Internetkriminelle versenden derzeit wieder personalisierte E-Mails in deutscher Sprache, die den Anschein erwecken von den bekannten Webseiten Zalando.de (Schuhe und Accessoires für Damen) und von der Deutschen Bahn zu stammen.

Wie auch in vorherigen E-Mails ist der Text direkt an den Adressaten der E-Mail gerichtet und droht diesem, so dass er die ZIP-Datei öffnet und die schädliche Datei ausführt.

Alle Inhalte werden von Avira Software als TR/Jorik.Androm.pqr und HIDDENEXT/Worm.Gen. entdeckt.

Sorin Mustaca

IT Security Expert

Die neue Variante des BKA-Trojaners versucht, die Besitzer von infizierten Rechnern mit vier kinderpornografischen Bildern zu erpressen (der Vorgänger verwendete nur ein Bild). Der Trojaner gibt vor, von der Pressestelle des BKA zu stammen.

Im Gegensatz zur Vorgängerversion, die dem Nutzer den Besitz von kinderpornografischen Materialien nur vorwirft, kopiert diese Variante des Trojaners tatsächlich solche Bilder auf den infizierten Computer. Um noch glaubwürdiger zu wirken, versieht er die auf den Fotos abgebildeten Kinder mit Namen und Geburtsdaten (um deren Minderjährigkeit zu belegen).

Wie die bisher bekannten Varianten blockiert auch diese den Computer des Nutzers und verlangt, dass 100 € (135 US-Dollar) über Ukash oder Paysafe bezahlt werden. Beim Ausbleiben der Zahlung würden alle Daten auf dem Rechner vernichtet und der Nutzer (der über die IP-Adresse und den sogenannten User Agent String des Browsers identifiziert wird) verurteilt und bestraft. Die Cyberkriminellen lassen sich ständig neue Texte einfallen, damit die Meldung möglichst überzeugend wirkt.

Die Malware wird über Drive-By-Downloads verbreitet und besteht aus einer ausführbaren Datei mit temporärem Namen. Zahlreiche Medien berichteten, dass die neue Version über einen besseren Webcam-Support verfügt. Wenn der Zugriff auf die Webcam des Computers gelingt, sieht sich der Nutzer selbst in einem kleinen Fenster auf dem Monitor. Unser Virenlabor konnte dieses Szenario leider noch nicht testen. Diese sogenannte Social-Engineering-Methode erzeugt das Gefühl einer akuten Notfallsituation, da das BKA den Nutzer zu „beobachten“ scheint.

Ab der Engine-Version 8.2.10.246 erkennen alle Avira-Produkte die bösartigen Dateien über die generische Erkennung als TR/Crypt.ULPM.Gen. Darüber hinaus werden die Bilder, die auf den Rechner des Nutzers kopiert wurden, gelöscht. Bitte beachten Sie, dass die vollständige Reparatur nur bei den Windows-Produkten und nicht im Rescue System oder dem Command Line Scanner möglich ist.

Wir empfehlen den Nutzern mit Nachdruck, niemals das Lösegeld zu bezahlen. Verwenden Sie die Rescue CD, um die Malware von Ihrem Computer zu entfernen oder fragen Sie einen Experten um Hilfe.

Sorin Mustaca

IT Security Expert

Was viele Nutzer des größten Sozialen Netzwerks der Welt nicht wissen: Auch die Apps und Spiele, mit denen sich eure Freunde bei Facebook die Zeit vertreiben, können auf eure Daten und Fotos zugreifen. Das ist sogar dann möglich, wenn ihr selbst die betreffende App oder das jeweilige Game gar nicht (mehr) verwendet. Nachdem ihr keinerlei Kontrolle darüber habt, welche Apps eure Facebook-Freunde verwenden und somit auch den jeweiligen Datenhunger der Anwendungen nicht kennt, solltet ihr eure Profil möglichst umfassend gegen Datenschnüffler schützen.

