Donnerstag, April 24, 2014
Text Size
++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++  ARCHIV  ++++++
Alerts / Sicherheitswarnungen
Dienstag, den 05. November 2013 um 17:49 Uhr

Android-Trojaner phisht nach Finanzdaten

„Svpeng“ attackiert russische Bankkunden und könnte sich bald auch in Deutschland verbreiten

Moskau/lngolstadt, 5. November 2013 - Kaspersky Lab hat eine neue gefährliche Funktionalität beim aktuell aktiven Android- Trojaner „Svpeng“ entdeckt [1]. Das mobile Schadprogramm hat es via Phishing auf Finanzdaten abgesehen. „Svpeng“ attackiert derzeit Kunden russischer Banken. Allerdings könnte dies nur ein Testballon für weitere Einsatzgebiete sein. Denn der Trojaner überprüft nach dem Neustart eines infizierten Smartphones die im Betriebssystem eingestellte Sprache und scheint demnach an Anwendern in Deutschland, den USA, der Ukraine und Weißrussland interessiert zu sein.

Der mobile Schädling, den Kaspersky Lab unter dem Namen „Trojan-SMS.AndroidOS.Svpeng“ führt, tauchte bereits vor drei Monaten auf. Kaspersky Lab kennt derzeit 50 Modifikationen von „Svpeng“.
Kaspersky Internet Security for Android konnte bis zum heutigen Zeitpunkt 900 versuchte Installationen des Trojaners verhindern.

„Svpeng“ verbreitet sich via SMS- Spam und verwendet das Android-Standard-Tool Device Administrator, um nicht von mobilen Antivirus-Produkten entfernt werden zu können. Der Trojaner hindert infizierte Nutzer daran, den Device Administrator zu deaktivieren, indem er eine zuvor unbekannte Schwachstelle in Android ausnutzt. Über die selbe Methode verhindert „Svpeng“, dass das Smartphone auf die Werkseinstellungen zurückgesetzt werden kann. Kaspersky Internet Security for Android ist jedoch in der Lage, den Trojaner vom betroffenen Gerät zu entfernen.

„Svpeng“ stiehlt Banking- Account- und Kreditkartendaten

Ist ein Smartphone infiziert, kann „Svpeng“ die folgenden Aktionen ausführen, um sensible Daten zu stehlen:
  • Öffnen die Kunden einer der größten Banken Russlands ihre Bank-App, ersetzt der Trojaner das geöffnete Fenster mit einem eigenen Phishing-Fenster, um Login-Daten und das Passwort für das Online-Banking-System des Nutzers zu stehlen. Die Daten werden dann direkt an die Cyberkriminellen geschickt.
  • Zudem kann „Svpeng“ über eine ähnliche Methode Kreditkarteinformationen stehlen. Der Trojaner überprüft, ob auf dem Smartphone Google Play aktiv ist. Wenn der infizierte Nutzer das Programm ausführt, wird ihm ein Fenster über dem Google-Play-Fenster angezeigt. Gibt der Nutzer seine Kreditkarteninformationen ein, werden diese direkt an die Cyberkriminellen geschickt.
Was bringen die neuen Sicherheits-Features bei Android 4.4?

Mit Android 4.4 – der jüngsten Version des Android-Betriebssystems – wurden zwar neue Sicherheitsfunktionen mitgeliefert, die unter anderem bei der Verwendung digitaler Zertifikate so genannte „Man-in-the-Middle-Attacken“ besser identifizieren und das Rooten von Android-Smartphones erschweren.

Laut Kaspersky Lab liefern die neuen Sicherheitsfunktionen in Android 4.4 allerdings nur eingeschränkt verbesserten Schutz vor mobilen Schädlingen. Denn die meisten Malware-Infizierungen bei Android-Geräten erfolgen nach wie vor über mit Schadcode präparierte Apps, die von den Nutzern in nicht offiziellen App-Stores von Drittanbietern heruntergeladen werden.

98 Prozent der mobilen Schädlinge attackieren Android
Kaspersky Lab kennt derzeit 750 mobile Malware-Familien und insgesamt 143.075 Modifikationen mobiler Schädlinge. Fast 98 Prozent der mobilen Schädlinge zielen auf Android.

Ein englischer Blogbeitrag zum Thema „Speng“ kann unter http://www.securelist.com/en/blog/8138/The_Android_Trojan_Svpeng_now_capable_of_mobile_phishing
abgerufen werden.
Veröffentlicht in Alerts / Sicherheitsanalysen
Montag, den 14. Oktober 2013 um 10:18 Uhr

eleven warnt: Falsche “SEPA”-E-Mail mit Trojaner

SEPA-Umstellung wird von _Trojaner-Versendern ausgenutzt

In den letzten Wochen häufen sich die Briefe oder E-Mails von Firmen, die eine Einzugsermächtigung von ihren Kunden besitzen. Der Grund dafür ist die Umstellung auf das sogenannte SEPA-Verfahren. Bis zum Februar nächsten Jahres muss alles erledigt sein. Das Eleven Research-Team entdeckte gestern _Spam-E-Mails mit der Betreffzeile: „Kundeninformation“ und dem Kürzel SEPA in der Absender-Adresse.

Falsche

Falsche "SEPA"-E-Mail mit _Trojaner im Anhang.

Die E-Mails enthalten nur einen Satz, der auf wichtige Informationen zu SEPA verweist, die sich angeblich im Anhang befinden. Dieser ist wiederum mit Kundeninformation.pdf.zip benannt.

