Carberp", der Login- und Konto­informationen sowie Zugangsdaten zu E-Mail-Systemen und Social Networking-Seiten stiehlt. "Es ist unerlässlich, die Funktionsweise von Trojanern wie Carberp genau zu kennen. Ihre fortgeschrittenen Infektionspotenziale machen es andernfalls unmöglich, sie rechtzeitig zu entdecken und ihre Attacken zu analysieren", erklärt Michael Jordon, Manager für Forschung und Entwicklung bei Context. Durch geschicktes Vorgehen bleibt Carberp bisher noch von den meisten Antivirus-Lösungen auf infizierten Geräten unentdeckt. Daher informiert Context über die Ergebnisse seiner Analysen laufend in seinem Blog - der neuste Eintrag zum Thema "From Infection to Persistence" ist unter folgendem Link zu finden: www.contextis.de/research/blog/malware2/

Ähnlich wie seine bekannten Vorgänger "Zeus" und "Spyeye" infiziert Carberp Computer mithilfe von schadhaften PDFs und Excel-Dokumenten oder durch Drive-by-Downloads. Dass der Trojaner in den meisten Fällen von der Antivirus-Software unentdeckt bleibt, liegt am Einsatz von fortschrittlichen Tarnungs-, Anti-Debugging- und Rootkit-Techniken. Gesteuert wird er dabei durch ein zentrales Administrations-Panel, das es dem Hacker erlaubt, die gestohlenen Daten abzugreifen. Carberp ist außerdem Teil eines Botnetzes, das die vollständige Kontrolle über infizierte Arbeitsrechner ergreifen kann. Durch seine komplizierten Infizierungsmechanismen und ausgedehnten Funktionalitäten ist der Trojaner jedoch vor allem prädestiniert, gezielte Angriffe auszuführen.

Um unentdeckt zu bleiben und den Sicherheitsprüfungen zu entgehen, nutzt die Schadsoftware mehrere Ebenen der Verschleierung und Verschlüsselung. Sobald sie sich im System festgesetzt hat, beginnt die Infizierung: In Vorbereitung für den tatsächlichen Angriff werden schadhafte Dokumente platziert und Prozesse beeinflusst, die einen verborgenen Zugang zum Arbeitsrechner herstellen.

Viele Banken nutzen heute Sicherheitslösungen wie Rapport vom Hersteller Trusteer, um das Angriffsrisiko durch Schadsoftware zu verkleinern. Ziel ist dabei besonders der Schutz der Kundenkommunikation über das Internet, bei der Kontoinformationen gestohlen werden könnten. Wie der Trojaner Carberp zeigt, findet die neue Generation der Financial Malware jedoch immer neue Wege, Systeme anzugreifen und Daten zu entwenden. "Wir müssen dieser Entwicklung einen Schritt voraus bleiben oder zumindest mit ihr Schritt halten", betont Michael Jordon von Context. "Über Zeus und Spyeye gibt es inzwischen detaillierte Informationen. In Hinsicht auf neuere Trojaner wie Carberp ist die IT-Sicherheitsbranche noch dabei, sich ein genaues Bild zu machen." Diesen Prozess treibt Context entscheidend mit voran. Im Unternehmens-Blog posten die Experten die Ergebnisse ihrer Analysen und geben Ratschläge, wie Infizierungen erkannt und Bedrohungen entschärft werden können.

Über Context Information Security
Context ist eine unabhängiges Beratungsunternehmen, das sich auf den Bereich der technischen Sicherheit spezialisiert hat. Die Fokus liegt zudem auf Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausgebaut - zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute weltweit führende Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Veröffentlicht in Alerts / Sicherheitsanalysen
Donnerstag, den 27. Oktober 2011 um 10:47 Uhr

OpFake: Premium Rate SMS Trojaner teilt sich Code mit Spitmo

Spitmo, die Abkürzung für den Schädling SpyEye für Smartphones, wurde von F-Secure schon öfters analysiert. SpyEye ist ein berüchtigter Banking Trojaner, der mTAN Nummern abfängt. mTAN löst das iTAN Verfahren ab und wird  von vielen Banken nun eingesetzt, um sich vor Man-in-the-Middle Angriffen  zu schützen. Spitmo ist die mobile Version des SpEye Trojaners,  der den Authentifizierungsprozess umgeht. Diese Crossover Angriffe basieren auf sehr clevere Techniken in Programmcodes.

