Apr 24

Das Problem Verschlüsselungstrojaner grassiert seit einigen Wochen und ein Ende ist nicht absehbar. Kamen die ersten Wellen sehr erfolgreich über die längst totgesagte Variante von Scripten in MS-Office Dateien, so wird scheinbar nun wieder verstärkt auf „bewährte“ Exploit-Kits zurückgegriffen, die z.B. Lücken in Flash-Player oder anderen Programmen ausnutzen. Selbst wenn nur ein Prozent der Betroffenen das Lösegeld zahlen, kommt da hohes Sümmchen für die Hintermänner zusammen. Die tatsächliche Rate der Zahler liegt Schätzungen zufolge zwischen drei und fünf Prozent, was bei 10.000 Infektionen pro Tag (allein in Deutschland!) und durchschnittlichen 150 Euro Lösegeld Einnahmen zwischen 45.000 und 75.000 Euro generieren würde. Pro Tag und nur Opfer aus Deutschland. Diese eher konservativ geschätzten Zahlen verdeutlichen die Lukrativität dieses „Geschäftes“. weiterlesen »

geschrieben von Holger \\ tags: , , , , , ,

Dez 06

In den letzten Tagen haben es wieder zahlreiche SPAM-Mails durch die Wächter der diversen Mailanbieter geschafft. Zahlreiche Mails enthielten eine längst totgeglaubte Spezies, nämlich Scriptviren. Aber auch Phishing-Mails sind wieder verstärkt im Umlauf. Die locken die Leser auf gefälschte Webseiten um dort Zugangsdaten abzufischen und haben aufgrund dieser Arbeitsweise auch ihren Namen erhalten.

Konnte man früher über solche Mails schmunzeln, weil sie in schlechtem Deutsch und mit falschen Daten verfaßt waren, sind sie inzwischen täuschend echt und werden zur großen Gefahr. Besonders bei PayPal. weiterlesen »

geschrieben von Holger \\ tags: , , , ,

Okt 15
 In den letzten Tagen tauchen mehr und mehr Meldungen über eine Software namens Wifatch oder Linux.Wifatch auf, die offene Türen in Routern schließt und teilweise sogar Firmwareupdates einspielt. Das klingt nach einer nützlichen Software, aber man kann sie nirgendwo downloaden.
Aber Linux.Wifatch ist erst mal ein Trojaner, wie andere auch. Er befällt in erster Linie Router und andere Geräte der Internet of Things Welt. Diese sind sehr häufig erschreckend schlecht abgesichert, so dass der Befall sehr einfach ist. Default-Passwörter wie „0000“ oder „password“ für den mächtigen Telnet-Zugang sind die Regel, nicht die Ausnahme. Und ein infizierter Router wird häufig selten oder gar nicht vom Besitzer als solches wahr genommen. weiterlesen »

geschrieben von Holger \\ tags: , , , , , ,

Aug 10

In dieser Woche überschlugen sich die Ereignisse. Nach einem Bericht in der New York Times entdeckte die Sicherheitsfirma Hold Security den Diebstahl von ca 1,2 MIlliarden Zugangsdaten, also Kombinationen aus Mailadresse bzw. Benutzername und einem Passwort bzw. einem Passwort-Hash. Diese sollen von etwa 400.000 Webseiten kommen. Allein diese riesige Zahl macht deutlich, dass ein Großteil der Diebstähle wohl nicht in mühevoller Handarbeit erfolgten, sondern weitgehend automatisiert. Die Hacker dürften Sicherheitslücken in verbreiteter Software genutzt haben, entweder Lücken in der Server-Software oder bei den installierten Anwendungen.

Auch ein Live-Hack, der auf der Sicherheitskonferenz Black Hat vorgeführt wurde, gibt dem Verbraucher ein ungutes Gefühl. In ein mobiles Terminal, wie es millionenfach zum Auslesen von EC- und Kreditkarten benutzt wird, wurde eine vereinfachte Version des Spiels „Flappy Bird“ eingespielt. So harmlos der Hack anmutet, er beweist, dass es möglich ist, beliebigen Code auf diese Geräte zu bekommen und Kontrolle über die Tastatur zu erhalten. Damit wäre es möglich, PIN-Abfragen abzugreifen. Brisant wird der Hack durch die Tatsache, dass die Hacker davon ausgehen, dass dieser Hack bei ca 75% der weltweit eingesetzten Terminals funktiert.

