Hilfestellung zur Entfernung der BKA/GEMA/GVU-Ransomware & weiteren Variationen

Hilfestellung zur Bereinigung von Trojan.Encoder & Trojan.Matsnu.1 befallenen Systemen (Verschlüsselte Daten)

Voraussetzung: Ein funktionierender Internetanschluß.

Hat nichts direkt mit der BKA-Ransomware zu tun, aber der Test kann zumindest nicht schaden: (Klick)

Spy Eye: Malware mit Potential

Einen cleveren Verbreitungsweg wählten die Entwickler eines neuen russischen Botnet-Trojaners. Das Spy Eye-Toolkit stiehlt Daten eines wesentlich größeren rivalisierenden Botnets - und entfernt die entsprechende Malware von infizierten Rechnern.

Spy Eye erhielt vor einigen Tagen per Update die Fähigkeit, sich aktiv gegen seinen Rivalen "Zeus" zur Wehr zu setzen. Das Feature namens "Kill Zeus" entfernt die Zeus-Malware vom PC, so dass Spy Eye exklusiv auf die dort gespeicherten Benutzernamen und Passwörter zugreifen kann. Sowohl Zeus als auch Spy Eye sind unter anderem auf den Diebstahl von Account-Daten für's Online-Banking spezialisiert. Zudem kann Spy Eye auch Daten des Rivalen stehlen, wenn diese an den Command and Control-Server verschickt werden. Spy Eye gilt damit als die wohl aggressivste derzeit aktive Schadsoftware. Zeus gilt als "Anfänger-Malware" und kann als Bausatz auch von unerfahrenen Cyberkriminellen modifiziert und benutzt werden (gulli:News berichtete). Die Malware ist mittlerweile äußert beliebt und Infektionen damit beunruhigend weit verbreitet. Solche Erfolge kann Spy Eye, das momentan für 500 US-Dollar (rund 360 Euro) auf dem Schwarzmarkt verkauft wird, bisher noch nicht aufweisen. Die Malware tauchte erst im vergangenen Dezember in russischen Cybercrime-Foren auf, berichtet Sicherheitsforscher Ben Greenbaum von der Firma Symantec.

Trotzdem könnte sie sich durch ihre aggressive und innovative Verbreitungsstrategie schnell einen größeren "Marktanteil" verschaffen. "Der Malware-Autor weiß, dass Zeus einen ziemlich guten Markt hat, und versucht, dort hereinzukommen," vermutet Greenbaum.
Spy Eye wird momentan rasant weiterentwickelt. Schon jetzt sind Features wie eine automatische Backup-Funktion per E-Mail und das Stehlen von automatisch auszufüllenden Passwörtern aus dem Browsercache eingebaut. Greenbaum bestätigt dem bisher noch recht unbekannten Trojaner ein "interessantes Potential".

(via CSO Online, thx!)

Quelle: http://www.gulli.com/news/12471-spy-eye-malware-mit-potential-2010-02-10

Während gerade frei zugängliche Webseiten mit pornographischen Inhalten im Verruf stehen, von Cyberkriminellen zur Verbreitung von Malware missbraucht zu werden, sind es in der Realität inzwischen eher die sozialen Netzwerke, die für den Nutzer ein Risiko darstellen.

Dies geht zumindest aus einer entsprechenden Statistik des russischen Sicherheits-Dienstleisters Kaspersky Lab hervor. Die zunehmende Konzentration auf Social Networks hat dabei eine schlichte Ursache: Die Nutzer verbringen hier deutlich mehr Zeit als beispielsweise auf Pornoseiten und werden so mit höherer Wahrscheinlichkeit erreicht.

Die Masche ist einfach: Angreifer platzieren gezielt Links bei Facebook und auf vergleichbaren Plattformen, die Nutzer auf mit Malware verseuchte Webseiten locken sollen. Laut Statistik von Kaspersky Lab steht bereits mehr als jeder fünfte schädliche Link in einem sozialen Netzwerk.

Cyberkriminelle haben seit jeher ein breites Spektrum an Methoden, um Opfer auf Webseiten zu locken, deren Codes Schadroutinen enthalten. Neben dem Manipulieren von Suchergebnissen war im vergangenen Jahr vor allem Spam in sozialen Netzwerken ein großes Thema: 21 Prozent aller entsprechenden Links fanden die Kaspersky-Experten in sozialen Netzwerken, allen voran Facebook und dessen russischer Klon VKontakte. Auf nicht jugendfreien Seiten lagen im Jahr 2011 hingegen nur 14 Prozent der schädlichen Links.