Anstatt eines PDF-Dokuments enthält der Anhang jedoch einen Trojaner, der von Commtouch als W32/Trojan.SHTI-4676 klassifiziert wurde. Der Trojaner wird auch unter dem Namen “Schulden INVOICE” und weiteren verbreitet. Weitere Informationen finden sich unter virustotal.com.
Lokalisierte Trojaner-E-Mails bleiben Hauptgefahr

Neben den beinahe leeren E-Mails, die vorgeben MMS, SMS oder Bilder im Anhang zu haben, sind Trojaner-Mails mit lokalem Bezug aktuell eine der häufigsten Methoden Malware auszuliefern. Das Eleven Research-Team beobachtet, dass zunehmend aktuelle Ereignisse als Vehikel zum Malware-Transport genutzt werden. Für alle Fragen zu SEPA steht eine eigens eingerichtete Website zur Verfügung.
Veröffentlicht in Alerts / Sicherheitsanalysen
Die Wellen der speziell an deutsche Empfänger gerichteten _Trojaner-E-Mails gehen weiter. Das Eleven Research-Team entdeckte in den vergangenen 24 Stunden E-Mails mit dem Betreff: „Ihre Bestellung finden Sie im Anhang. Zalando.de“ und „Zalando.de – Ihre Bestellung vom 11.12.2013“ angeblicher Absender ist Diese E-Mail-Adresse ist gegen Spambots geschützt! JavaScript muss aktiviert werden, damit sie angezeigt werden kann. . Die E-Mails selbst sind einfach und recht kurz:

Sehr geehrte Kundin! Sehr geehrter Kunde!

Ihre Bestellung finden Sie im Anhang.
Vielen Dank für Ihren Einkau
f

Ihr Zalando-Team

Trojaner im Anhang"><strong>Falsche Zalando-Bestellung mit <a style= Trojaner im Anhang" width="500" height="300" />
Falsche Zalando-Bestellung mit Trojaner im Anhang.

Zalando ist einer der bekanntesten Webshops und so dürfte die Wahrscheinlichkeit groß sein, dass man unter den Empfängern Zalando-Kunden findet. Vergessene Bestellung oder fehlgeleitete? Der nächste Klick dürfte nur noch Formsache sein, führt jedoch zur Schadsoftware. Der Anhang Bestellung.zip enthält eine Zalando-Bestellung.exe, die auf Windowssystemen angreift. Die Schadsoftware wurde als Trojaner W32/Trojan.TOPZ-6677 identifiziert.
Flugladen.de ebenfalls betroffen

Eine weitere starke Outbreakwelle erreichte die Eleven Server am heutigen Vormittag. Dabei wurde wieder eine komplette Bestellbestätigung kopiert. Die Betreffzeile lautet: „E-Ticket Intl. Apt. Referenznummer 0703103238“.

<strong>Falsche Flugdaten Mail mit Trojaner im Anhang</strong>
Auch die falsche Buchungsbestätigung von flugladen.de hat einen Trojaner angehängt.

Die Versender erzeugen so orthographisch und grammatisch korrekte Texte und die enthaltenen URLs besitzen eine gute Reputation. Im aktuellen Fall führen diese Links zum Download des Adobe Readers und zu FAQs des Frankfurter Flughafen. Einzig und allein der Anhang enthält die Schadsoftware. Wir der Anhang entpackt und mit Doppelklick geöffnet, so ist der Trojaner installiert. Im AV-Portal virustotal.com wird der Schädling erst von drei der 45 Virenscannern erkannt. Die Hauptverbreiter des Trojaners sitzen diesmal in der Türkei, Korea und Singapur. Die Betreiber von flugladen.de haben bereits reagiert und warnen vor den falschen E-Mails.

Lokalisierter Spam- und Malware-Versand

Rund 90 Prozent der verseuchten E-Mails kommen von georgischen IP-Adressen, einige wenige auch aus Spanien, Deutschland und den USA. Nachdem vor einige Wochen bereits das TRUSTED SHOPS Gütesiegel als Köder verwendet wurde, ist dies bereits die zweite große deutsche Marke deren Name missbraucht wird um Schadsoftware zu versenden. Das Eleven Research-Team sieht den Trend des lokalisierten Malware und Spam-Versands bestätigt. Spam- und Viren-E-Mails in deutscher Sprache und mit Bezügen zu deutschen Unternehmen machen es dem Empfänger zunehmende schwerer seriöse E-Mails von Spam- und Malware zu unterscheiden.
Veröffentlicht in Alerts / Sicherheitsanalysen
Mittwoch, den 20. Februar 2013 um 10:03 Uhr

Malware Kampagne nutzt Trusted Shops Gütesiegel

Am Montag, den 18. Februar registrierte das Eleven Research-Team einen starken Ausbruch unbekannter Malware. Gemeinsames Merkmal aller E-Mails war die Erwähnung des Gütesiegels Trusted Shops. Die Betreffzeilen lauteten „Zahlungsbestätigung für Käuferschutz TS369C-2172146666188. Trusted Shops Deutschland GmbH“ oder es wurde direkt ein Online-Shop erwähnt, beispielsweise: „Käuferschutz TS689C-5047642656087 zur Bestellung bei Smartbuyglasses.de“. Die E-Mail selbst enthielt in den untersuchten Samples nur eine Textzeile wie „Ihre Rechnung finden Sie in unserer Online-Rechnungsbeilage als ZIP-Datei.“ oder ähnlich.
Trojaner-E-Mail mit Erwähnung von Trusted Shops

Trojaner-E-Mail mit Erwähnung von Trusted Shops

Die Anhänge sind häufig mit Online_Bestellung.exe benannt. Sie enthalten einen Trojaner der von AVIRA mit Strictor.EB benannt wurde, Commtouch benennt ihn mit 3.ETZ. Die Schadsoftware ist auf Windows-Systemen lauffähig, weitere Informationen finden sich bei Virustotal.com. Der Trojaner stammt fast ausschließlich von deutschen IP-Adressen.

Besonders auffällig an allen E-Mails ist die Verwendung des in Deutschland weit verbreiteten Trusted Shops Gütesiegels, das auf vielen Interseiten verwendet wird.