Diese Meldungen und viele andere aus der Vergangenheit zeigen, dass es mit der Sicherheit eher schlecht bestellt ist. Betroffen waren in der Vergangenheit nicht nur kleine Firmen, sondern auch Branchengrößen wie ebay oder Sony, denen man genug Geld und Knowhow  für Datensicherheit unterstellen darf. Daher stellt sich die Frage, ob das Thema Sicherheit richtig angefaßt wird und ob die aktuellen Sicherheitskonzepte zeitgemäß sind. Bei Kartenterminals z.B. ist es ein altbekanntes, aber noch immer ungelöstes Problem: Der Nutzer muss der Maschine blind vertrauen und seine Daten (Karte und PIN) preisgeben. Er hat keine Möglichkeit zu kontrollieren, ob das Terminal wirklich das ist und macht, was es vorgibt. Die gleiche Problematik gilt inzwischen auch für viele Webseiten. Selbst wer die Adresse seiner Bank von Hand eintippt, kann nicht mehr sicher sein, auch auf der Webseite seiner Bank zu landen. Die Manipulationsmöglichkeiten sind hier vielfältig und reichen vom Trojaner auf dem eigenen Rechner über manipulierte Heimrouter bis hin zu manipulierten DNS-Servern bei Providern.

Ein Umdenken muss her und zwar auf allen Ebenen. Viele Webseitenbetreiber müssen sich mal ernsthaft fragen, ob es nötig ist, dass man sich auf Ihren Webseiten überhaupt anmelden muss. Benutzerdaten, die nicht erhoben werden, können auch nicht falsche Hände kommen. Updates der eingesetzten Software sollten selbstverständlich sein. Was bei Do-It-Yourself-Webmastern meist klappt, ist im gewerblichen Bereich schon ein Problem. Viele Firmen und Freiberufler lassen sich Ihre Webseite von einer Agentur erstellen, pflegen selber evtl. mal einige Inhalte ein, können aber keine Updates einspielen. Oft scheitert es daran, dass die Agenturen CMS-Systeme wie z.B. Typo3 einsetzen, die für den Zweck schon zu gross sind. Niemand wird seine Brötchen mit einem LKW vom Bäcker holen, aber ein (oft veraltetes) Typo3 für eine kleine ziemliche statische Webseite einer Arztpraxis oder eines Handwerkers werden Sie sehr oft finden. Die meisten Betroffenen haben nicht die geringste Ahnung, welche Zeitbombe sie da ticken haben. Aber auch die Webhoster selber müssen ihre Hausaufgaben machen. Server laufen meist nach dem Prinzip „Never change a running system“ und die Software wird selten Updates unterzogen. Angreifbare Serversoftware und veraltete Betriebssysteme mit bekannten Fehlern sind nicht die Ausnahme, sondern die Regel.

Ein lobenswerter Anfang war die Aktion des Webhosters Goneo. Nach zahlreichen gehackten Ur-Alt Joomla Installationen von Kunden begann man, die Kunden zu informieren, dass man im Interesse aller Kunden Web-Accounts mit gefährlichen Alt-Versionen einige Tage später abschalten werde, wenn kein Update erfolgt. Der Antrieb dieser Aktion war aber weniger die Datensicherheit, sondern die Tatsache, dass die gehackten Joomlas die betroffenen Server so stark auslasteten, dass die Webseiten anderer Kunden auch nicht mehr funktionierten. Dennoch ist die Idee, die Webserver der Kunden nach bekannt gefährlichen Installationen abzuscannen, ein Ansatz für etwas mehr Sicherheit.

Ein anderer Ansatz wäre Datensparsamkeit und das konsequente Meiden von Webseiten mit obskuren Cookies (Cookies von Drittanbietern, meist Werbenetzwerken) und nervigen Sicherheitswarnmeldungen des Browsers. Was nützt ein Shop mit SSL Verschlüsselung, wenn ein Teil der Inhalte der Webseite doch wieder unverschlüsselt sind? Die meisten Browser warnen davor und das nervt. Grund genug, sein Geld woanders auszugeben – das ist meist die einzige Sprache, die sehr schnell in den Chefetagen verstanden wird. Wir Verbraucher haben es ein Stück weit in der Hand…

geschrieben von Holger \\ tags: , , , , , ,

Mrz 12

Viren und Trojaner per Mail sind leider nichts neues. In den letzten Wochen waren hier wieder rekordverdächtige Mailwellen zu beobachten. Waren in der letzten Woche gefälschte Telekom-Rechnungen zu sehen, ist seit einigen Stunden ist eine besonders dreiste Masche zu lesen. Eine angeblich von T-Mobile verschickte „Urheberrechtsverletzung als Teilnehmer“ mit folgendem Wortlaut:

weiterlesen »