Den unrühmlichen ersten Platz in der Kategorie der meisten schädlichen Links nehmen allerdings Videoplattformen wie YouTube ein. Fast jeder dritte schädliche Link (31 Prozent) taucht unter einem Videobeitrag auf. Immer noch ein wichtiger Verbreitungsweg für schädliche Links sind auch Suchmaschinen. Manipulierte Ergebnisse bei Google und anderen Suchmaschinen sind für 22 Prozent aller schädlichen Links verantwortlich.

Quelle: http://winfuture.de/news,68599.html

11.03.2011, 13:11 Uhr | Andreas Lerg

SpyEye ist ein dem bekannten ZeuS sehr ähnlicher Trojaner und verfolgt das gleiche Ziel: Bankdaten ausspähen und dann Gelder von Konten stehlen. Online-Kriminelle haben dabei vor allem Bankkunden in Europa und auch Deutschland im Visier. Die neueste Variante von SpyEye schlägt in wenigen Sekunden zu.

Die Sicherheitsexperten von Norman warnen aktuell vor einer neuen Variante von SpyEye. Der Trojaner wird über Spammails oder manipulierte Internetseiten verbreitet und ist darauf getrimmt, die Login-Daten von Banking-Anwendungen und Online-Banking-Seiten abzufangen und dann binnen weniger Sekunden Gelder auf die Konten von Online-Kriminellen zu übertragen. Er lauert solange inaktiv auf dem Computer, bis der Nutzer eine Online-Banking-Seite aufruft. Sobald das Opfer die Nutzerdaten eingibt, greift der Trojaner die Tastatureingaben ab. Der Computer wird außerdem in das SpyEye-Botnetz eingebunden, damit er weiter manipuliert werden kann.

SpyEye manipuliert Online-Banking-Vorgänge

SpyEye ist deshalb so brandgefährlich, weil der Trojaner in Echtzeit sehr gezielt Online-Banking-Vorgänge manipulieren kann. Dazu überwacht er, ob auf die Internetseiten bestimmter Banken zugegriffen wird. Er erkennt die Bank und deren Authentifizierungsmechanismus und reagiert angepasst. Bei manchen Bankseiten fügt SpyEye blitzschnell zusätzlichen HTML-Code in die geöffnete Seite ein. Oder er blendet auf der normalen Login-Seite der Bank zusätzliche Abfragefelder ein, die den Nutzer zur Eingabe von Transaktionsnummern (TAN) auffordern. Mit den Zugangsdaten und gültigen TAN überweist der Trojaner anschließend sofort Geld auf die Konten der Angreifer. All das geschieht in weniger als 20 Sekunden, damit bestimmte Zeitlimits nicht überschritten werden, die in vielen Bankanwendungen als Sicherheit hinterlegt sind.

ZeuS und SpyEye als gefährliche Hydra

Die Entwickler von SpyEye und dem bekannten ZeuS-Trojaner haben sich zusammengeschlossen, um ihre Schädlinge gemeinsam weiter zu entwickeln. Das ist laut Experten von Sicherheitsdienstleister Kaspersky auch daran zu erkennen, dass neue Versionen von ZeuS auftauchen, in denen auch Programmcode von SpyEye zu finden sind. Die neuen Versionen von ZeuS und SpyEye können sogar Abwehrmaßnahmen erkennen und umgehen. Die Anbieter dieser Trojaner greifen damit nicht selbst die Kunden von Banken an. Sie verkaufen SpyEye und ZeuS wie eine Art Bausatz an andere Kriminelle. Die bauen sich damit dann einen maßgeschneiderten Trojaner für die Bank, die sie im Visier haben.