Beim Ausbau und der Weiterentwicklung von F-Secure Mobile Security sind die Entwickler auf weitere Artverwandte zu Spitmo gestoßen. Dabei wurden alleine 54 weitere Samples gefunden, die sich den Code mit Spitmo teilen. Darunter der SMS Trojaner OpFake, der es auf die russischen Smartphones abgesehen hat. Der Name OpFake kommt vom Installer, der auf Opera Mini (OperaUpdater.sixx) installiert wird.

Die Analyse des OpFake Symbian Binary deckte eine IP-Adresse auf, dessen Online Server auch Windows Mobile Versionen von OpFake, sowie über 5.000 Unterordner mit einer verschlüsselten Konfigurationsdatei, beinhaltet.

OpFake nutzt also Spitmo Komponenten, Symbian Windows Mobile (evtl. auch andere Betriebssysteme), sowie Premium Rate SMS Nachrichten.  Die Server IP wurden F-Secure an CERT-FI gemeldet.

Weitere technische Analysen zu OpFake und zu der Ordnerstruktur des Servers folgen.

Mehr über F-Secure
Veröffentlicht in Hersteller News
Montag, den 19. September 2011 um 11:03 Uhr

Spitmo vs Zitmo: Banking Trojaner mit Angriffsziel Android

SpyEye und ZeuS sind die am meist verbreiteten und aktivsten Banking-T_rojaner. Anfang des Jahres gab es Gerüchte, dass beide Toolkits zu einer neuen Generation an Banking Trojanern zusammenschmelzen würden. Welcher Code nun von welchem Toolkit  in die neue Version eingebracht wurde ist noch nicht ganz klar. Auf jeden Fall ist diese Version sehr aktiv und zielt auf alle Smartphones mit dem Android BS ab. Das Ziel: Abfangen von mTAN Nummern für Online-Banking.

Trotz gleichem Ziel unterscheiden sich die Zeus-Version für Android (auch bekannt als Zitmo, für Zeus für Mobiles) und SpyEye (genannt Spitmo für SpyEye für Mobiles). Beide arbeiten mit einer Zwei-Faktor-Authentifizierung für elektronische Transaktionen, in diesem Fall für mTANs (mobile Transaktionsnummer) die nach Erhalt via SMS an einen Remote-Server weitergeleitet werden. Benutzernamen und Passwörter wurden dabei auf dem  infizierten Computer bereits erfasst. SpyEye bietet dabei drei neue interessante Eigenschaften.

1.    SpyEye und Zeus nutzen zwar die gleiche Verteilungsmethode, aber die User Interaktion unterscheidet sich. Ein mit SpyEye infizierter Rechner täuscht dem Nutzer eine URL auf dem Smartphone vor, über die sich das Opfer eine schadhafte Android App herunterlädt.  SpyEye sieht dabei nicht wie ein SecurityTool aus, im Gegensatz zu ZeuS. SpyEye läuft auch nicht als Hintergrund-Service. SpEye ist solange inaktiv bis eine vordefinierte Nummer gewählt oder eine SMS empfangen wird:

McAfee_Spitmo_1

Damit möchte SpEye die Präsenz der Malware verschleiern. SpyEye besitzt auch kein User-Interface und erscheint auch nicht im Tab des Application Manager Fenster. Weiterer Unteschied: der infizierte User sieht nicht seine IMEI auf dem Bildschirm, sondern wird aufgefordert eine bestimmte Nummer zu wählen um seine Authentifizierungsdaten zu bekommen. Die Nummer ist dabei immer die gleich, da diese in der App hardcoded ist.