Nach eigenen Angaben ist „ … Trusted Shops mit der Kombination aus Zertifizierung, Gütesiegel, Käuferschutz und Kundenservice eine Lösung zum beidseitigen Nutzen der Shopbetreiber wie der Verbraucher.“ In diesem Falle reicht die bloße Erwähnung des Namens bereits aus, um eine erste Hürde zu überwinden, denn der Empfänger muss die E-Mail öffnen und lesen. Klickt er dann noch auf den Anhang, um die angebliche Rechnung zu öffnen, ist der Rechner infiziert.
Dennoch weisen die Trojaner-E-Mails bekannte Merkmale auf: Keine direkte Anrede und auch keine individuellen Bezüge wie Rechnungsnummern, Kundennummern oder ähnliches. In einigen Fällen wurden die deutschen Umlaute nicht korrekt dargestellt.
Lokalisierung von Schadsoftware

Häufig wies das Eleven Research-Team auf die Lokalisierung von Spam- und Malware-E-Mails hin. Dies bedeutet vor allem auch landesspezifische Eigenarten zu kennen, wie in diesem Falle das Trusted Shops Gütesiegel. Weitere landesspezifische Eigenarten sind Termine und Veranstaltungen, die in den Medien des jeweiligen Landes meist im Voraus angekündigt werden – so gibt es bereits eine gewisse Aufmerksamkeit für das Thema.

Zwei Tipps zum Umgang mit verdächtigen E-Mails:

1. Lassen Sie sich immer den kompletten Dateinamen inklusive Dateiendung anzeigen. Für MS Windows finden Sie diese Option im Windows-Explorer unter dem Punkt Organisieren > Ordner- und Suchoptionen > Ansicht. Unter dem Punkt  Erweiterungen bei bekannten Dateiendungen ausblenden darf kein Haken sein.
Bekannte Dateiendungen anzeigen bzw. nicht ausblenden

Bekannte Dateiendungen anzeigen bzw. nicht ausblenden

2. Wenn Sie Rechnungen von bekannten Dienstleistern oder Shops erhalten aber unsicher sind, weil Ihnen die E-Mail verdächtig vorkommt, nehmen Sie den Umweg über die Website des jeweiligen Anbieters. In fast allen Fällen finden Sie im Kundenbereich auch Ihre aktuellen Rechnungen.

Diese Malware-Kampagne passt zum Trend, den das Eleven Research-Team in letzter Zeit verstärkt beobachten konnte: Der Eleven E-Mail Security Report Februar beispielsweise zeigte, dass jede sechzigste E-Mail im Januar 2013 Schadsoftware enthielt.
Veröffentlicht in Alerts / Sicherheitsanalysen
Dienstag, den 08. Januar 2013 um 08:40 Uhr

ENISA Bericht über die 10 größten Bedrohungen im Internet

Die Europäische Agentur für Netz- und Informationssicherheit ENISA hat die erste und umfangreichste Analyse über Gefahren im Internet veröffentlicht. Sie umfasst mehr als 120 Gefahrenberichte aus den Jahren 2011 und 2012. Die Untersuchung identifiziert die größten Gefahren und ihre Tendenzen und listet sie auf. Das Ergebnis: Drive-by-Exploits sind zur größten Bedrohung im Internet geworden.

Der Gefahrenreport von ENISA fasst 120 aktuelle Berichte der Sicherheitsindustrie, von Kompetenznetzwerken, Standardisierungsgremien und anderen unabhängigen Akteuren aus den Jahren 2011 und 2012 zusammen. Der Bericht ist somit der weltweit umfangreichste, der derzeit verfügbar ist. Der Report bietet einen unabhängigen Überblick über beobachtete Bedrohungen und Akteure, von denen Bedrohungen ausgehen, sowie über die aktuellen größten Gefahren. Er zeigt außerdem auf, welche Bedrohungen gerade aufkommen. Darüber hinaus analysiert der Gefahrenreport den „Cyber-Feind“, identifiziert die zehn größten Gefahren (von insgesamt 16) in aufkommenden Technologiebereichen und listet diese auf. Die berücksichtigten Bereiche sind: mobile Computer, Social Media/Technologie, kritische Infrastrukturen, vertrauliche Infrastrukturen, Clouds und Big Data.

Die zehn größten identifizierten Bedrohungen sind:
  1. Drive-by-Exploits (bösartige Codes, die Schwachstellen des Webbrowsers ausnutzen)
  2. Würmer/ Trojaner
  3. Angriffe von injizierten Codes
  4. Exploit-Kits (anwendungsbereite Software-Pakete, die Cyberkriminalität automatisieren)
  5. Botnets (gekaperte Computer, die ferngesteuert werden)
  6. (verteilte) Dienstverweigerungsangriffe ( DDos-/ DoS-Attacken)
  7. Phishing (betrügerische Mails und Websites)
  8. Gefährdung von vertraulichen Informationen (Datenpannen)
  9. Rogue-Software/ Scareware
  10. Spam
Veröffentlicht in Alerts / Sicherheitsanalysen
Freitag, den 16. November 2012 um 11:07 Uhr

LKA Berlin warnt vor Onlinebanking-Betrug bei mTAN-Verfahren

In den letzten Wochen sind beim Landeskriminalamt Berlin Strafanzeigen eingegangen, bei denen Bankkunden, die am SMS-TAN-/mTAN-Verfahren teilnehmen, Opfer von betrügerischen Geldabbuchungen geworden sind.
In allen Fällen wurde die über SMS übermittelte mTAN für das Online-Banking abgefangen bzw. umgeleitet. Betroffen waren bislang Bankkunden, die ein Smartphone mit Android-Betriebssystem nutzen.

