Aktuelles
aktuelle Bedrohungen
Neues von gestern: 2007-03
22.02.2007: Nächste Runde der Trojaner-Mails
Gleich zwei Trojaner-Wellen füllen derzeit die elektronischen Postfächer von Internetnutzern. Während seit dem gestrigen Mittwochabend vermeintliche Amazon-Rechnungen die Runde machen, erhalten viele Nutzer seit dem heutigen Donnerstagmorgen auch vorgebliche E-Mail-Änderungsbenachrichtigungen von eBay.
Die gefälschten Amazon-E-Mails waren nicht korrekt kodiert, sodass der Anhang in Mailprogrammen wie Thunderbird nicht einmal angezeigt wurde. Die eBay-Mails enthalten jedoch standardkonform eine ZIP-Datei im Anhang. Darin befindet sich Ebay.de_bitte_lesen.pdf.exe mit einer angeblichen Anleitung, wie man die E-Mail-Änderung verhindern könne, wenn man sie nicht selbst angestoßen habe.
Die Erkennungsrate der E-Mail-Anhänge ist äußerst schlecht.
Wie inzwischen üblich, haben die Virenbastler die Dateianhänge so modifiziert, dass sie kaum ein Virenscanner erkennt. Während der vergangenen Stunde haben aber Antivir, ClamAV, Ikarus und Kaspersky passende Signaturen für den eBay-Trojaner nachgelegt. Die Namen der Amazon-Schädlinge – bei mehreren Antivirenherstellern Trojan-Downloader.Win32.Nurech.as – lassen darauf schließen, dass es sich um Variationen desselben Trojaners handelt.
Die Social-Engineering-Variante, die beim Anwender Druck aufbauen und ihn so zum Ausführen des Dateianhangs verleiten soll, überrascht kaum. Daher hilft es schon, die üblichen Sicherheitshinweise beim Umgang mit E-Mails zu beachten. Welchen konkreten Schaden die ausführbaren Dateien anrichten und welche Dateien sie nachladen, ist bislang noch nicht klar. Eine Analyse der Schädlinge mit einer auf VMware basierenden Sandbox schlug fehl; vermutlich haben die Schädlinge Routinen zur Erkennung einer virtuellen Maschine und beenden sich darin vorzeitig.
Quelle:
07.02.2007: Postkartengruß mit Wurm
Seit einigen Stunden verbreitet sich der Wurm Nurech.A alias Downloader.Tibs alias Zhelatin.r alias Tibs.JR alias Mixor.Q massiv. Der Antiviren-Hersteller Panda hat deshalb bereits Alarmstufe Orange ausgerufen, in der Verbreitungsstatistik von F-Secure nimmt der Neue ebenfalls bereits die Spitzenposition ein und auch auf dem Heise-Mail-Server sind bereits über 300 Exemplare aufgeschlagen. Anders als die Rechnungs- und BKA-Trojaner der letzten Wochen wird dieser Wurm anscheinend nicht über Bot-Netze verteilt, sondern verbreitet sich selbstständig an Adressen, die er auf den Rechnern seiner Opfer findet.
Der Betreff der Wurmmail wechselt, bislang sind jedoch alle in englisch gehalten; Text hat sie keinen. Dafür hängt eine Datei an, die typischerweise Postcard.exe oder ähnlich heißt. Der Anwender muss sie trotz aller Warnungen öffnen, um die Schadfunktion auszulösen. Panda schreibt dem Windows-Wurm Rootkit-Funktionen zu, die es schwer machen ihn anschließend aufzuspüren und zu entfernen.
Quelle:
· – · – ·
· · · – · –