Kontroll-Server vor allem in Europa verteilt

Die Internetseite SpyEye-Tracker beobachtet und analysiert das Botnetz. Botnetze werden von Kontroll-Servern gesteuert, die Kommandos an versklavte Computer senden und erbeutete Daten empfangen. Laut der Internetseite ist der größte Teil dieser Server in Europa zu finden. Auch in Deutschland gibt es derzeit mindestens drei aktive Kontroll-Server. Wenn Sicherheitsexperten einen solchen Server lokalisieren und vom Netz nehmen, stellen die Online-Kriminelle meist nach kurzer Zeit entsprechenden Ersatz online. Von den über 220 ermittelten SpeyEye-Kontroll-Servern sind durchschnittlich immer etwa 60 online.

chipTAN als Schutz

Immer mehr Banken gehen dazu über, Online-Banking durch zusätzliche Hardware mit dem chipTAN-Verfahren abzusichern. Der Kunde erhält einen TAN-Generator, in den er seine normale EC-Karte wie einen Schlüssel einsteckt. Wenn er einen Online-Banking-Auftrag erstellt, wird eine an diesen Auftrag gebundene und für wenige Minuten gültige TAN erzeugt und auf dem Gerät angezeigt. Die TAN kann auch nicht von einem Trojaner missbraucht werden, da sie fest an den zuvor erfassten Auftrag gebunden ist. Obwohl SpyEye und ZeuS ihre Codierung ständig ändern und damit schwer zu entdecken sind, ist es zum Schutz gegen solche Trojaner und Botnetze wichtig, stets aktuelle Antiviren-Software auf dem Computer einzusetzen. Sie wehrt viele Viren, Trojaner und die meisten anderen Bedrohungen ab.

Autor: Andreas Lerg

Quelle: http://computer.t-online.de/trojaner-spyeye-pluendert-das-konto-binnen-20-sekunden/id_44927698/index  

SpyEye:Server (aktuell bekannt): https://spyeyetracker.abuse.ch/index.php

Die Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) warnt vor einer Schadsoftware. Diese sperrt Rechner und tut so, als wäre dies wegen einer Urheberrechtsverletzung und im Namen der GVU und des BSI geschehen. (...weiter)

Kriminelle nutzen derzeit zunehmend eine kritische Lücke in der Java-Laufzeitumgebung aus, um Rechner beim Besuch speziell präparierter Webseiten mit Schadcode zu infizieren. Laut dem renommierten Security-Blogger Brian Krebs ist das darauf zurückzuführen, dass das Arsenal des weit verbreiteten Exploit-Kits BlackHole um einen passenden Exploit ausgebaut wurde. (...weiter)

Die Sicherheitsforscher von 'Seculert' wurden darauf aufmerksam, dass die Köpfe hinter dem kürzlich abgeschalteten Kelihos-Botnetz bereits an einem neuen Netzwerk arbeiten. Hierbei wird auf einen Facebook-Wurm gesetzt. (...weiter)

Eine aktualisierte Version des Flashback-Trojaners befällt derzeit hunderttausende Macs. Apple selbst hat nicht schnell genug reagiert, um eine Sicherheitslücke in Java rechtzeitig zu schließen. Jeder Mac-Nutzer sollte dringend ein Sicherheitsupdate machen. (...weiter)

Die Anzahl der mit Flashback infizierten Macs steigt weiter. Derweil haben die Antivirenhersteller kostenlose Test- und Entfernungsprogramme für Flashback-Trojaner verteilt. (...weiter)

Apple hat ein Update für Java veröffentlicht, dass den jüngst aufgetretenen Trojaner Flashback bei Mac OS X 10.6 "Snow Leopard" und 10.7 "Lion" entfernt. Das Update wird über die integrierte Update-Funktion der beiden Betriebssysteme verteilt. (...weiter)

Der russische Sicherheitsdienstleister Dr. Web, der jüngst unter anderem über Aktivitäten um den Flashback-Trojaner berichtete, hat nun eine Warnmeldung vor gesteigerten Aktivitäten einer Ransomware in Europe veröffentlicht. (...weiter)

Sicherheitsexperten sind auf einen neuen Trojaner für Mac-OS-X-Systeme, der eine gewisse Ähnlichkeit zum Flashback-Schädling aufweist, aufmerksam geworden. Bezeichnet wird dieser als Backdoor.OSX.SabPub.a oder SX/Sabpab-A. (...weiter)

In der letzten Woche machten die Sicherheitsexperten von Dr. Web darauf aufmerksam, dass die Aktivitäten der Ransomware namens Trojan.Encoder stark zugenommen haben. (...weiter)