Die Täter spähen mittels eines Schadprogramms ( Trojaner), das auf dem Computer des Bankkunden unerkannt installiert wurde, die Kontoverbindung (Kontonummer und Zugangs-PIN) aus und erreichen so den Zugriff auf das Onlinebankkonto. Weiterhin wird durch die Schadsoftware dem Bankkunden ein Fenster mit der Aufforderung zu einem zwingend notwendigen Sicherheitsupdate für das mTAN-Verfahren angezeigt, für das der Bankkunde seine Handynummer und das Handymodell angeben soll. Folgt der Bankkunde der Aufforderung und gibt die „erforderlichen“ Daten ein, wird eine aktive SMS mit einem Link zum Sicherheitsupdate auf sein Smartphone geschickt, das er mit „Bestätigen“ ausführen muss.

Sofern das vermeintliche Sicherheitsupdate ausgeführt wurde, installiert sich eine Schadsoftware auf dem Smartphone, durch die die Täter Zugriff auf die an das Smartphone geschickten SMS, so auch die mTAN, die per SMS übermittelt wird, bekommen. Ab sofort werden alle SMS, die eine mTAN enthalten, vom Bankkunden unbemerkt an ein anderes Handy (Täterhandy) umgeleitet.

Durch die Täter können nun Überweisungen vom Konto des Bankkunden in Auftrag gegeben werden, die dann per mTAN, die an das Täterhandy umgeleitet werden, autorisiert werden. Auf diese Weise wird das Konto vollständig (auch incl. des verfügbaren Überziehungsrahmens) geleert. Eine Rückbuchung ist nicht möglich.

Die Polizei rät:

Wenn Sie Onlinebankkunde sind und über Ihren PC eine vermeintliche Aufforderung Ihrer Bank zu einem Sicherheitsupdate für Ihr Handy bekommen, folgen Sie dieser keinesfalls, sondern erkundigen Sie sich bitte sofort bei ihrer Bank, ob diese Aufforderung zum Sicherheitsupdate tatsächlich von Ihrer Bank stammt. Dies gilt im Übrigen auch für sämtliche, per Mail versandte, scheinbar von Bank- und Kreditinstituten o. ä. stammende Anfragen.

Darüber hinaus verringert eine aktuelle Virenschutzsoftware (auf PC und Smartphone), die Nutzung der Firewall sowie ein vorsichtiges Besuchen von Internetseiten die Gefahr der Infizierung des eigenen Rechners mit Schadsoftware.
Veröffentlicht in Alerts / Sicherheitsanalysen
Dienstag, den 06. November 2012 um 16:51 Uhr

Kaspersky Report: Fast 80 Prozent SMS- oder mobile Trojaner

Mobile Schädlinge im dritten Quartal 2012: Fast 80 Prozent SMS- oder mobile _Trojaner -

Eine aktuelle Kaspersky-Lab-Analyse mobiler Schädlinge im dritten Quartal 2012 zeigt, dass Cyberkriminelle Süßes bevorzugen: die Android-Versionen Gingerbread (2.3.6) und Ice Cream Sandwich (4.0.4) werden am häufigsten angegriffen.

Insgesamt entdeckten die Kaspersky-Lab-Experten zwischen Juli und September diesen Jahres mehr als 9.000 neue Malware-Modifikationen für Android. Das sind zwar 5.000 weniger als im vorausgegangenen Quartal, aber immer noch 3.500 mehr als im ersten Quartal 2012. Interessant dabei ist, dass zwei bestimmte Versionen von Android stark unter Beschuss waren. Auf Gingerbread (2.3.6) entfielen 28 Prozent und auf Ice Cream Sandwich (4.0.4) 22 Prozent der von Kaspersky Lab verhinderten Angriffsversuche.

„Obwohl Gingerbread bereits im September 2011 auf den Markt kam, ist es bei mobilen Anwendern auch heute noch sehr beliebt. Das lockt auch Cyberkriminelle an“, so Yuri Namestnikov, Senior Malware Analyst bei Kaspersky Lab. „Ice Cream Sandwich ist bei Nutzern und daher auch bei Cyberkriminellen sehr populär, weil es als neueres mobiles Betriebssystem besser für Online-Aktivitäten geeignet ist. Leider landen viele Anwender beim mobilen Surfen am Ende dann auf infizierten Webseiten.“

Das trojanische Pferd für das Smartphone

Ein Blick auf die Schadprogrammarten zeigt, dass mehr als die Hälfte (57 Prozent) aller mobilen Schädlinge SMS- Trojaner sind. Diese Trojaner versenden über die infizierten Smartphones SMS-Nachrichten an kostenpflichtige Nummern. Allzu oft bemerken die Besitzer das erst, wenn sie am Monatsende aufmerksam die Telefonrechnung studieren. Auf Platz zwei mit 22 Prozent liegen mobile Trojaner, über die Cyberkriminelle zum Beispiel sensible Daten abgreifen oder über Steuerungs-Server Befehle erteilen können.

Von allen mobilen Schädlingsfamilien war OpFake im dritten Quartal am weitesten verbreitet. Das entspricht mehr als 38 Prozent aller entdeckten Schadprogramme für Android. Die Vertreter dieser Familie tarnen sich als der mobile Browser Opera Mini. Jedes fünfte Android-Schadprogramm (über 20 Prozent) gehört zur sogenannten Plangton-Familie. Dabei handelt es sich um multifunktional einsetzbare Trojaner, die nach der Installation Informationen sammeln und diese dann an die Steuerungsserver der Cyberkriminellen schicken beziehungsweise auf bestimmte Befehle der Server warten. Platz drei belegt die Familie FakeInst mit 17 Prozent aller Android-Schadprogramme im dritten Quartal.
Die FakeInst-Vertreter geben sich als Installationsdateien populärer Programme aus. Sowohl Plangton als auch FakeInst werden über alternative App-Stores verbreitet.

