Karlsruhe (dpa/WEB.DE) - In den E-Mail-Postfächern treibt ein neuer Wurm sein Unwesen.
"Swen" sei aufgemacht wie eine E-Mail von Microsoft, in der die Nutzer aufgefordert werden, ein Sicherheits- Update zu installieren, hieß es vom Virentestzentrum in Karlsruhe.
Der Wurm verschicke sich von infizierten PC an gespeicherte E-Mail-Adressen. Zudem kopiere er sich selbst über Netzwerkfreigaben, Netze von Musiktauschbörsen und den Internet Relay Chat (IRC). "Swen" versucht zudem, Antivirensoftware und Firewalls abzuschalten.
Achtung!! In der Email-Adresse steht tatsächlich was mit Microsoft. Ich hatte das scheissteil grad in zwei meiner Postfächer. Aber das Teil wurde gleich gelöscht
Zweite Festnahme in Zusammenhang mit Computervirus 'Blaster'
Washington (dpa/WEB.DE) - Die US-Behörden haben im Zusammenhang mit dem Computervirus 'Blaster' einen zweiten Jugendlichen festgenommen.
Der Teenager soll nach Angaben der zuständigen Staatsanwaltschaft eine Variante des ursprünglichen 'Blaster'- Wurms in Umlauf gebracht haben, berichtete die 'Seattle Times' am Samstag.
Weltweit waren im Sommer Hunderttausende von Computern mit dem Wurm infiziert worden. Die Identität des Verdächtigen wurde nicht bekannt gegeben.
Vor vier Wochen war der 19-jährige Jeffrey Lee Person verhaftet worden, dem vorgeworfen wird, eine 'Blaster B-Variante' geschaffen zu haben. Person soll nach US-Medienangaben mit der Veränderung den Computerwurm noch gefährlicher gemacht haben. In der vergangenen Woche erklärte sich der Schüler vor einem Gericht in Seattle für nicht schuldig.
Suchmaschine.de hat eine wechselvolle Geschichte hinter sich. Eine Zeitlang war es Experimentierfeld fur eine Suche mit Bildervorschau, dann eine Suchmaschine, die nur bezahlte Treffer lieferte, jetzt versucht man die schnelle Abzocke. Unter Suchmaschine.de führt nun jeder Klick und jede Suche nicht etwa zu einem Suchergebnis, sondern unverzüglich zur Installation eines Dialers.
Uber das Impressum ist zwar eine Adresse in 64572 Büttelborn zu erfahren, laut Denic ist aber ein Österreicher Domaininhaber, vertreten durch einen Patentanwalt in München. Der "Webmaster"-Link führt ohne Umwege zu einem Dialer-Vertrieb und damit wieder zu der Adresse in Büttelborn. Die Software wird von einem ungarischen Porno-Anbieter geliefert. Der Betreiber der Website kann bei unvorsichtigen Nutzern ordentlich abzocken: Bis 3000 Anrufs-Minuten pro Monat erhält er 0,83 Euro pro Minute. (Stefan Karzauninkat) / (anw/c't)
Trojaner nutzt offenes Sicherheitsleck im Internet Explorer
Infektion allein durch den Besuch einer Webseite mit dem Internet Explorer
Im Internet ist ein Trojaner unter der Bezeichnung Qhosts respektive QHosts-1 entdeckt worden, der sich eine nicht bereinigte Sicherheitslücke im Internet Explorer zu Nutze macht. Bereits durch den Besuch einer Webseite kann man sich diesen Trojaner einfangen. Eine weitere Verbreitungsroutine besitzt der Schädling aber nicht, so dass er bislang nur selten in freier Wildbahn gesichtet wurde.
Das Sicherheitsloch im Internet Explorer der Versionen 5.0, 5.5 und 6.0 steckt in den Komponenten ActiveScripting und ActiveX, was dem Trojaner erlaubt, beliebigen Programmcode auf dem befallenen System auszuführen. Nur im Internet Explorer 6.0 lässt sich die Sicherheitslücke durch Deaktivieren von ActiveScripting und ActiveX umgehen; in den beiden älteren Versionen des Browsers bleibt die Abschaltung wirkungslos und es genügt somit der Besuch einer entsprechenden Webseite, um Opfer des Trojaners zu werden. Microsoft bietet bislang keinen Patch gegen das Sicherheitsloch an. Daher sollte man derzeit sehr genau überlegen, welche Webseiten man mit dem Internet Explorer besucht oder bis zur Bereitstellung eines Patches auf andere Browser wie etwa Firebird, Mozilla oder Opera ausweichen.