Die hierfür zuständigen Einstellungen findet ihr nach einem Klick auf das Zahnradsymbol oben rechts. Anschließend oben aus dem Menü den Punkt „Kontoeinstellungen“ wählen und danach links in der Navigationsleiste auf „Anwendungen“ klicken. Hier findet sich die Option „Von anderen Nutzern verwendete Anwendungen“. Nach einem Klick auf „Bearbeiten“ zeigt sich eine Liste mit Punkten, die eure Privatsphäre betreffen.

Bild 1: Bildunterschrift: „Von anderen Nutzern verwendete Anwendungen“: Alle Häkchen wurden entfernt.

Es spricht an und für sich aus Sicht eines Facebook-Nutzers nichts dafür, auch nur einen einzigen dieser Punkte anzuklicken beziehungsweise freizugeben. Zwar erläutert Facebook im Text über der Liste, dass durch solche Freigaben „die Nutzererfahrung“ eurer Freunde beim Umgang mit den Apps besser wird. Dies ist allerdings eine ziemlich vage Begründung. Außerdem ist es kaum in eurer Verantwortung, euren Facebook-Freunden durch Weitergabe von persönlichen Daten an euch komplett unbekannte Unternehmen zu einem tolleren Social-Media-Erlebnis zu verhelfen.

Wie der Erklärungstext unter der Liste sagt, lässt sich auf diesem Weg jedoch nicht verhindern, dass Dir unbekannte Anwendungen Deine Freundesliste und öffentliche Informationen wie Dein Geschlecht erfassen können. Um auch diesen Zugriff zu unterbinden, musst Du auf der gleichen Seite ganz oben unter „Möchtest du Anwendungen, Plug-ins, Spiele [...] verwenden?“ rechts auf „Bearbeiten“ klicken. Wenn Du den Einsatz von Anwendungen auf der kompletten Plattform (damit ist Facebook gemeint) verbietest, sperrst Du aber nicht nur die Apps Deiner Freunde aus, sondern kannst auch selbst keine Anwendungen oder Spiele mehr nutzen. Einen Mittelweg lässt Facebook – zumindest derzeit – nicht zu. Außerdem solltet ihr beachten: Wenn ihr vom Status „Aus“ in den Status “Ein“ zurück wechselt, müsst ihr alle Häkchen der Punkte erneut entfernen.

Bild 2: Bildunterschrift: In dieser Einstellung ist der Einsatz aller Anwendungen gesperrt.

Übrigens: Facebook bietet immerhin eine wirksame Technik, um den unberechtigten Login in Dein Konto durch Fremde zu unterbinden. Das Ganze nennt sich Zwei-Faktor-Authentisierung und wurde hier im Blog schon ausführlich beschrieben.

Im Folgenden sieht man, wie unterschiedliche IP-Adressen (hier aus China) versuchen, sich mit den bekannten Dateien einer WordPress-Installation zu verbinden, die für den Login und die Anmeldung zuständig sind.

WordPress besitzt einen Standard-Administrator („Admin“), der nach der Installation beliebig abgeändert werden kann. Laut mehrerer Quellen werden bei der Attacke bis zu 1.000 der am häufigsten genutzten Passwörter ausprobiert (siehe folgende Beispiele).

Brian Krebs berichtete, dass infizierte Seiten mit einer Hintertür versehen werden, damit die Angreifer die Seite per Fernzugriff steuern können (die Hintertür bleibt auch dann bestehen, wenn der rechtmäßige Seiteninhaber sein Passwort ändert). Die infizierten Seiten werden dann zu einem Server-Botnet vereint und müssen Attacken zur Passwortermittlung gegen andere Seiten ausführen, die WordPress einsetzen.

Wenn Ihr ein paar einfache Vorsichtsmaßnahmen beachtet, beugt Ihr einem Hackerangriff gezielt vor:

- Ändert das Standard-Passwort, das ihr seid der Installation von WordPress nutzt

- Ändert den Namen des Standard-Administratorkontos eurer WordPress-Installation

- Wählt ein komplexes Passwort für das Administratorkonto. Hier erfahrt ihr, wie das geht

- Aktiviert die Zwei-Faktor-Authentifizierung für WordPress. Hier erfahrt ihr, wie das geht

Viel Spaß beim Bloggen!