Der komplette deutsche Malware-Report für das dritte Quartal 2012 ist unter http://www.viruslist.com/de/analysis?pubid=200883795 verfügbar.
Veröffentlicht in Alerts / Sicherheitsanalysen
Montag, den 08. Oktober 2012 um 12:32 Uhr

DarkAngel-Trojaner tarnt sich als Panda Cloud Antivirus

TrojanDarkAngel Panda Security hat einen neuen _Trojaner im Netz entdeckt, der vertrauliche Informationen von betroffenen User-PCs, auf denen er sich installiert, mitprotokolliert, um Passwörter, Daten zu Online-Banking-Accounts, etc. zu entwenden. Soweit nichts Ungewöhnliches, erscheinen doch täglich ca. 73.000 neue _Malware-Exemplare, von denen der Hauptteil Trojaner sind.

Die Besonderheit an diesem Trojaner ist, dass er sich als Sicherheitslösung tarnt, um Computer-Nutzer dazu zu verleiten, ihn möglichst unbemerkt auf ihr System zu laden. Und zwar genauer gesagt, als das Antivirenprogramm „Panda Cloud Antivirus“ von Panda Security. Um den Anschein zu erwecken, es handle sich tatsächlich um die Cloud basierte Panda Sicherheitslösung, die allen Benutzern kostenfrei zur Verfügung steht, ist ein Pandabär als Icon der schädlichen .exe-Datei hinterlegt. Sobald der Trojaner ausgeführt wird, zeichnet er alle Eingaben des Benutzers auf und versendet diese an einen externen Server. Zusätzlich aktiviert er sich jedes Mal aufs Neue, wenn der Computer neu gestartet wird.

Panda Cloud Antivirus wird von Millionen von Benutzern weltweit zum Schutz ihrer Computer genutzt. Daher möchte Panda Security alle Computer-Nutzer vor DarkAngel warnen und darauf hinweisen, „Panda Cloud Antivirus“ nur über die offizielle Webseite www.pandacloudantivirus.com herunterzuladen, um nicht Opfer von Internet-Betrügern zu werden.

Um Seriosität vorzutäuschen und ihre Schadprogramme so breit wie möglich streuen zu können, wählen Programmierer von Rogueware (gefälschte Antivirenlösungen) Bezeichnungen für ihre Schadprogramme, die leicht mit etablierten Firmen und Produkten verwechselt werden können. Nachdem schon im vergangenen Jahr die Namensähnlichkeit zur populären Sicherheitslösung „Panda Cloud Antivirus“ zur Verbreitung der gefälschten Rogueware-Muster „Open Cloud Antivirus“ und „Cloud AV 2012“ ausgenutzt wurde, ist DarkAngel ein weiteres Malware-Muster, das nach der gleichen Masche konzipiert wurde.
Veröffentlicht in Alerts / Sicherheitsanalysen
Donnerstag, den 13. September 2012 um 09:10 Uhr

Kaspersky Analyse: Geografie der Cyberverbrechen

Jeder dritte Rechner in Westeuropa und Nordamerika im ersten Halbjahr 2012 attackiert - Cyberkriminelle nutzen deutsche Infrastruktur und greifen am häufigsten Italien und Spanien an

Mehr als ein Drittel (33,4 Prozent) der Internetnutzer in Westeuropa und Nordamerika wurden im ersten Halbjahr 2012 mindestens einmal beim Internetsurfen attackiert.
Die am häufigsten angegriffenen Rechner stehen in Spanien und Italien.
Dort wurden mehr als 40 Prozent der Computer online attackiert. Die Bedrohungslage in Deutschland, Österreich und der Schweiz ist nicht derart dramatisch. Der deutschsprachige Raum gehört zur mittleren Risikogruppe, bei der zwischen 21 und 40 Prozent der Computer im ersten Halbjahr attackiert wurden. Diese Ergebnisse gehen aus der aktuellen Kaspersky-Lab-Analyse „Geografie der Cyberverbrechen: Westeuropa und Nordamerika“ hervor.

Allerdings ist vor allem Deutschland bei den Cyberkriminellen beliebt, wenn es darum geht, Web-Schädlinge auf Servern zu platzieren. 11,11 Prozent der Schadprogramme werden auf Servern aus Deutschland gehostet.
Lediglich die USA (28,50 Prozent) und die Niederlande (14,75 Prozent) beherbergen mehr Malware auf Servern.

Große Gefahr: Online-Banking- Trojaner

Vor allem in Ländern mit hoher Internetnutzungsdichte identifizierte Kaspersky Lab im ersten Halbjahr 2012 zahlreiche Computer, die mit Schadprogrammen infiziert waren, mit denen Finanzinformationen abgegriffen werden sollten. Speziell in den Ländern Westeuropas und Nordamerikas nutzen eine Vielzahl von Internetanwendern Online-Banking und -Shopping, bezahlen dabei mit Kreditkarten und speichern sensible Zugangsdaten auf ihren Rechnern. Bei genauerer Analyse der weitverbreiteten Online-Banking-Trojaner Sinowal, SpyEye und Zbot (auch ZeuS genannt) sieht man, dass es mehr als 70 Prozent der Sinowal-Attacken, über 40 Prozent der SpyEye-Attacken und circa 25 Prozent der Zbot-Angriffe auf Nutzer aus den oben genannten Region abgesehen haben.