Der nun entdeckte Trojaner verändert die Netzwerkeinstellungen des befallenen Windows-PCs, indem er die Einträge des DNS-Servers auf spezielle IP-Adressen umleitet. Dadurch leitet der Trojaner Webseiten-Aufrufe an andere Adressen um und kann Opfer so dazu bringen, bestimmte Webseiten zu besuchen. Die meisten Hersteller von Antiviren-Software haben ihre Signatur-Dateien bereits aktualisiert und stellen diese zum Download bereit, so dass damit der Trojaner erkannt werden kann.+ http://www.golem.de/0310/27738.html
M öglicherweise ist Blaster erst ein Vorgeschmack auf künftige ernsthafte und schädliche Wurm- und Virenepidemien gewesen. Der neueste Security Threat Report des Sicherheitsexperten Symantec kommt laut „pcgo“ vom Freitag zu dem Schluss, dass das Gefahrenpotenzial neuer Würmer und Viren deutlich gewachsen ist.
Als einen Maßstab für diese Aussage nimmt Symantec den Angaben zufolge die Tatsache, dass die ausgenutzten Schwachstellen immer neuer werden. 64 Prozent aller neuen Attacken machten sich Sicherheitslücken zunutze, die weniger als ein Jahr alt seien. Blaster sei nur 26 Tage nach Bekanntgabe der Schwachstelle aufgetaucht.
Entsprechend schwieriger werde es, die PC-Nutzer rechtzeitig mit Patches zu versorgen. Die Antivirenexperten gingen davon aus, dass künftige Wurm- und Virengenerationen deutlich vielschichtiger und damit schwieriger zu bekämpfen seien als frühere Machwerke.
Auch würden Virenautoren nach immer neuen Infektionswegen, beispielsweise über P2P-Netzwerke oder Instant-Messenger-Portale, suchen. Wenn der verhängnisvollen Entwicklung nicht gegengesteuert würde, heißt es in dem Report weiter, würde es sowohl in lokalen Netzwerken als auch im Internet zu Datenüberlastungen kommen – und in letzter Instanz könnte das Internet nicht mehr effektiv genutzt werden.
wichtiges Sicherheitsupdate für den Internet Explorer
Heute wurde für den Microsoft Internet Explorer 5, 5.5 und 6 ein Patch released, das eine kritische Sicherheitslücke schliessen soll. So heisst es bei heise.de: Microsoft hat ein Security Update für Internet Explorer 5.01, 5.5 und 6.0 veröffentlicht, das eine kritische Sicherheitslücke behebt: Ohne diesen Patch kann der einfache Klick auf eine URL genügen, um ohne weitere Nachfragen ein beliebiges Programm aus dem Internet herunterzuladen, auf dem Rechner zu installieren und auch gleich auszuführen. Wer sein System also noch nicht gepatched hat, sollte dies schnellstmöglich nachholen. Hier geht es zum Download auf der Microsoft Homepage.
Quelle: heise.de
____________________________________________ UUUUUUIIIIIIII -------------------------------------------- Forum am 07.08.2002 Bei den Frankfurt Lions soll es in der nächsten Saison der Deutschen Eishockeyliga (DEL) wieder aufwärts gehen. \"Wir wollen endlich wieder mal einen Playoff-Platz erobern und unter die besten acht Teams kommen\", sagte Clubeigner Gerd Schröder.
da frag ich mich wieder.....: wer nutzt schon IE ____________________________________________ UUUUUUIIIIIIII -------------------------------------------- Forum am 07.08.2002 Bei den Frankfurt Lions soll es in der nächsten Saison der Deutschen Eishockeyliga (DEL) wieder aufwärts gehen. \"Wir wollen endlich wieder mal einen Playoff-Platz erobern und unter die besten acht Teams kommen\", sagte Clubeigner Gerd Schröder.
H acker und Viren haben PCs und Netzwerke im ersten Halbjahr 2003 so stark unter Beschuss genommen wie noch nie. Nach Angaben des auf Sicherheitssoftware spezialisierten Unternehmens Symantec stieg die Zahl der Angriffe mit Schadenssoftware wie Viren oder Würmern um 20 Prozent. Derartige Attacken machten 78 Prozent aller Angriffe auf Computer aus. Für den Rest sind Hacker verantwortlich. Deren Angriffe auf Firmennetze hätten um 19 Prozent zugenommen.