McAfee_Spitmo_2

2.     Mit SpyEye können die abgefangenen Nachrichten via SMS oder HTTP weiter transferiert werden. Diese Konfiguration ist in der Datei Settings.xml der originalen APP abgespeichert.

McAfee_Spitmo_3

Die Malware checkt dabei den Werte im Send Befehl (1=HTTPP, 2=SMS). Beim Wert 2 wird die SMS zu einer vordefinierten Nummer gesendet, die im Telefon Tag abgelegt ist.

McAfee_Spitmo_4

Durch die Übermittlung der SMS an den Angreifer werden für den User noch weitere Kosten freigesetzt.  Da die Konfiguration dafür außerhalb des Malware Codes liegt können die Verteilungsmethoden der Angreifer zusätzlich variieren. Anders als bei ZeuS legt SpyEye die URLs für die gestohlenen Informationen in einem einzigen Setting-File ab, wodurch SpyEye eine höhere Flexibilität erreicht, da die URLs einfacher gewechselt werden können.
3.    Die abgegriffene SMS wird unverschlüsselt an die URL des Angreifers übermittelt. Anders als bei ZeuS, der ein JSON Objekt im POST Request nutzt um die gestohlenen Information zu übermitteln, bedient sich SpyEye eines URLEncoders, um einige Zeichen zu entschlüsseln und in HEX Werten darzustellen. Ausgenommen sind dabei Buchstaben, Zahlen und einige spezielle Zeichen. Letztendlich werden die Daten im Klartext übermittelt und können natürlich über einen Sniffer im Internet einfach mitgelesen werden.

Spitmo

Die neuen Varianten von Spitmo und Zitmo werden sich auch in Zukunft noch weiter spezialisieren und die Analyse und Erkennung erschweren. Durch die Zunahme von Android Geräten und dem mobilen Online-Banking werden den Cyberkriminellen eine riesige Plattform für gewinnbringende Angriffe bereitgestellt.

von Carlos Castillo, McAfee
Veröffentlicht in Alerts / Sicherheitsanalysen
Ein junger Mann, im kriminellen Untergrund als “Soldier” bekannt, hat über Cyberangriffe auf verschiedene große US-Unternehmen in den letzten sechs Monaten 3,2 Millionen Dollar gestohlen. Der in Russland tätige Mann nutzt laut Trend Micro-Recherche für seine kriminellen Machenschaften verschiedene Toolkits, einschließlich SpyEye (TSPY_SPYEYE.EXEI) und ZeuS-Malware, wie auch Exploit-Tools, um mithilfe von Blackhat-Suchmaschinenoptimierung seine SpyEye/ZeuS-Dateien zu verbreiten. Die Massenangriffe passierten vor allem in den USA aber auch einige in weiteren 90 Ländern – Tendenz könnte steigend sein.

Um die Zahl der erfolgreich infizierten Konten zu erhöhen, kaufte er sogar Netzwerkverkehr von anderen Cyberkriminellen. Nicht nur Geld stiehlt „Soldier“ von diesen Konten, sondern auch die sicherheitsrelevanten Zugangsdaten der Nutzer.

Trend Micro hat die IP-Adressen der Opfer vom SpyEye Command & Control Server ausgewertet, um diese den entsprechenden Netzwerken zuzuordnen. Das Ergebnis: Eine Vielzahl großer Organisationen und US-amerikanischer internationaler Unternehmen in den unterschiedlichsten Branchen gehören zu den Opfern. Doch gehen die Sicherheitsforscher davon aus, dass ursprünglich nicht diese Unternehmen das Ziel der Angriffe waren, sondern dass dies lediglich in Folge der kompromittierten Endanwender-Konten zustande kam. Bots werden routinemäßig an weitere Cyberkriminelle verkauft, die andere Datendiebstähle durchführen, und dadurch werden diese Netzwerke anfällig für weitere Infektionen und für möglichen Betrug.