„Länder mit einer hohen Internetversorgung und viel genutzten Online-Banking-Diensten ziehen Cyberkriminelle an. Denn dort können sie ihre immer raffinierteren Technologien einsetzen“, so Yuri Namestnikov, Senior Malware Analyst bei Kaspersky Lab. „Ein gutes Beispiel für solche komplexen Attacken ist die Schädlingsfamilie Zitmo. Zitmo arbeitet mit dem ZeuS-Trojaner zusammen und attackiert Smartphones, wenn Geld via Online-Banking transferiert wird. Die TAN-Nummer wird dann umgehend zu den Cyberkriminellen geschickt, das Zweiwege-Authentifizierungssystem der Banken ausgehebelt.“

Die komplette Analyse „Geografie der Cyberverbrechen:
Westeuropa und Nordamerika“ von Yuri Namestnikov, Senior Malware Analyst bei Kaspersky Lab, ist unter
http://www.viruslist.com/de/analysis?pubid=200883790 verfügbar.
Veröffentlicht in Alerts / Sicherheitsanalysen
So schützen Sie sich vor dem Online-Banking-Überfall
Sie schaffen es ohne größere Verrenkungen zu den Öffnungszeiten in eine Bankfiliale? Herzlichen Glückwunsch, dann haben Sie flexible Arbeitszeiten und leben in einem Ballungsgebiet. Für alle anderen ist für die meisten Bankgeschäfte Online-Banking die flexiblere Lösung. Doch Vorsicht, hier droht Überfallgefahr. Wir verraten, wie Sie Online-Bankgeschäfte sicher führen.

Welche Gefahr fürchten Internet-Nutzer am meisten? Nach einer Umfrage von Kaspersky Lab ist es der Diebstahl von Online-Bankdaten.1 Online-Banking sehen die meisten Nutzer als den sensibelsten Bereich auf Ihrem Computer an; hier wünschen sich 60 Prozent optimalen Schutz. Nach aktuellen Zahlen der europäischen Statistikbehörde Eurostat2 machen schon 37 Prozent der Europäer Online-Banking. Am eifrigsten sind dabei Norweger (85%), aber auch in den Niederlanden (79%), in Schweden (78%) und Dänemark (75%) stehen Online-Banken hoch im Kurs. Konservativer sind da schon die Deutschen (45%), Portugiesen (22%) und Italiener (20%). Am wenigsten Online-Bankgeschäfte wickeln Bulgaren (3%) und Rumänen (4%) ab.

Doch wie hoch ist das Risiko bei Online-Bankgeschäften in der Praxis? Hoch, denn wirft man einen Blick auf die aktuelle Malware-Entwicklung, dann fällt auf, dass es immer wieder neue Tricks gibt, um an Bankdaten von Nutzern zu kommen. Bestes Beispiele ist der nicht totzukriegende Banking- Trojaner Zeus, der über verschiedenste Wege versucht an Bankdaten von Nutzern zu kommen. Doch was kann man als Nutzer tun, sich wieder an die unflexiblen Öffnungszeiten der Bankfilialen gewöhnen? Nein, keine Angst, aber man sollte mit einer Sicherheits-Software wie Kaspersky Internet Security 2013 vorsorgen.

Safe für die Online-Bank

Kaspersky Internet Security 2013 hat eine spezielle Schutzfunktion für das Online-Banking an Bord, die einen großen Schritt mehr Sicherheit bietet. Ruft man mit seinem Browser die Webseite einer Bank auf, dann erkennt das Kaspersky Internet Security. Daraufhin schlägt die Sicherheits-Software vor, diese Bank-Webseite in einer sogenannten Sandbox zu öffnen. Das ist ein geschützter Bereich, der isoliert vom Rest des Systems läuft. Selbst wenn es also einen Schädling gäbe, der sich unerkannt auf dem Computer tummelt, was sehr unwahrscheinlich ist, dann könnte dieser nicht in den geschützten Bereich mit der Bank-Webseite eingreifen. Nutzer führen praktisch gesehen ihre Banktransaktionen in einem Safe aus.

Phishing-Erkennung

Doch auch von anderen Seiten wollen Hacker an die Bankdaten von Kunden. So ist ein großer Teil der Phishing-Mails auf das Ausspionieren von PINs und TANs spezialisiert. Kaspersky Internet Security 2013 integriert deshalb eine leistungsfähige Erkennung, die solche Phishing-Versuche von vornherein blockiert. Das beginnt mit dem Aussortieren von entsprechenden Mails, die den Nutzer auf gefälschte Seiten locken wollen. Außerdem werden Webseiten im Browser blockiert, die sich auf das Abgreifen von Bankzugangsdaten spezialisiert haben.

Mittel gegen Keylogger


Eine weitere fiese Waffe von Hackern sind Keylogger. Sie schneiden alle Tastatureingaben auf einem PC mit und wollen so auch relevante Zugangsdaten zu Online-Banken mitlesen. Kaspersky Internet Security 2013 blockt Keylogger wirksam. Befinden sich bereits Keylogger auf dem PC, dann findet und entfernt das Sicherheits-Programm die Datenspione.

Schutz vor Trojanern

Bei einem Blick in die Top 20 der häufigsten Schädlinge im ersten Quartal 20123,fällt auf, dass dort Trojaner ganz klar den Ton angeben. Ihnen geht es in vielen Fällen um das gezielte Stehlen von Informationen rund um Online-Banking. Doch auch hier ist Kaspersky Internet Security 2013 ein wirksames Heilmittel. Die Software erkennt Trojaner über verschiedene Sicherheitsmechanismen, beispielsweise über Signaturdateien, Heuristiken, verhaltensbasierte Erkennung und via Reputationsabfragen. Der große Vorteil: Kaspersky Internet Security 2013 nutzt diese Kombination aus lokalen Funktionen und erweitertem Schutz aus der Cloud. So kann Kaspersky Internet Security 2013 blitzschnell auf neue Bedrohungen reagieren und schützt Nutzer, egal ob diese Online oder Offline sind.
Veröffentlicht in Datensicherheit
Nach den Erkenntnissen von Kaspersky Lab wurden über 3.000 Computer in den vergangenen Tagen vom Schadprogramm Dorifel infiziert. Der Virus, wohl ursprünglich über E-Mail-Anhänge aktiviert, hat sich rasch in den Niederlanden ausgebreitet und bahnt sich seinen Weg über Dänemark, Deutschland, die Philippinen und die USA. In den Niederlanden hat er bis zum heutigen Freitag über 3.000 Rechner, insbesondere in Behörden, Unternehmen oder Organisationen befallen. Der Virus verschlüsselt Dokumente auf den betroffenen Computern sowie im verfügbaren, lokalen Netzwerk. Er breitet sich weiter stark aus.