Die Auswertung der Daten von 160 Symantec-Kunden habe ergeben, dass sich wöchentlich im Schnitt 38 Eindringlinge einschleichen wollten, so Symantec weiter. Im zweiten Halbjahr 2002 registrierte man nur 32 Attacken pro Woche. Vier von fünf Angriffen gingen von Rechnern in nur zehn Ländern aus. Am fleißigsten verschickten die Amerikaner Viren und Würmer: 51 Prozent aller Computerschädlinge verbreiteten sich von den USA aus.
Der als Sdbot.18976 bezeichnete Schädling gibt vor, ein Update für Norton Antivirus zu sein -- nach dem Ausführen des Attachments öffnet sich in Wahrheit eine Hintertür ins System.
Der neue Schädling ist eine Variante der bekannten Sdbot-Trojaner. Ist er in einem System eingenistet, baut er eine Verbindung zu einem russischen IRC-Server auf und nimmt von dort Befehle entgegen. Über diese Hintertür können Angreifer Systeminformationen abrufen, Programme aus dem Internet herunterladen und starten sowie Denial-of-Service-Angriffe ausführen. Der Schädling schreibt sich unter dem Namen RPCX1sq23.exe in das Windows-Systemverzeichnis. Antiviren-Unternehmen haben inzwischen ihre Signaturdateien aktualisiert, so dass Virenscanner den Schädling erkennen und entfernen sollten. Momentan verbreitet sich der Schädling nicht sonderlich stark, bislang traten infizierte Mails nur vereinzelt auf.
Grundsätzlich sollten keine Attachments aus unangeforderten Mails gestartet werden. Sicherheitsunternehmen wie Symantec stellen ihre Software-Updates stets über Webseiten bereit; E-Mails mit vermeintlichen Updates -- egal ob von Microsoft oder Antiviren-Unternehmen wie Symantec sind immer Fälschungen und enthalten oft Würmer oder Trojanische Pferde. Weitere Hinweise zu Schädlingen finden Sie auf den Antiviren-Seiten von heise security. (pab/c't)
Sicherheitsupdates von Microsoft lassen weiterhin Lücken offen
Auf den Sicherheitsmailinglisten Full Disclosure und Bugtraq bestätigen diverse Postings, dass ein Mitte September veröffentlichter Proof-of-Concept-Exploit zum Angriff auf den Internet Explorer unter Windows XP immer noch funktioniert. Dabei wird ein Fehler bei der Behandlung von ADODB.Stream-Objekten ausgenutzt, mit denen aus HTML-Dokumenten der Zugriff auf die Festplatte möglich ist. Für diesen Fehler hat Microsoft bisher keinen Patch veröffentlicht, das letzte Sicherheitsupdate MS03-040 beseitigte nur einen Fehler bei der Behandlung von Object-Data-Tags, mit denen ebenfalls beliebiger Code auf die Festplatte geschrieben und ausgeführt werden kann. Anzeige
Um einen erfolgreichen Angriff zu starten, greift der ADODB.Stream-Exploit auf den Windows Media Player zu, den man als Medienleiste im Internet Explorer öffnen kann. Der Trick besteht nun darin, in der Medienleiste eine Fehlerseite zu generieren, wie etwa "Die Seite kann nicht angezeigt werden". Da diese Fehlermeldung vom lokalen System stammt, ordnet sie das IE-Zonenmodell als "lokal" ein, --damit darf sie auch auf das lokale Dateisystem zugreifen. Der Exploit injiziert nun unter Verwendung der genannten Schwachstelle eigenen Code in diese Seite und führt ihn mit den Rechten des angemeldeten Benutzers aus. Für einen erfolgreichen Angriff muss ein Opfer allerdings eine entsprechend manipulierte HTML-Seite aufrufen und mit Administratorrechten angemeldet sein.
Die jetzt neu veröffentlichten Exploits basieren alle auf dem alten Exploit-Code und überschreiben zur Demonstration die Datei "wmplayer.exe", also den Window Media Player selbst. Die Demos funktionieren derzeit nur bei englischen Windows XPs und Windows Media Player 8.0 oder 9.0.
Als Workaround für diese Sicherheitslücke sollte man die Medienleiste im Internet Explorer abschalten. Dazu aktiviert man unter "Extras/Internetoptionen/Erweitert -> Multimedia/" die Option "Keine Onlinenmedieninhalte in der Medienleiste anzeigen". Zusätzlich empfiehlt es sich, ActiveX abzuschalten. Aufgrund weiterer 30 ungepatchter Sicherheitslücken im Internet Explorer sollten Anwender den Einsatz alternativer Browser in Erwägung ziehen.