Sorin Mustaca

IT Security Expert

Nur 24 Stunden später konnten wir einen massiven Anstieg von Spam-Nachrichten verzeichnen, die Betreffzeilen wie „Explosion at Boston Marathon“ oder „Boston Explosion caught on Video“ enthielten. Diese sogenannte Social-Engineering-Methode ist nicht neu. Wir beobachten das Phänomen jedes Mal, wenn prägnante Ereignisse auf der Welt geschehen (Krieg, Naturkatastrophen, soziale Ereignisse), die potentiell viele Menschen ansprechen. Social Engineering ist eine altbekannte Methode, aber immer wieder gibt es neue Opfer.

Auch auf Facebook gab es Beiträge mit Links zu verschiedenen Webseiten, die momentan noch kategorisiert werden. Man kann davon ausgehen, dass ein Großteil davon den Betrachter auf Seiten mit Malware weiterleitet.

Der Inhalt dieser E-Mails besteht nur aus einer einzigen Textzeile. Sie enthält eine URL mit einer IP-Adresse sowie eine HTML-Seite mit dem Namen „news.html“ oder „boston.html“.

Nach dem Aufruf der Webseite wird der Betrachter auf drei andere URLs weitergeleitet. Von dort aus installiert der Schadcode eine JAR-Datei auf euer System, falls auf dem PC eine verwundbare Java-Version erkannt wird.

Update: Wir sind nun auch im Besitz eines Screenshots einer Seite, die ein kurzes Video abspielt, während gleichzeitig versucht wird, eine JAR-Datei auszuführen, die die Java-Schwachstelle ausnutzt.

Wir haben schon oft vor den Risiken bei der Verwendung von Java berichtet, da es zahlreiche Schwachstellen hat und Java oftmals nicht zwingend benötigt wird. Hier erfahrt ihr, wie ihr Java deaktiviert oder deinstalliert.

Die Datei wird von einer zufällig generierten URL heruntergeladen, die bei jedem Besucher unterschiedlich ist:

Die Malware speichert die bösartige Datei im TEMP-Verzeichnis des angemeldeten Benutzerkontos und benennt sie in „alifna.exe” um. Anscheinend wird die Datei unter Verwendung eines Zufallsgenerators erstellt, da jeder Besucher eine leicht abgewandelte Version erhält. Glücklicherweise sind die Änderungen nicht gravierend und unsere Produkte erkennen alle Varianten als „TR/Crypt.ZPACK.Gen“.

Sie haben also nichts zu befürchten – alle Avira-Nutzer sind bereits geschützt.

Vielen Dank an Eric Burk von VLAB in Deutschland für die Analyse.

Sorin Mustaca

IT Security Expert

]]> http://techblog.avira.com/2013/05/07/emails-mit-bosartigen-urls-bedienen-sich-tragodie-boston-verwundbare-java-installationen-auszunutzen/feed/de/ 0 http://techblog.avira.com/2013/05/07/cyber-kriminelle-nutzen-die-explosion-im-texanischen-waco-fur-verbreitung-von-spam-welle/de/ http://techblog.avira.com/2013/05/07/cyber-kriminelle-nutzen-die-explosion-im-texanischen-waco-fur-verbreitung-von-spam-welle/de/#comments Tue, 07 May 2013 13:10:05 +0000 victor.antiu http://techblog.avira.com/?p=5041 Continue reading →]]> Am gleichen Tag, an dem Cyber-Kriminelle  die Tragödie in Boston zur Verbreitung von Malware ausnutzten, haben wir eine zweite Spam-Welle beobachten können.

Diese Kampagne nutzt die Explosion einer Düngemittelfabrik in Waco, Texas, USA aus.

Die E-Mails verwenden dieselbe Vorlage: Nachrichten mit diesen oder ähnlichem Betreffzeilen wie „Waco explosion HD“ oder „Raw: Texas Explosion Injures Dozens“ enthalten den gleichen URL-Typ. Er besteht aus einer IP-Adresse und einer Datei.

Der Betrachter wird auf Webseiten weitergeleitet, die Videos mit der Explosion sowie zahlreiche Interviews, die auf YouTube gesammelt wurden, zeigen.