Kaspersky_Dorifel_Infektionsstatistik



Die Analyse eines mit Dorifel infizierten Servers ergab außerdem, dass entsprechende Systeme vermutlich mit weiterer Schadsoftware infiziert sind, die sich auf das Stehlen von Bankdaten konzentriert. Gefundene Logfiles mit Namen, Kreditkartennummern und Kartenprüfnummern lassen diesen Schluss zu.

Kaspersky Lab empfiehlt, E-Mails mit Anhängen von unbekannten Sendern nicht zu öffnen. Selbst E-Mails von bekannten Unternehmen oder Organisationen sollten Anwender mit Bedacht öffnen – etwa, wenn der Anwender bereits im Dialog mit dem ihm bekannten Unternehmen steht. Aktuelle Anti-Virensoftware fangen den Virus ab, wenn der Rechner aktualisiert ist. Die Software von Kaspersky Lab erkennt Dorifel.

Selbst wenn Anwender nicht Kaspersky Lab-Kunden sind, können sie mit Hilfe des Kaspersky Virus Removal Tool das Schadprogramm via Web identifizieren. Netz-Administratoren sollten zusätzlich die IP-Adressen 184.82.162.163 und 184.22.103.202 blockieren. Netzwerk-Traffic zu diesen Adressen sind ein Hinweis darauf, dass das eigene Netz infiziert ist und über den befallen Server weitere Schadsoftware nachgeladen werden kann.

Die wichtigsten Fakten zum Verschlüsselungsvirus Dorifel:
  • Dorifel hat sich ursprünglich über E-Mail-Anhänge ausgebreitet. Von infizierten Rechnern bahnt sich Dorifel den Weg über USB-Sticks und Netzwerk-Laufwerke.
  • Dorifel infiziert und verschlüsselt Dateien mit folgenden Erweiterungen: DOC, DOCX, XLS, XLSX, EXE.
  • Der potenzielle Schaden für Behörden und Unternehmen ist groß, da Dorifel offenbar weitere Schadsoftware nach sich zieht. Auf den untersuchten Servern wurden zum Beispiel Exploits gefunden, also Schadsoftware, die darauf ausgerichtet ist, Schwachstellen in kommerzieller Software auszunutzen. Dorifel verschlüsselt Dokumente (und macht sie so unbrauchbar), weitere Malware greift auf Finanzdaten zu und installiert Hintertüren ( Backdoor Trojaner) auf Servern.

Über Kaspersky Lab
Kaspersky Lab ist der weltweit größte, privat geführte Anbieter von Endpoint-Sicherheitslösungen. Laut IDC zählt das Unternehmen zu den vier erfolgreichsten Herstellern von Sicherheitslösungen für Endpoint-Nutzer.* In seiner 15-jährigen Unternehmensgeschichte hat Kaspersky Lab zahlreiche Innovationen im Bereich IT-Sicherheit auf den Weg gebracht und bietet effektive digitale Sicherheitslösungen für Heimanwender, KMU und Großunternehmen. Der IT-Sicherheitsexperte ist derzeit in rund 200 Ländern auf der ganzen Welt vertreten und schützt über 300 Millionen Nutzer weltweit.
Veröffentlicht in Alerts / Sicherheitsanalysen
eleven, führender deutscher E-Mail-Sicherheitsdienstleister, warnt vor einer Welle gefährlicher E-Mails, die sich gezielt an deutsche Internetnutzer richtet. Die E-Mail hat den Betreff „Deutsche Post. Fehler in der Lieferanschrift“ und die Absenderadresse post[at]deutschepost.de.

Fake Mail von deutscher Post
Angebliche Mitteilung der Deutschen Post über eine verpasste Paketsendung

Im Text wird behauptet, der Empfänger habe eine Postsendung verpasst und solle sich nun das Etikett im Anhang der E-Mail ausdrucken, um die Sendung abholen zu können. Statt des Post-Etiketts enthält der Anhang jedoch eine Variante des Trojaners Kazy. Um Virenscanner zu verwirren, haben die Spammer nicht weniger als 34 einzelne Dateien im Anhang verpackt.

Empfänger sollten die angehängte Zip-Datei Postetikett_Deutsche_Post_AG_DE_4672935.zip auf keinen Fall öffnen und die E-Mail sofort löschen.

Leere Datei
Leere Dateien im Anhang bedeuten zusätzlichen Aufwand für die Virenscanner.

Die E-Mail ist in gutem, wenngleich nicht fehlerfreiem Deutsch verfasst. So werden beispielsweise die deutschen Umlaute nicht korrekt verwendet. Um die Spam-Erkennung zu erschweren, wurde zusätzlich zufällig generierter Text eingefügt.

Trojaner-Trend aus den USA

Die Masche der verpassten Paketsendungen ist bereits aus den USA bekannt. Dort wird seit langem versucht, mit solchen glaubwürdig wirkenden Mitteilungen Schadsoftware zu verbreiten. Dieser Trend scheint nun nach Deutschland zu kommen. Die Experten des eleven Research-Teams vermuten, dass die Qualität der deutschen Texte weiter zunehmen wird. Für die Empfänger wird es dadurch immer schwieriger, verdächtige E-Mails zu erkennen, sollte diese einmal den Spam- und Virenschutz überwunden haben. eleven rät Nutzer in jedem Fall, auch den Virenscanner zu aktualisieren. Einige Anti-Virus-Programme erkennen den Trojaner bereits.
Veröffentlicht in Alerts / Sicherheitsanalysen
Mittwoch, den 30. Mai 2012 um 08:01 Uhr

SonicWALL: erste Analyse zu Flame (Flamer/Skywiper)

SonicWAll hat den seit Jahren unentdeckten und gegen den mittleren Osten eingsetzten Wurm Flame nun genauer analysiert.