geschrieben von Holger \\ tags: , , , , ,

Okt 01

Am vergangenen Wochenende wurde eine Sicherheitslücke bekannt, die fast alle Android-Smartphones betrifft und die sehr unangenehme Folgen haben kann. Und zwar ist es, wie heise-online berichtet, eine Steuercode-Schwachstelle. Diese ermöglicht es, GSM-Steuercodes nicht nur über die Tastatur, sondern auch entsprechende Links in Webseiten oder Mails auszuführen. Neben den bekannten und harmlosen Steuercodes wie z.B. *#06# (gibt die IMEI-Nummer des Gerätes aus) gibt es Codes, mit denen man die SIM-Karten sperren kann oder bei einigen Herstellern auch Codes, die ohne weitere Rückfrage das Gerät auf Werkseinstellung zurücksetzen und alle dabei Benutzerdaten unwiederbringlich löschen.

Das Problem betrifft fast alle Android-Geräte mit Versionen vor Android 4.1 Jelly Bean. Es ist ein Fehler im Wählprogramm, das nur sehr wenige Hersteller modifiziert oder durch ein eigenes ersetzt haben. Google hat diesen Fehler in der aktuellen Android-Version behoben – bei der bisheringen Update-Politik dermeisten Hersteller wird es aber vermutlich keine Updates für ältere Smartphones geben.

Zusammen mit anderen bekannten Sicherheitslücken in älteren Android-Versionen wäre ein Erpresser-Trojaner vorstellbar, der bei Nichtzahlung innerhalb von X Stunden damit droht, die Karte endgültig unbrauchbar zu machen oder das Telefon zu resetten.  Einen evtl. fälligen Kartenwechsel lassen sich die Netzbetreiber meist mit Beträgen zwischen 15 und 30 Euro bezahlen, eine Datensicherung von einem bereits infizierten Telefon ist fast unmöglich, da man das Telefon ja nicht mit Rettungs-CD oder ähnlichem starten kann.

Es wird nur eine Frage der Zeit sein, bis die ersten Kriminellen das „ErfolgsmodellUkash-Trojaner in die Mobilwelt portieren werden. Die Updatepolitik von Google und den Telefonherstellern macht es Ihnen viel zu einfach. Einen Windows-PC kann man mit geringem Aufwand aktuell halten. Microsoft und andere Softwarehersteller bringen bei gefundenen Sicherheitslücken inzwischen innerhalb weniger Stunden passende Updates heraus. Dennoch ist durchschnittliche jeder Zehnte PC aufgrund von nicht aktueller Software verwundbar – da hilft auch kein aktueller Virenschutz. In Spitzenzeiten kurz nach Bekanntwerden einer Sicherheitslücke) ist der Prozentsatz infizierbarer Rechner sehr viel höher! Kriminelle nutzen solche Lücken innerhalb weniger Stunden aus. Bei den Smartphones wurden bislang Sicherheitlücken erst nach Monaten oder oft auch gar nicht beseitigt, weil der Hersteller die neuere Software nicht mehr für ältere Geräte bereitstellt. Also viel Zeit für die Internet-Unterwelt.

Gegen den Fehler im Android-Dialer gibt es inzwischen einige Apps, die das ungefragte Ausführen von „tel:“-Urls verhindern.  Aktuelle sind die kostenlosen Apps „Telstop„, „NoTelUrl“ und „USSD Filter„. Besitzer von iphones sollten nicht zu laut vor Schadenfreude jubeln, denn auch IOS hat in allen Versionen Probleme mit manipulierten Tel:-Urls. Bei zu großen Urls stürzt es durch einen Überlauf einfach ab.

 

Es gilt für alle Beteiligten zu lernen, dass moderne Smartphones mindestens genauso verwundbar für Angriffe krimineller Banden sind wie gewöhnliche Computer. Vorbei die Zeiten, das arbeitslose Heranwachsende aus Langeweile Würmer auf die Menschheit losließen. Heute sind es straff orgarnisierte Banden, die mit geklauten EC- und Kreditkartendaten, SPAM-Netzwerken, Erpressungstrojanern und anderem hunderte Millionen Euro erbeuten. Und denen wird es oftmals erschreckend einfach gemacht. Es wird Zeit, das sich was ändert und ein Umdenken stattfindet.

geschrieben von Holger \\ tags: , , , , ,

Aug 18

Vor mehr als einem Jahr schrieb ich hier den ersten Beitrag zum BKA-Trojaner auf Telkotalk. Seit Herbst letzten Jahres ist er der mit Abstand am häufigsten gelesene Artikel dieser Webseite – ein eindeutiges Indiz für den „Erfolg“ dieser Schadsoftware.

