Hier finden Sie die Meldung im HTML Format:
http://www.panda-software.de/...
Dieser Wochenbericht ist Mytob und Cabir gewidmet, die uns in dieser Woche mit neuen Varianten das Leben etwas schwerer gemacht haben.
Mytob
Vier neue Varianten (S, U, V und W) des Mytob Netzwerk-Wurms sind in dieser Woche erschienen.
Alle haben Backdoor Trojaner Charakteristiken, sie öffnen eine Hintertür im Computer über die Server 19.xxor.biz (S, U und W Variante) und irc.blackcarder.net (MyTob.V). Auf diese Weise ermöglichen Sie ihrem Programmierer die Kontrolle über jeden durch MyTob infizierten Computer zu übernehmen.
Eine der gefährlichsten Eigenschaften dieses Wurms liegt in seiner Fähigkeit die Host Dateien zu manipulieren. So kann er den Zugriff auf Webseiten von Antivirenherstellern blockieren. Auf diese Weise wird ein infizierter Rechner nicht mehr in der Lage sein eine Aktualisierung herunter zu laden. Die TruPrevent Technologien von Panda Software können einen Virus auch ohne Signaturdatei erkennen und stoppen. So hat Mytob keine Chance.
So verbreitet sich MyTob
- Er nutzt die bereits lange bekannte LSASS Verwundbarkeit aus. Sie wurde bereits im Microsoft Bulletin MS04-011 bekannt gegeben. http://www.microsoft.com/...
- Über öffentliche Ordner mit einfach zu überwindenden Passwörtern.
- Via eMail mit einem Dateianhang .bat, .exe, .pif, .scr oder .zip Datei. Der Dateianhang mit dem Wurm könnte Data, Doc, Document, File, Readme, Text oder Body heißen. (auch weitere Bezeichnungen sind möglich)
Er sendet sich an alle Adressen, die er im System in den Dateien mit .adb,.asp, .dbx, .htm, .php, .pl, .sht und .tbb Endung und im Windows Adressbuch finden kann.
Cabir.J
Vollständiger Name: SymbOS/Cabir.J.worm
Wieder mal ist Symbian das Angriffsziel dieses Wurms, genauer gesagt, die 60-ger Serie. Er verbreitet sich via Bluetooth und MMS mit einer Security Warnung auf die man reagieren soll.
Wenn er gestartet wurde sucht er nach weiteren Bluetoothverbindungen. Findet er eine Verbindung sendet er eine Kopie von sich selbst in einer SIS Datei. Cabir.J zeigt den Eingang einer neuen MMS an und antwortet automatisch mit einer Datei namens Info.SIS auf eingehende MMS.
Um sich vor Cabir zu schützen ist es ratsam Bluetooth zu deaktivieren wenn es nicht unbedingt notwendig ist. Außerdem sollte auf Installationen die nicht speziell angefragt wurden verzichtet werden.
Vorsicht beim Onlineeinkauf
-Phishing mal anders
Zusätzlich gab es in dieser Woche noch eine Meldung über verschiedene Webseiten, die günstige Flugtickets anboten und sich so Kreditkarteninformationen erschlichen.
Der Betrug beginnt beim suchen im Internet nach günstigen Tickets z.B. über Google. Man gelangt auf eine Seite die Airlinetickets anbietet und wird aufgefordert ein paar persönliche Angaben zu machen wie z.B. Kreditkartennummer, Gültigkeitsdatum oder Kreditinstitut. Sobald alle Angaben gemacht wurden erscheint eine Fehlermeldung, dass die Transaktion fehlgeschlagen sei und wie man für das Ticket über eine Postzahlungsanweisung bezahlen könnte.
Folgt der User den Aufforderungen kann er gleich zweimal zum Opfer werden. Erst indem er seine Kreditkarteninformationen freigibt und dann noch einmal über die Zusendung des Geldes per Zahlungsanweisung.
Bisher haben die bereits identifizierten Webseiten Flugtickets angeboten, es wäre aber genauso denkbar das andere „Angebote“ auf die Selbe Art und Weise unterbreitet werden. Die bisher bekannten Webseiten wurden bereits aus dem Verkehr gezogen.
Luis Corrons, Director bei PandaLabs Spanien: „Diese Form des Onlinebetrugs unterscheidet sich in einem ganz entscheidenden Punkt von den bisher bekannten Formen. Der Betrüger kontaktiert nicht direkt den User und bietet ihm etwas zum Kauf an, sondern der User geht auf den Betrüger zu und fragt nach Leistungen. Das vermittelt natürlich irgendwie ein gewisses Sicherheitsgefühl, das die Opfer dazu bewegen könnte die Transaktionen unbedarfter durchzuführen.“
Um zu verhindern Opfer einer solchen Seite zu werden sollten die User alle Angebote mit Vorsicht genießen und möglichst nur von bekannten Webseiten, die vertrauenswürdig sind einkaufen. Auch kann man über das Internet weitere Informationen über die Webseite einholen, vielleicht hat jemand seine Erfahrungen öffentlich gemacht…
Die Webseiten wurden inzwischen alle gesperrt und Nachverfolgungsinstitute informiert.