Die bösartige Fracht wird ähnlich wie in den vorherigen Attacken verbreitet:

• Java-Exploit (das folgende Bild ist nicht mehr auf der Remote-Seite verfügbar, auf der es gehostet war)
• • 47dc82e5b451bce5f40fa8dc890310d5 *Anau.class
  • 69333fdd3aaab29ed4bcdfaa42ed8e28 *barks.class
  • 5b84ea75fb42a1953a4c5bef516f873e *Code.class
  • 00954374c3a4e6cfc2823850c02a83c8 *Doitfore.class
  • 763ff5e1a1ad65dc8c1e21a13c484154 *Hluiak.class
  • 975bc1f970f661d6da16c26fb27f8c3c *Hujter.class
  • 254d4b4a61a5ab90192994a7f9a79491 *Kivib.class
  • dccfc30208ef0d4a6a4ade01666355b8 *Monoa.class
  • 4a3c45a062fe7a88a2e4ecdb52678542 *Nespeho.class
  • f67c5de1b1691ed989921db0d8ba8fe3 *OItyep.class
  • b82e7b290e5c0c3f0c9251d0c8a4bc17 *Senna.class
  • 90d24d49c3d8188690a3c03262f8a55a *Szux.class
  • (und viele mehr)

•  Hinterlegte, ausführbare Dateien

• 58971f985efb7ae05fc01d334719f427 *fuwqj.exe
• 3ef06bae42ba35e0a1a1da4a587b87da *lrwtv.exe
• 77b46f1e9c23632e8fe093e877df7523 *temp86.exe
• (und viele mehr)

Alle Avira-Programme erkennen diese Dateien als TR/Motsob.* und alle zwischengeschalteten Seiten werden als HTML/Blacole.* und HTML/iFrame.* erkannt (‘*’ steht für mehrere Varianten derselben Malware).

Vielen Dank an Jason Soo von VLAB in Kuala Lumpur für die schnelle Analyse.

Sorin Mustaca

IT Security Expert

Zudem besteht die Gefahr, dass bösartige Zeitgenossen im schlecht gesicherten Netz Login-Daten für Onlinedienste abfangen oder sich Zugang zu Dateien auf den per WLAN vernetzten Rechnern verschaffen.

Zum Glück sind die wichtigsten Schritte, um das Netzwerk besser abzusichern, schnell gegangen:

-       Ändern des Admin-Passworts: Jeder WLAN-Router lässt sich per Browser administrieren. Zum Login verlangt das Gerät ein ab Werk vom Hersteller vorgegebenes Kennwort – das jeder im Internet nachschlagen kann. Also sollte es umgehend geändert werden. Bietet der Router die Option, ihn über das Internet zu administrieren, so sollte diese Funktion abgeschaltet werden.

-       Wahl des Netzwerknamens: Auch der voreingestellte Name des WLANs (SSID, englisch „Service Set Identifier“) sollte geändert werden. Andernfalls sind Rückschlüsse auf den Hersteller des Geräts und damit eventuelle Sicherheitslücken möglich. Ebenso wenig ratsam sind SSIDs, die etwas über den Betreiber des Funknetzes verraten: Vor- oder Nachnamen, Straßennamen und so weiter.

-       Unbedingt verschlüsseln: In Sachen WLAN-Verschlüsselung führt im privaten Umfeld kein Weg an WPA2-PSK vorbei. Keinesfalls mehr zeitgemäß sind die unsicheren Verschlüsselungsverfahren WEP oder WPA. Sie lassen sich auch von Laien mit leicht zu bedienenden Gratistools binnen kurzer Zeit aushebeln.
Im Fall von WPA2 gilt: Je länger das Passwort, desto besser. Ab zwanzig Zeichen sind Kennwörter schwer zu knacken – aber auch nur dann, wenn sie nicht aus in Wörterbüchern stehenden Wörtern bestehen. Mehr zum Thema sichere Passwörter einrichten findet ihr hier.

-       Software auf aktuellem Stand halte: Auch bei WLAN-Routern gilt es – genau wie bei Programmen oder Betriebssystemen –, Softwareupdates rechtzeitig einzuspielen. Denn auch die Software der Router kann Schwachstellen enthalten, durch deren Missbrauch sich Cyberkriminelle Zugang zum Gerät und damit zu dem dahinter liegenden Netzwerk verschaffen können.