Die Komponenten des Wurms wurden in Visual C++ (.ocx Dateien) und Lua Scripting Language geschrieben. Zudem wird die DB SQLLite genutzt um Informationen zu speichern. Die Gesamtgröße aller Module von ca. 17 MB zeigt wie viel Code und Features im Flamer Wurm implementiert sind. Das Hauptmodul des Wurms nennt sich "mssecmgr.ocx" und enthält folgende Export Funktionen:

Sonicwall_flamer_1

Wenn der Wurm aktiviert wird und die Export Funktion genutzt warden, erfolgen folgende Aktivitäten:

•    In die winlogon.exe und services.exe wird Code injiziert

•    Folgende Dateien werden angelegt:
  • %windir%\system32\mssecmgr.ocx (Eigenkopie) [Detected as GAV: Flamer.A (Worm)]
  • %windir%\system32\advnetcfg.ocx [Detected as GAV: Flamer.A (Worm)]
  • %windir%\system32\msglu32.ocx [Detected as GAV: Flamer.A (Worm)]
  • %windir%\system32\ nteps32.ocx [Detected as GAV: Flamer.A (Worm)]
  • %windir%\system32\boot32drv.sys (Encrypted Data)
  • %windir%\system32\ccalc32.sys (Encrypted Data)
  • %windir%\Ef_trace.log (Encrypted Data)
  • %ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\dstrlog.dat (Encrypted Data)
  • %ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\mscrypt.dat (Encrypted Data)
  • %ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ ntcache.dat (Encrypted Data)
  • %ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\ssitable (Encrypted Data)
  • %ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\rccache.dat (Empty file )
  • %ProgramFiles%\Common Files\Microsoft Shared\MSSecurityMgr\lmcache.dat (Empty file)
•    Folgender Registry Key wird verändert:
  • HKLM\SYSTEM\ControlSet001\Control\Lsa\Authentication Packages: 'msv1_0 mssecmgr.ocx'
•    Folgende mutexes werden angelegt:
  • TH_POOL_SHD_PQOISNG_{PID}SYNCMTX
  • TH_POOL_SHD_MTX_FSW95XQ_{PID}
  • {DRIVE}__program files_common files_microsoft shared_mssecuritymgr_mscrypt.dat
  • {DRIVE}__program files_common files_microsoft shared_mssecuritymgr_ssitable

Flame_code

•    Anbei einige Commands und Funktionen die der Wurm nutzt

Sonicwall_flamer_2

SonicWALL Gateway AntiVirus erkennt und schützt vor Flame mit folgender Signatur: GAV: Flamer.A (Worm)

Mehr über SonicWALL
Veröffentlicht in Hersteller News
Sonntag, den 27. Mai 2012 um 08:32 Uhr

BKA warnt vor E-Mail mit Trojaner

Das Bundeskriminalamt warnt vor einer Schadsoftware, die über den Versand von E-Mails in Umlauf gebracht wird. Die E-Mails verschiedenen Inhaltes tragen unter anderem den Hinweis: „BKA erdrückende Akte gegen [„Name des Empfängers“]“.

Der Anhang der E-Mail (z. B. „Akte.zip“) enthält eine Schadsoftware, die sich nach Öffnung des Anhangs installiert. Anschließend wird in einem Pop-Up-Fenster angegeben, dass der Computer nach den Besuchen pornografischer Webseiten mit einem Verschlüsselungstrojaner infiziert sei. Der User müsse über uKash oder Paysafecard für 100 Euro ein kostenpflichtiges Sicherheitsupdate herunterladen, um die Verschlüsselung zu beseitigen. Ein Bild dieses Pop-Up-Fensters finden Sie im Anhang.

BKA warnt vor E-Mail mit Schadstofware

Hierzu erklärt das Bundeskriminalamt:
Das Bundeskriminalamt ist nicht Urheber dieser Meldungen.

Das Bundeskriminalamt rät:
  • Sollten Sie eine derartige E-Mail auf ihrem Computer erhalten, laden Sie den Anhang nicht herunter und öffnen Sie ihn auf keinen Fall.
  • Vertrauen Sie nur Anhängen von Ihnen bekannten Absendern und vergewissern Sie sich ggf. beim Absender, dass dieser Ihnen einen Anhang geschickt hat.
  • Ist der Rechner bereits infiziert, bezahlen Sie den geforderten Betrag auf keinen Fall. Der Rechner ist bereits mit der Schadsoftware infiziert, die wesentliche Teile des Betriebssystems verändert hat, um das Pop-Up-Fenster zu generieren. Ein normaler Zugriff auf Ihr Betriebssystem ist auch nach der rechtswidrig geforderten Zahlung nicht möglich.
Nach bisherigem Kenntnisstand verschlüsselt die Schadsoftware tatsächlich einige Bereiche der Festplatte. Dies bedeutet, dass selbst nach der Wiederherstellung der Systemfunktionalität immer noch auf einige Dateien kein Zugriff genommen werden kann.

Hinweise zur Bereinigung von Schadsoftware befinden sich u. a. auf der Webseite www.botfrei.de.

Es wird weiterhin empfohlen, den Update-Status des Betriebssystems und der genutzten Anti-Viren-Software und installierter Programme auf dem aktuellen Stand zu halten. Dies erhöht die Chancen, erst gar nicht mit der Schadsoftware infiziert zu werden.

Bereits im letzten Jahr haben die Bundespolizei und das Bundeskriminalamt auf diese sogenannte „Ransomware“ aufmerksam gemacht (siehe hierzu Pressemitteilungen vom 01.04.2011 und 19.05.2011).
Veröffentlicht in Alerts / Sicherheitsanalysen
F-Secure Videos: Drive-by Android Malware & Angry Birds Space Trojaner

Angry Birds Space Trojaner


Drive-by Android Malware

Veröffentlicht in Videos
Seite 1 von 21
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6