Über täuschend echt nachgemachte Rechnungen der Telekom verbreiten derzeit Unbekannte speziell präparierte PDF-Dateien, die Windows-Systeme infizieren können. Die Mail unterscheidet sich nur in Details von einer echten Telekom-Abrechnung. Doch wer die angehängte PDF-Datei öffnet, riskiert, sein System mit Spionage-Software zu infizieren. Die angebliche Rechnung nutzt nämlich mindestens eine bekannte Schwachstelle im Adobe Reader aus, um Schad-Software aus dem Internet nachzuladen und zu installieren. (...weiter)

Kriminelle verschicken derzeit im großen Stil gefälschte Bestellbestätigungen, die den Empfänger dazu verleiten sollen, die angehängte Malware auszuführen. Besonders perfide ist dabei, dass die Angreifer offenbar gestohlene Kundendaten von Onlineshops nutzen, um den Empfänger der Mail mit seinem echten Namen anzusprechen. (...weiter)

Beim Besuch religiöser Seiten im Internet besteht einer Studie zufolge ein dreimal höheres Risiko, einen Computer-Virus zu bekommen, als auf erotischen oder pornographischen Seiten. Laut einer Studie der US-Computersicherheitsfirma Symantec sind Seiten mit pornographischen Inhalten eher sicher. (...weiter)

Die US-Bundespolizeibehörde FBI hat eine Warnung herausgegeben, die die Besitzer mobiler Rechner vor öffentlichen Netzwerken warnt. Vor allem bei Hotel-WLANs habe man zuletzt beobachten können, dass Nutzern als Routine-Update getarnte Schadsoftware "untergeschoben" wird. (...weiter)

Wie der bisher erfolgreichste Mac-Schädling funktioniert

Laut einer Statistik des russischen Anti-Viren-Spezialisten Dr. Web hat Flashback über 700.000 Macs infiziert – mehr als jede andere Malware im Apple-Umfeld zuvor. Mac & i analysiert, wie der Trojaner funktioniert.

(...weiter)

Die Betrugsmasche des so genannten GVU-Trojaners scheint sich zu lohnen. Die Kriminellen, von denen die Malware stammt, führen offenbar so leicht Nutzer hinters Licht, dass sie sich eine Verdoppelung der Geldforderungen problemlos leisten können. (...weiter)

Nach analyser neuer Samples ist eine neue Variante des Verschlüsselungs-Trojaners aufgetaucht.
Die Verschlüsselung scheint geändert worden zu sein. Wir halten euch auf dem laufenden, wie diese gerettet werden können. (...weiter)

Google warnt seine Suchmaschinennutzer ab sofort, wenn sie mit Schädling DNSChanger infiziert sind und liefert im Falle der Fälle auch gleich einen Link zu einer Desinfektionsanleitung. (...weiter)

Die Sicherheitsexperten von Kaspersky haben eine neue Variante des Online-Banking-Trojaners SpyEye gesichtet, die seinem Namen alle Ehre macht: Der Bot bringt ein Plug-in mit, das zur Beobachtung des Opfers per Webcam dient. (...weiter)

Kaspersky Lab hat zusammen mit der ITU nach Stuxnet ein weiteres Schadprogramm entdeckt, das als Cyberwaffe gegen Ziele in mehreren Ländern eingesetzt wird. Die "Flame" genannte Software soll besonders flexibel sein und Angreifern dadurch mehr Möglichkeiten bieten als jede bisher bekannte Schadsoftware. (...weiter)

Die Polizei Hannover warnt per Facebook vor der neuesten Variante des Ukash/Paysafe-Trojaners. Mittlerweile ermittle man in rund 35 Verfahren wegen "versuchter Erpressung mittels Trojanern" gegen unbekannte Täter. (...weiter)

Durch eine Hackerattacke verteilte wetter.com in den letzten zwei Tagen Trojaner und andere Schadsoftware an Besucher. (...weiter)

Das BSI hat bislang keine Meldungen dazu, dass Flame in deutschen Unternehmen, Behörden oder auf privaten Rechnern gefunden wurde. Doch Eugene Kaspersky meint, "solche Cyberwaffen können leicht gegen jedes Land eingesetzt werden." (...weiter)