Offenbar ist der Trojaner auch für die Hintermänner ein wirtschaftlicher Erfolg. Der Trojaner wird recht häufig modifiziert und verändert. Allein der Verband der deutschen Internetwirtschaft zeigt auf seiner Webseite www.bka-trojaner.de [Update 2016: Die Webseite if offline, Link entfernt] aktuell 26 Screenshots von in Deutschland häufig aufgetretenen Varianten und die Galerie erhebt keineswegs den Anspruch auf Vollständigkeit. International sind auch Versionen aufgetaucht, die das Live-Bild der eigenen Webcam einbinden, was die Opfern einschüchtern soll. „Schau her, wir beobachten Dich, wenn Du nicht zahlst…“. Natürlich sollten Sie in gar keinem Fall zahlen! Noch besser: Sie beugen dem Befall vor. Dazu später mehr.

weiterlesen »

geschrieben von Holger \\ tags: , , , , , , , , , , , , , , , ,

Jan 11

Wer heute die Nachrichten hörte oder sah, staunte nicht schlecht: Ein Virus in den Nachrichten! Dazu noch ein „alter“ Schädling. Was steckt dahinter?

Der Virus, um den es geht, ist ein Trojaner. Er verbiegt im PC die Abfrage der Domainnamen. Der Rechner fragt nun nicht mehr bei den DNS-Servern des eigenen Providers, sondern auf Servern der Kriminellen nach den IP-Adressen. Einen DNS-Server braucht man, damit eine URL wie z.B. www.telkotalk.de in die richtige IP-Adresse (in diesem Beispiel 85.114.130.79) übersetzt wird. Ein solcher Server in der Hand von Kriminellen führt dazu, dass gezielt Seiten verbogen werden. Statt der gewünschten Webseite wird dem Surfer eine Fälschung untergeschoben, um seine Nutzerdaten für Webseiten wie facebook, ebay usw. abzugreifen. Oder Kreditkartendaten. Da nur wenige Seitenaufrufe umgebogen werden, der Rest normal funktioniert, bleibt es lange unentdeckt.

Im Falle des Trojaners „DNS-Changer“ wurden dieTäter  im vergangen Herbst gefaßt, die manipulierten Server vorrübergehend vom FBI durch normale DNS-Server ersetzt. Aber der Trojaner war erfolgreich und aktuell sind es laut FBI mehr als 35.000 deutsche Nutzer täglich, deren Rechner nicht die DNS-Server ihres Providers nutzen, sondern die vom Trojaner verbogenen. Auf mindestens 35.000 deutschen PCs ist der Trojaner also noch aktiv!

Da das FBI will nun diese Server Anfang März abschalten und daher ruft das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit dem Bundeskriminalamt und der Telekom zum Test des eigenen Rechners auf Befall durch diesen Trojaner auf. Auf der Webseite www.dns-ok.de kann der Rechner einfach getestet werden. Dort findet man auch Tipps, um den Schädling bei Bedarf zu entfernen.

Noch einmal der dringende Rat: Schützen Sie Ihren Rechner durch einen wirksamen Virenschutz. Dazu kann man auch auf kostenlose Software zurückgreifen. Waren es vor Jahren Schüler, die aus Jux Viren schrieben und verbreiteten, so sind es heute fast ausschließlich gut organisierte kriminelle Banden, die mit Trojanern Daten ausspähen oder SPAM versenden wollen. Die Schädlinge schaffen es leider immer wieder, durch Lücken in veralteter Software auf die Rechner zu gelangen und Schutzsoftware zu umgehen.

Daher der dringende Rat:

1. Halten Sie das Betriebssystem und die verwendeten Programm immer auf dem aktuellen Stand.

2. Software, für die es keine Updates mehr gibt, sollte durch aktuelle Software eines anderen Herstellers ersetzt werden

3. Nutzen Sie Antivirensoftware. Diese muss nicht teuer sein – rudimentären Schutz gibt es sogar kostenlos. Kommerzielle Softwarelizenzen sind ab 20 Euro pro Jahr erhältlich.

 

geschrieben von Holger \\ tags: , , , , , , , , , , , ,

Jun 18

Ok, es ist ein wenig offtopic hier und so ganz neu ist der UKASH BKA Trojaner auch nicht. Aber gestern Abend wurde der Blogger von einer Bekannten zur Hilfe gerufen. Da war er also der PC, der nach dem Windows Start behauptete, das BKA haben zahlreiche Rechtsverstöße auf diesem Rechner gefunden und die Besitzerin müsse nun 100 Euro mittels UKASH zahlen. Das POPuP des Trojaners zeigt auch gleich, wo man solche Voucher kaufen kann.