-       MAC-Adress-Filter aktivieren: Zwar bietet dieser Filter keinen hunterdprozentigen Schutz und er setzt beim erstmaligen Einrichten auch ein wenig Tipparbeit voraus. Denn es gilt, die sogenannte MAC-Adresse, also die eindeutige Kennung einer jeden WLAN-Karte, im WLAN-Router zu hinterlegen. Nur Geräte, die dem Router bekannt sind, dürfen sich ins Funknetz einbuchen. Ist der Filter erst einmal aktiviert, hält er zumindest einen „Gelegenheits-Hacker“ ab. Die WPA2-Verschlüsselung samt komplexem Passwort sorgt für erheblich mehr Schutz als der Filter. Aber falls sich zu Hause noch ein WLAN-Gerät findet, das mit WPA2 nicht zurechtkommt, kann die Kombination aus WPA und MAC-Adress-Filter die Hürde für einen potentiellen Angreifer ein wenig erhöhen.

Facebook selbst hat naturgemäß großes Interesse daran, dass seine Nutzer möglichst viel Inhalt mit möglichst wenig Beschränkung ins Soziale Netzwerk stellen. Denn nur so kann der Betreiber des mit weitem Abstand größten Sozialen Netzwerks der Welt Geld verdienen. Konsequenterweise sind daher ab Werk die zum Schutz der Privatsphäre und der eigenen Daten relevanten Kontrollmechanismen ein wenig lax eingestellt. Zeit also, aus der Datenschleuder einen halbwegs beherrschbaren Ort zum Teilen von Persönlichem zu machen. Wir erklären in diesem Blogbeitrag und den folgenden, welche Einstellungen Facebook-Nutzer am besten vornehmen sollten, um ihre Daten zu schützen.

Der erste Klick sollte der Schaltfläche mit dem kleinen Vorhängeschloss oben rechts in der blauen Leiste dienen: es erscheinen die Privatsphäre-Verknüpfungen. Während die Optionen „Wer kann mich kontaktieren?“ und „Wie verhindere ich, dass mich jmd belästigt“ dazu dienen, lästige Zeitgenossen fern und das Postfach frei von Spam zu halten, kümmert sich der erste Eintrag „Wer kann meine Inhalte sehen“ um etwas Wichtigeres.

Denn hier wird festgelegt, wer auf die eigenen Inhalte zugreifen kann. Facebook gruppiert die möglichen Zuschauer. Diese sich leider hin und wieder ändernden Gruppen finden sich auch an anderer Stelle wieder, so dass wir ihre grundsätzliche Bedeutung hier erläutern wollen:

-       Öffentlich: Jeder Webnutzer – oder auch „Das Internet“ genannt – kann sehen, was man so bei Facebook macht. Ganz egal, ob er selbst ein Facebook-Konto hat oder nicht.

-       Freunde ohne Bekannte: Facebook unterscheidet inzwischen den Grad der Freundschaft. In der Liste der Freunde kann durch Klick auf die Schaltfläche „Freunde“ nach „Enge Freunde“, „Freunde“ oder „Bekannte“ getrennt werden. Die Privatsphäre-Option „Freunde ohne Bekannte“ zeigt die Beiträge nur den Kontakten, die als „Freunde“ oder „Enge Freunde“ markiert wurden.

-       Nur ich: Mit dieser Einstellung gepostete Inhalte sind nur für den Kontoinhaber selbst sichtbar und erscheinen nur in den eigenen Neuigkeiten, aber nicht in den Neuigkeiten der Freunde. Wird aber ein anderer Facebooknutzer in einem solchen Beitrag markiert, kann er den Beitrag auch sehen.