Zu den IP-Adressen, die Trend Micro fand, gehören auch solche von US-Behörden (lokale oder bundesstaatliche), des Militärs, von Bildungs- und Forschungseinrichtungen, Banken, Flughäfen und Technologie- sowie Automobilunternehmen.

„Soldiers“ Botnetz konnte zwischen April und Juni dieses Jahres etwa 25.394 Systeme infizieren. SpyEye ist speziell auf Windows-Systeme ausgerichtet, wobei  Windows XP-Computer 57 Prozent der infizierten Systeme ausmachen. Trotz der Verbesserungen in Windows 7 in puncto Sicherheit betrug die Zahl dieser infizierten Systeme fast 4.500.

Bereits im Frühjahr waren laut Sicherheitsforscher viele der Funktionen der Zeus-Malware in Banking-Schädling SpyEye überführt wurden. Seither haben die Autoren vor allem die Verschleierungsmöglichkeiten der Malware verbessert. Obwohl als Bank- Trojaner bekannt, ist SpyEye ist in der Lage, auch alle Arten von Zugangsdaten zu stehlen. Trend Micro hat unter anderem auch viele Zugangsdaten für Facebook gefunden.

Trend Micro ist gerade dabei, die Opfer über die Erkenntnisse zu informieren. Trend Micro-Kunden sind über das Smart Protection Network vor den Angriffen geschützt, denn der Web Reputation Service verhindert den Zugriff auf betroffene Websites, auch über soziale Netzwerke wie Facebook.

von Loucif Kharouni, Senior Threat Researcher
Veröffentlicht in Alerts / Sicherheitsanalysen
Mittwoch, den 14. September 2011 um 08:19 Uhr

SpyEye Spitmo für Android entdeckt

Trusteer berichtet, dass eine Android Variante Spitmo (SpyEye für Mobiles) entdeckt wurde.

Die Infektionsmethode erfolgt analog wie bei der Zeus Mitmo und SpyEye Spitmos M alware Familie.

Infizierte Rechner injizieren eine Nachricht beim Online Banking an den User, dass er folgende Software auf sein Smartphone installieren muss. Falls der User der Aufforderung folgt und dadurch  Spitmo auf dem Handy installiert wird, kann der SpyEye Angreifer alle einkommenden SMS überwachen und somit gerade diem mTAN Authentifizierungsnachrichten von der Bank auslesen.

F-Secure_DriodOS_Spitmo

Die großflächige Umstellung vieler Banken von iTAN auf mTAN (die TAN wird via SMS an das Smartphone des Kunden gesendet) und die dabei bestehende Unsicherheit bei den Bankkunden, hilft den Angreifern diese Methode erfolgreich umzusetzen.

Quelle: Trusteer: First SpyEye Attack on Android Mobile Platform now in the Wild
Veröffentlicht in Alerts / Sicherheitsanalysen
Beim M alware-Versand hat das eleven Research-Team starke Wellen des Banking-Trojaners SpyEye/Zeus beobachtet. Wie bereits berichtet ist er in verschiedenen Varianten unterwegs. Vom eleven Partner AVIRA werden diese Varianten als Crypt.XPack und Crypt.ZPack erkannt, beide haben einen Anteil von rund 90 Prozent der Kategrorie dangerous.virus während er letzten sieben Tage. SpyEye/Zeus entstand aus dem Zusammenschluss der Trojaner Zeus und SpyEye und wurde erstmals zu Beginn dieses Jahres beobachtet.

Die aktuellen E-Mails geben vor, private Nacktbilder zu enthalten und haben Betreffzeilen wie „my naked pic is attached“ oder „naked pictures of me“. Mitgeschickt wird eine entsprechende benannte Datei, die den Trojaner enthält. Die Schadfunktionen des Tojaners zielen auf Online-Banking-Geschäfte ab.