Wie erwähnt, ganz neu ist der Trojaner nicht, er ist wohl seit Ende März im Umlauf. Die Infizierung findet über  JAVA-Code in Werbe-POPups oder verseuchte Flash-Inhalte statt. Letztere Lücke soll von Adobe vor wenigen Tagen gestopft worden sein, aber nicht Jeder aktualisiert seine Software sofort. Das Erschreckende an diesem Trojaner ist, dass er es auch im Juni noch schafft, sich an aktuellen Antiviren-Programmen vorbei zu „schleichen“, obwohl es seit mehr als zwei Monaten zahlreiche Meldungen über den Trojaner gab.

Wenn es passiert ist und das BKA vom Bildschirm grüßt, dann gilt es Ruhe zu bewahren.  Natürlich zahlt man nicht die 100 Euro und natürlich hat das BKA mit diesem Trojaner nichts zu tun, außer dass man dort natürlich die Hintermänner dieses Trojaners sucht. Die nicht ganz fehlerfreie Grammatik im deutschen Text lassen jedoch vermuten, dass die Drahtzieher aus dem Ausland kommen.

Gott Lob ist der UKASH-Trojaner eigentlich harmlos. Er ändert 30 Registry-Einträge und ersetzt die Shell durch das POPuP Programm. Das wiederum versucht die IP-Adresse des Rechners zu ermitteln und startet mit dieser Adresse zwei DNS-Abfragen – dadurch werden der vermeintliche Rechnerstandort und der Provider ermittelt. Daher kann man den Rat, nur ein Neuaufsetzen des Systems sei ein sicheres Vorgehen, bei diesem Trojaner ausnahmsweise ausser Acht lassen. Das wird allerdings in Foren heftig diskutiert – stellvertretend für zig deratiger Threads hier ein Link ins Gulli-Board, wo ein Mitarbeiter einers AV-Labors mitschreibt.

Wie also wird vorgegangen:

1. Für alle Fälle wird ein Backup des infizierten Systems gezogen, um evtl. doch noch Daten retten zu können, falls etwas wider Erwarten schief läuft. Die Sicherung wird mit einer Rescue-CD oder Notfall-CD vorgenommen, wie sie in regelmäßigen Abständen diversen Zeitschriften beiliegen.  [Update: Die Notfall-CD 2.2 der Computerbild kann man sogar kostenlos downloaden und als CD brennen oder nach Anleitung auf einen USB-Stick kopieren] . Ebenfalls gut geeignet sind die Notfall-CDs vieler Backup- oder Partitionierungs-Programme z.B. von Paragon. Wer mit Linux klar kommt, kann auch eine beliebige Linux Live-CD nehmen. Wer ein halbwegs aktuelles Backup hat, kann notfalls auf die Sicherung verzichten.

2. Das Windows nun starten, mit F8 sofort in den abgesicherten „Modus mit Eingabeaufforderung“  wechseln.

3. Die Systemwiederherstellung starten. Dies geschieht mit der Eingabe
\windows\system32\restore\rstrui.exe
Anschließend wählt man einen Wiederherstellungspunkt, der mindestens einen Tag älter als das erste Auftauchen des Trojaners ist, aus und startet die Wiederherstellung. Evtl. nach diesem Datum installierte Software muss danach allerdings neu installiert werden.

4. Nun sollte das System wieder starten. Die Registry ist auch 100% sauber. Aber die Dateien des Trojaners sind noch auf der Platte und müssen noch entfernt werden. Da der Trojaner aber nicht aktiv ist, sollte nun ein gutes AV-Produkte keine Probleme haben, den Müll zu beseitigen.

Alternativen:

Das BSI stellt seit Mai auf der Webseite www.Botfrei.de drei Anleitungen bereit, wie der Trojaner sicher entfernt werden könne. Die Kaspersky-Rescue-CD kann der Blogger ganz und gar nicht empfehlen. Das Durchsuchen und Desinfizieren eines älteren Rechners mit 42GB Festplatte dauerte zwei Stunden. Beim folgenden Neustart merkte Windows, dass es beschädigt war und hat sich selbst mit der „letzten funktionierenden Konfiguration“ repariert und dabei den Trojaner ebenfalls wiederhergestellt. Mag sein, dass es im April oder Mai mit der CD funktioniert hat und der Trojaner seitdem „verbessert“ wurde.  Wie sich der CD-Cleaner oder die Avira Rescue-CD schlagen, ist leider unbekannt. Die Avira Rescue-CD wird immerhin tagesaktuell gehalten, so dass hier nach dem Download keine Internet-Aktualisierung erforderlich ist.

 

geschrieben von Holger \\ tags: , , , , , , , , , ,