-       Benutzerdefiniert: Mit Hilfe dieser Einstellung lassen sich einzelne Personen oder Gruppen (Freundeslisten wie beispielsweise „Sportverein“ oder „Familie“, die zuvor erstellt wurden) wählen. Diese dürfen dann Dinge sehen – oder eben nicht. Bei den benutzerdefinierten Einstellungen taucht auch noch die früher überall zu findende Einstellung „Freunde von Freunden“ auf. Damit sind die eigenen Facebook-Freunde und jeder einzelne von deren Freunden gemeint. Sehr wahrscheinlich erlaubt man damit also Wildfremden den Zugriff auf eigene Inhalte.

Unabhängig von Einstellmöglichkeiten, die Facebook bereitstellt: Den besten Schutz vor Schnüfflern bietet immer noch der gesunde Menschenverstand. Wer Dinge, die ihm später peinlich sein könnten, gar nicht erst ins Soziale Netzwerk pumpt, muss sich auch keine Sorgen darüber machen, dass durch technische Probleme plötzlich doch die Google Bildersuche auf die Jugendsünden stößt.

Alle Bilder können auf unserer Facebook-Seite gesehen werden.

1. Wie ihr wisst, kann es riskant sein, Emails zu öffnen, die unbekannte Dateien enthalten, da diese Dokumente oder Fotos euren Rechner mit Malware infizieren können. Ihr solltet daher jede verdächtige Email vorab scannen!

2. Beantwortet keine unerwünschten Emails!
Wenn ihr eine automatische, nicht abonnierte Email erhaltet, solltet ihr diese nicht beantworten oder euch von dem Abo abmelden. Sonst weiß der Spammer, dass ihr seine Email geöffnet habt, und wird euch nur noch mehr Spam schicken.

3. Bekanntlich sind Spam-Angebote oft zu gut, um wahr zu sein. Vermeidet den Kauf von Produkten oder Services aus fragwürdigen Emails!

4. Klickt nicht auf Links in Emails, die euch dringend zu etwas auffordern!
Ganz gleich, wie wichtig die Nachricht erscheint oder wie unglaublich das Angebot (das natürlich in der nächsten Minute verfällt) wirkt, klickt auf keinen Link und gebt keine Informationen weiter. Löscht die Email einfach!

5. Eure Bank wird niemals persönliche Informationen per Email von euch verlangen oder euch zusenden!
Solltet ihr eine Nachricht von eurer Bank erhalten, in der man euch persönliche Angaben zusendet, diese von euch verlangt werden oder von euch bestätigt werden sollen, antwortet nicht. Eine Bank wird derartige Informationen niemals per Email abfragen!

6. Ganz gleich, was euch jemand für eure persönlichen Informationen verspricht, antwortet nicht! Die Einsatzmöglichkeiten dieser Daten könnten sich für euch als äußerst schädlich erweisen.

7. Wir empfehlen euch, komplizierte Passwörter zu generieren, die nicht leicht zu erraten sind! Tipps für sichere Passwörter findet ihr hier.

8. Je mehr unterschiedliche Passwörter ihr habt, desto geringer ist die Chance, dass ein Hacker oder Dieb Zugang zu euren Konten erhält.

9. Speichert niemals euer Passwort auf einem Computer, der euch nicht gehört!
Viele Websites machen eine erneute Nutzung mit der Option, eure Login-Informationen zu speichern, leichter. Lehnt diese Option ab, wenn ihr nicht euren eigenen Computer oder ein sicheres Gerät benutzt.

10. Viele Webseiten bieten ‘kostenlose’ Programme zum Download an, deren Installation jedoch ungewollte Nebeneffekte mit sich bringen kann. Um euch hiervor zu schützen, achtet darauf, dass euch vor dem Herunterladen alle Details über das Produkt oder die Firma bekannt sind!

11. Macht es Cyberkriminellen nicht leicht! Für alle Geräte gibt es kostenfreie und kostenpflichtige Virenschutzlösungen, welche ihr hier findet.

12. Viele USB-Geräte (wie Memorysticks, SD-Karten und Festplatten) enthalten Malware, die aktiviert wird, sobald das mobile Gadget mit eurem Computer verbunden wird. Vor der Benutzung solltet ihr daher immer einen Geräte-Scan durchführen!

13. Verlasst niemals euren Arbeitsplatz, ohne zuvor euren Computer gesperrt zu haben! Achtet darauf, dass er passwortgeschützt ist, sodass niemand unerlaubt Zugang zu euren Dateien erhält.