Nach letzten Erkenntnissen von IT-Sicherheitsexperten enthält er eine Routine, die versucht, das als besonders sicher geltende mTAN-Verfahren für Online-Bankgeschäfte auszuhebeln. SpyEye/Zeus erkennt den Aufruf einer Bankseite und versucht den Anwender zum Download eines angeblichen Sicherheitszertifikats auf sein Mobiltelefon zu verleiten. Der Anwender soll seine Ruf- und die IMSI-Nummer seines Telefons angeben. Danach können die Kriminellen die mTANs der Bank mitlesen. Auf dem Computer wird ein Programm installiert, welches mit der abgefangenen mTAN die gefälschte Transaktion vornimmt. Diese ist in wenigen Sekunden abgewickelt. Der Bankkunde bekommt danach wahrscheinlich nur eine Fehlermeldung zu sehen.

Trojaner: Eine kurze Geschichte von Zeus und SpyEye

Im Gegensatz zum Trojaner Zeus ist SpyEye erst kurze Zeit im Netz unterwegs. Erstmals gesichtet wurde er im Oktober 2010. SpyEye besitzt die gleichen Schadfunktionen wie Zeus, wird also zum Ausspähen von Bankdaten verwendet. Als Besonderheit brachte SpyEye die Funktion zum Ausschalten des konkurrierenden Trojaners Zeus mit. Dieser wurde bereits sehr lange und erfolgreich per Zeus-Botnet verteilt. Das Zeus-Botnet wurde erstmals 2007 bemerkt, zu größerer Verbreitung kam es 2009. Nach wenigen Monaten (Februar 2011) wurde die Vereinigung beider Trojaner bekannt. Der Quellcode von Zeus wurde angeblich für 100.000 US$ zum Kauf angeboten. Mittlerweile ist der Quellcode von Zeus frei erhältlich.

SpyEyeZeus – Malware mit erweiterter Funktionalität


SpyEye-User können nun also auf das umfangreiche Netz der Command&Control-Server des Zeus-Botnets zugreifen. Darüber hinaus wurde weiter an der Erweiterung der Funktionen der Schadsoftware selbst gearbeitet. Auch die Nutzer weniger verbreiteter Browser wie Google Chrome oder Opera sind nun in Gefahr. Um den Kriminellen die Arbeit zu erleichtern, filtert SpyEye/Zeus die aufgezeichneten Daten. Übermittelt werden dann nur noch die relevanten Banking-Daten. Der bekannte IT-Sicherheitsexperte Brian Krebs sieht zunächst kein weiteres Wachstum des Zeus-Botnets. Seiner Meinung nach wird jedoch gerade die freie Verfügbarkeit des ZeusCrimeKits die Entwicklung neuer Schadsoftware beflügeln: „My sense is that the only potential danger from the release of the ZeuS source code is that more advanced coders could use it to improve their current malware offerings.“

eleven Research-Team
Veröffentlicht in Alerts / Sicherheitsanalysen
Mittwoch, den 09. März 2011 um 09:37 Uhr

Norman identifiziert neue Online Banking SpyEye-Variante

- Auf Login-Felder beim Online-Banking spezialisiert - Bedrohung für Nutzer von Online-Banking bei Geldinstituten weltweit-
Düsseldorf – Der norwegische Security-Spezialist Norman hat eine Variante des Online-Banking-Trojaners SpyEye identifiziert. SpyEye wird über manipulierte Webseiten verbreitet und erst dann aktiv, wenn der Anwender eine Online-Banking-Seite aufruft. Der neue Trojaner greift ausschließlich die Login-Felder von Bank-Applikationen auf echten Webseiten an, stiehlt Login-Angaben und Passwörter und transferiert Geldbeträge auf Konten von Cyberkriminellen. Die neue SpyEye-Variante ist Anfang Februar bei Banken in Norwegen aufgetreten, hat aber auch Geldinstitute in anderen europäischen Ländern und Asien angegriffen. Nach Angaben von Norman könnte der Trojaner weiter modifiziert und bei jeder beliebigen Bank weltweit eingesetzt werden.