Siehe dazu auch:
Fehler im ADODB.Stream Object Internet explorer 6 on windows XP allows exection of arbitrary code auf Full Disclosure IE 6 XML Patch Bypass auf Bugtraq (dab/c't)
Auf einer französischen Web-Site wurde Quellcode für einen Exploit zu den Sicherheitslücken in Microsofts RPC/DCOM-Dienst veröffentlicht. Er soll gegen Systeme einsetzbar sein, die entweder gar nicht gegen die RPC-Lücken gepatched sind oder auf denen nur das erste Sicherheitsupdate eingespielt wurde (MS03-026). Systeme, auf denen die Patches aus MS03-039 eingespielt wurden, sind nicht anfällig. Anzeige
Der veröffentlichte Code soll universell bei mehreren betroffenen Windows-Versionen funktionieren, das heißt, er benutzt keine statischen Sprungadressen. Allerdings gibt es bisher keine Bestätigung, dass er auch tatsächlich funktioniert. Er ließ sich jedenfalls trotz der Beseitigung von einigen offensichtlichen Fehlern nicht übersetzen. Sobald jedoch funktionsfähige, universelle Exploits für dieses Sicherheitsloch kursieren, dürfte es nur noch eine Frage von Tagen sein, bis auch ein Lovsan-Nachfolger die zweite RPC-Lücke ausnutzt und eine weitere Wurm-Lawine anrollt.
In einem bisher unbestätigten Beitrag auf der Sicherheitsmailingliste Bugtraq heisst es auch, dass Windows XP mit Service Pack 1 und allen Sicherheitsupdates immer noch Fehler im RPC/DCPM-Dienst enthalte, die sich auch übers Netz ausnutzen ließen. Das wäre innerhalb weniger Monate der dritte Fehler im RPC/DCOM-Dienst von Windows. Der Autor, der bereits mehrere andere Schwachstellen veröffentlicht hat, behauptet, es gebe bereits einen Denial-of-Service-Exploit und auch das Ausführen von beliebigem Code sei wahrscheinlich möglich. Technische Details seien an Microsoft geschickt worden, eine Bestätigung stehe aber noch aus.
Siehe dazu auch:
Hilfe zu den neuen RPC/DCOM-Sicherheitslücken in Windows Microsofts Security Bulletin MS03-039 heise Security Hintergrund:-Artikel: Buffer-Overflows und andere Sollbruchstellen (pab/c't)
Nach Angaben von X-Force, den Sicherheitsspezialisten des Herstellers Internet Security Systems, ist im RPC/DCOM-Dienst unter Windows 2000 und XP ein weiterer Fehler enthalten, den auch der aktuelle Patch MS03-039 (KB 824146) nicht beseitigt. Der derzeit kursierende Exploit, der eigentlich Schwachstellen in Windows-Systeme ausnutzt, die nicht den Hotfix 824146 eingespielt haben, bringt auch gepatchte Systeme zum Absturz. Auf ungepatchten System hingegen legt der Exploit sogar ein neues Benutzerkonto an, über das Angreifer Zugriff auf das System erhalten.
X-Force widerspricht in seinem Advisory Meldungen, in denen behauptet wird, der Absturz beruhe auf Nebeneffekten der im Bulletin MS03-039 beschriebenen drei Sicherheitslücken. Vielmehr sei der Absturz auf die fehlerhafte Behandlung vieler zeitgleicher RPC-Anfragen (Multi-Threaded Race Condition) zurückzuführen. Dadurch verbraucht der RPCSS-Dienst zu viel Speicher und stürzt ab. In der Folge rebootet das NT-Autoritätssystem, wie schon bei Lovesan, den Rechner.
Auch CERT/CC betont in einer Vulnerability Note die Verwundbarkeit gepatchter Systeme. Da es für diesen neuen Fehler noch kein Sicherheits-Update gibt, empfiehlt CERT/CC die Ports zu sperren, über die ein Angriff erfolgen kann (TCP: 135, 139, 445, 593, UDP: 135, 137, 138, 445). Des Weiteren kann man DCOM abschalten, um mögliche Angriffe zu erschweren. Microsoft beschreibt in seiner Knowledge Base, wie das für Windows-Systeme geht. Ein einfaches Tool zum Abschalten des DCOM-Dienstes ist der DCOMbobulator. In produktiven Umgebungen sollte man allerdings vorher Tests durchführen, um den Betrieb nicht zu gefährden.
Siehe dazu auch:
Security Advisory von X-Force How to Disable DCOM Support in Windows von Microsoft (dab/c't)
Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden
Offline