14. Richtet für euer Smartphone ein Passwort oder eine Wischbewegung ein und achtet darauf, dass es sich nach einer Minute automatisch sperrt! Das erschwert es einem Dieb, eure Daten einzusehen.

15. Smartphones sind kleinere Computer: Sie verfügen über ähnliche Konnektivität und Kapazitäten wie herkömmliche PCs und speichern ebenso persönliche Daten – damit bilden sie auch ein potenzielles Ziel für Angriffe!

16. Emails von bekannten oder unbekannten Personen, die behaupten, sie würden euch online „vermissen“, sind wahrscheinlich nur Spam. Ihr wisst ja, was zu tun ist – einfach löschen!

17. Auf einer Webseite ist ein Banner zu sehen das behauptet, dass ihr der millionste Besucher seid und einen unglaublichen Preis gewinnen könnt … nun, dieses Banner ändert sich nie. Und gewinnen werdet ihr leider auch nichts!

18. Ganz gleich wie klein euer Freundeskreis online sein mag, unangemessene Fotos könnten eventuell mit Personen geteilt werden, die sie nicht sehen sollen: euer Chef, Verwandte und wer weiß wer noch!?

19. Macht keine Nacktfotos von euch – selbst wenn ihr gut ausseht! Sobald diese Fotos euren Computer oder euer Smartphone verlassen, werdet ihr die Kontrolle darüber verlieren. Sie könnten euch in Zukunft auf höchst unerwünschte Weise heimsuchen.

20. Wie ihr wisst, gibt es im Internet sehr viel Speicherplatz – eure Dokumente oder Fotos werden in diesem virtuellen Datenspeicher immer aufgehoben. Es wird euch daran erinnern, wenn ihr es am wenigsten erwartet. Selbst wenn ihr das Original löscht, besteht die Möglichkeit, dass es bereits irgendwo kopiert und gespeichert wurde.

Sorin Mustaca

IT Sicherheitsexperte

Dieses Schadprogramm namens “MiniDuke” entwickelt sich allmählich zum Alptraum eines jeden Unternehmens:

• Es ist polymorph; das heißt, es gibt unzählige Varianten des Schädlings.
• Es nutzt die Sicherheitslücke einer sehr beliebten Software aus: Adobe Reader.
• Das Programm startet erst nach dem Hochfahren des Betriebssystems und kann daher nicht eindeutig mit einer Handlung des Nutzers vor der Infektion in Verbindung gebracht werden.
• Die Malware kopiert sich selbst mehrmals auf den PC und erschwert somit den Säuberungsprozess.
• „MiniDuke“ verbindet sich mit einer Vielzahl von Command & Control (C&C)-Servern auf der ganzen Welt und kann deshalb nicht einfach aufgehalten werden, indem man ein paar dieser Server herunterfährt.
• Die Malware kann mittels einer einfachen Google-Suche andere C&C-Server finden.
• Außerdem werden über Twitter verschlüsselte URLs an weitere C&C-Server übermittelt.
• Mittels GIF-Bilddateien tarnt sich eine ausführbare Datei, und weitere Hintertüren werden geöffnet. Darüber erhalten die Hacker Zugriff, um Dateien zu verschieben, zu entfernen oder auch neue Verzeichnisse anzulegen.

Alle Avira Anwender sind vor der MiniDuke-Malware geschützt. Die Schaddateien werden klassifiziert als:

- EXP/MiniDukeGif.A

- EXP/MiniDuke.A

- TR/MiniDuke.A

Wir haben Komponenten des MiniDukes in anderer Malware von 2010 erkannt. Aufgrund der hohen Komplexität dauert die Analyse an – ein Update wird hier veröffentlicht.

Da eine große Vielzahl an Exploits vorliegt, arbeiten wir gerade an einer generischen Erkennung für die PDF- und GIF-Dateien.

Aktualisierung:

Wir haben ein Engineupdate veröffentlicht, dass die Malware generisch als “TR/Crypt.XPack.gen” und “TR/Dropper.gen” erkennt.

Sorin Mustaca

IT Sicherheitsexperte