Weitere Details zu SpyEye gibt es unter http://www.norman.com/security_center/virus_description_archive/w32_spyeye/de

SpyEye erfasst Tastatureingaben, darunter die Online-Zugangsdaten von Bankkonten, und bindet befallene PCs in ein Botnetz ein. Seine Gefährlichkeit beruht darauf, dass er laufende Online-Banking-Prozesse manipulieren und Überweisungen umleiten kann. Dafür überwacht der Trojaner den Zugriff des Browsers auf die Webseite bestimmter Geldinstitute. Je nach dem Authentifizierungsmechanismus, den die Bank-Anwendung verlangt, fügt der Trojaner spontan HTML-Code in die Seite ein, die auf dem Bildschirm des Nutzers geöffnet ist. Andere Versionen blenden auf der normalen Login-Seite zusätzliche Abfrage-Felder ein, über die dem Nutzer weitere für Transaktionen benötigte Angaben entlockt werden sollen.

Schutz vor SpyEye und Säuberung befallener PCs

Der Trojaner ändert sich fortlaufend und kann so der Entdeckung durch Virenschutz-Produkte entgehen. Nutzer von Online-Banking erfahren häufig erst durch einen Anruf ihrer Bank, dass ihr PC mit SpyEye infiziert ist. Seine Fähigkeit, sich zu tarnen und zu verändern, macht es außerdem schwierig, ihn von befallenen PCs zu entfernen. Die aktuellen Versionen von Normans Virenschutz-Lösungen für Endanwender und für den Business-Einsatz erkennen SpyEye zuverlässig und verhindern eine Infektion. Darüber hinaus ermöglicht Norman Malware Cleaner die Säuberung befallener PCs. Das Reinigungs-Tool scannt den Rechner auf Viren und Rootkits und entfernt sie von Festplatte, ActiveX-Komponenten und Browser-Helper-Objekten. Infizierte Prozesse werden vernichtet, durch Malware erstellte Referenzen in Host-Dateien sowie Windows- Firewall-Regeln für bösartige Programme entfernt und die korrekten Registrierungswerte wieder hergestellt. Die Software unterstützt die Betriebssysteme Windows 98, Me, NT, 2000, XP, 2003, Vista, 2008 und 7.

Norman Malware Cleaner steht unter http://www.norman.com/support/support_tools/de kostenlos zur Verfügung.
Veröffentlicht in Alerts / Sicherheitsanalysen
Dienstag, den 01. März 2011 um 16:40 Uhr

RSA Online Fraud Report Februar 2011

Der Krieg zwischen dem Zeus und dem SpyEye T-rojaner - wurde hier der erste Merger im Cybercrime Bereich vollzogen?

Das RSA Online Fraud Ressource Center hat den Online Fraud Report für den Monat Februar 2011 veröffentlicht. Das Hauptthema dieses aktuellen Reports ist der Krieg zwischen den beiden Trojanern Zeus und SpyEye. Die SpyEye Entwickler haben in den letzten Monaten massiv an einer weiteren Verbesserung und kontinuierlichen Updates ihres Trojaner Toolkits gearbeitet und dem bisher im Cybercrime Umfeld quasi marktführenden Zeus Trojaner Toolkit den Krieg erklärt. Ist es schlussendlich hier zu einer feindlichen Übernahme oder zum ersten Merger im Cybercrime Umfeld gekommen? Im aktuellen Report erhalten Sie einen Einblick in diesen Entwicklungskrieg und natürlich rückblickend in die aktuellen Cybercrime Ereignisse des Monats Januar 2011.

Sie können den aktuellen RSA Online Fraud Report hier über die Webseite von RSA (der Security Division von EMC) abrufen. Natürlich finden Sie eine Kopie des Reports neben vielen weiteren interessanten Studien und Berichten auch im geschützten Downloadbereich des Info-Point-Security Portals (für die kostenfreie Nutzung des geschützten Bereiches ist eine einmalige Registrierung erforderlich. Ihre Registrierungsdaten werden NICHT für Marketingzwecke verwendet).

Quelle: RSA
Veröffentlicht in Alerts / Sicherheitsanalysen
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6