Weitere Informationen erhalten Sie hier: http://www.pandasoftware.com/...
http://www.panda-software.de/...
Dieser Wochenbericht ist Mytob und Cabir gewidmet, die uns in dieser Woche mit neuen Varianten das Leben etwas schwerer gemacht haben.
Mytob
Vier neue Varianten (S, U, V und W) des Mytob Netzwerk-Wurms sind in dieser Woche erschienen.
Alle haben Backdoor Trojaner Charakteristiken, sie öffnen eine Hintertür im Computer über die Server 19.xxor.biz (S, U und W Variante) und irc.blackcarder.net (MyTob.V). Auf diese Weise ermöglichen Sie ihrem Programmierer die Kontrolle über jeden durch MyTob infizierten Computer zu übernehmen.
Eine der gefährlichsten Eigenschaften dieses Wurms liegt in seiner Fähigkeit die Host Dateien zu manipulieren. So kann er den Zugriff auf Webseiten von Antivirenherstellern blockieren. Auf diese Weise wird ein infizierter Rechner nicht mehr in der Lage sein eine Aktualisierung herunter zu laden. Die TruPrevent Technologien von Panda Software können einen Virus auch ohne Signaturdatei erkennen und stoppen. So hat Mytob keine Chance.
So verbreitet sich MyTob
- Er nutzt die bereits lange bekannte LSASS Verwundbarkeit aus. Sie wurde bereits im Microsoft Bulletin MS04-011 bekannt gegeben. http://www.microsoft.com/...
- Über öffentliche Ordner mit einfach zu überwindenden Passwörtern.
- Via eMail mit einem Dateianhang .bat, .exe, .pif, .scr oder .zip Datei. Der Dateianhang mit dem Wurm könnte Data, Doc, Document, File, Readme, Text oder Body heißen. (auch weitere Bezeichnungen sind möglich)
Er sendet sich an alle Adressen, die er im System in den Dateien mit .adb,.asp, .dbx, .htm, .php, .pl, .sht und .tbb Endung und im Windows Adressbuch finden kann.
Cabir.J
Vollständiger Name: SymbOS/Cabir.J.worm
Wieder mal ist Symbian das Angriffsziel dieses Wurms, genauer gesagt, die 60-ger Serie. Er verbreitet sich via Bluetooth und MMS mit einer Security Warnung auf die man reagieren soll.
Wenn er gestartet wurde sucht er nach weiteren Bluetoothverbindungen. Findet er eine Verbindung sendet er eine Kopie von sich selbst in einer SIS Datei. Cabir.J zeigt den Eingang einer neuen MMS an und antwortet automatisch mit einer Datei namens Info.SIS auf eingehende MMS.
Um sich vor Cabir zu schützen ist es ratsam Bluetooth zu deaktivieren wenn es nicht unbedingt notwendig ist. Außerdem sollte auf Installationen die nicht speziell angefragt wurden verzichtet werden.
Vorsicht beim Onlineeinkauf
-Phishing mal anders
Zusätzlich gab es in dieser Woche noch eine Meldung über verschiedene Webseiten, die günstige Flugtickets anboten und sich so Kreditkarteninformationen erschlichen.
Der Betrug beginnt beim suchen im Internet nach günstigen Tickets z.B. über Google. Man gelangt auf eine Seite die Airlinetickets anbietet und wird aufgefordert ein paar persönliche Angaben zu machen wie z.B. Kreditkartennummer, Gültigkeitsdatum oder Kreditinstitut. Sobald alle Angaben gemacht wurden erscheint eine Fehlermeldung, dass die Transaktion fehlgeschlagen sei und wie man für das Ticket über eine Postzahlungsanweisung bezahlen könnte.
Folgt der User den Aufforderungen kann er gleich zweimal zum Opfer werden. Erst indem er seine Kreditkarteninformationen freigibt und dann noch einmal über die Zusendung des Geldes per Zahlungsanweisung.
Bisher haben die bereits identifizierten Webseiten Flugtickets angeboten, es wäre aber genauso denkbar das andere „Angebote“ auf die Selbe Art und Weise unterbreitet werden. Die bisher bekannten Webseiten wurden bereits aus dem Verkehr gezogen.
Luis Corrons, Director bei PandaLabs Spanien: „Diese Form des Onlinebetrugs unterscheidet sich in einem ganz entscheidenden Punkt von den bisher bekannten Formen. Der Betrüger kontaktiert nicht direkt den User und bietet ihm etwas zum Kauf an, sondern der User geht auf den Betrüger zu und fragt nach Leistungen. Das vermittelt natürlich irgendwie ein gewisses Sicherheitsgefühl, das die Opfer dazu bewegen könnte die Transaktionen unbedarfter durchzuführen.“
Um zu verhindern Opfer einer solchen Seite zu werden sollten die User alle Angebote mit Vorsicht genießen und möglichst nur von bekannten Webseiten, die vertrauenswürdig sind einkaufen. Auch kann man über das Internet weitere Informationen über die Webseite einholen, vielleicht hat jemand seine Erfahrungen öffentlich gemacht…
Die Webseiten wurden inzwischen alle gesperrt und Nachverfolgungsinstitute informiert.
Weitere Informationen erhalten Sie hier: http://www.pandasoftware.com/...