Die Telekom verschickt derzeit Briefe an Kunden, deren Rechner sich möglicherweise mit der Malware DNSChanger infiziert haben. In dem heise Security vorliegenden Schreiben wird der Kunde aufgefordert, die DNS-Einstellungen des Rechners zu kontrollieren und die kostenfreie Antivirensoftware DE-Cleaner von der Seite www.botfrei.de/telekom herunterzuladen. Auf der Seite findet man auch einen Verweis auf das "Telekom Sicherheitspaket" auf Basis von Norton 360, das mit 2,95 Euro im Monat zu Buche schlägt. (...weiter)

Der Computer-Virus Flame ist nach Einschätzung deutscher Experten längst nicht so machtvoll und besonders wie von seinen russischen Entdeckern bezeichnet. "Das ist keine neue Superwaffe im Cyberkrieg, sondern eher ein aus verschiedenen Bauteilen zusammengestückeltes Schad-Programm", sagte Virenexperte Dirk Häger vom Bundesamt für Sicherheit in der Informationstechnik (BSI) am Donnerstag der Nachrichtenagentur dpa. "Für mich gibt es keinen Grund, einen Superalarm in Deutschland auszulösen. (...weiter)

Die Sicherheitsexperten von CSIS haben den nach eigenen Angaben bislang kompaktesten Online-Banking-Trojaner entdeckt. Der Tiny Banker (Tinba) getaufte Schädling misst einschließlich seiner Konfigurationsdateien gerade einmal 20 KByte. (...weiter)

UPDATE:
Eine Neuerung gibt es bei den SPAM-Mails die versendet werden. Der Trojaner befindet sich nun in einem mit Passwort gesichertem Archiv.
Die Mails enthalten folgenden Abschitt:

(...weiter)

Mikko Hypponen, zuständig für Forschung und Entwicklung beim skandinavischen Antivirensoftwarehersteller F-Secure, gesteht ein, dass seine Firma bei Schadsoftware wie Flame oder Stuxnet versagt hat und sucht nach Gründen für diese Fehlleistungen. (...weiter)

Während der noch andauernden Untersuchung des Spionage-Trojaners Flame hat der Virenexperte Costin Raiu von Kaspersky eine gleichermaßen spannende wie besorgniserregende Entdeckung gemacht: Flame konnte andere Rechner im Netzwerk offenbar über Windows Update infizieren. (...weiter)

Teile des Spionage-Werkzeugs Flame waren mit gültigen Microsoft-Zertifikaten signiert, wie Microsoft bei einer Analyse festgestellt hat. Dadurch konnten die Flame-Entwickler den Eindruck erwecken, es handele sich um legitimen, von Microsoft abgesegneten Code. Das Unternehmen verteilt Notfall-Patches über Windows-Update, die den genutzten Sub-CAs das Vertrauen entziehen. (...weiter)

Wer auf eine Phishing-Attacke reinfällt und finanziellen Schaden erleidet, kann dafür in der Regel nicht seine Bank belangen. Der für das Bank- und Börsenrecht zuständige XI. Zivilsenat des Bundesgerichtshofs hat entschieden, unter welchen Voraussetzungen ein Bankkunde sich im Online-Banking bei einem Pharming-Angriff schadensersatzpflichtig macht. Im zugrundeliegenden Fall nimmt der Kläger die beklagte Bank wegen einer von ihr im Online-Banking ausgeführten Überweisung von 5.000 € auf Rückzahlung dieses Betrages in Anspruch. (...weiter)

Update [31.05.2012]: Ganz so schlecht sieht es doch nicht aus. Ich habe in den letzten Tagen einige Memory-Dumps angeschaut und da sind zumindest keine Public-Keys zu finden. Ich denke, das hier Marcu wohl mit seiner Aussage "Die Hoffnung nicht aufgeben" recht hat und es sich noch immer um eine symmetrische Verschlüsselung handelt. Wie und wo die Schlüssel berechnet werden, muss herausgefunden werden. (...weiter)

@Alle

Es tut mir leid. Kein Happy End!

Es gibt kein Hintertürchen im Programm, keine nennenswerten Programmierfehler, keine logischen Fehler, keine Schwachstelle in der Parametrierung der Verschlüsselungsfunktionen und keine Schwäche in der Zufallsfunktion. Ich habe die relevanten Funktionen der Malware zurückübersetzt und im Detail nachvollzogen. Es ist keine Vermutung mehr von mir und ich kann mit Sicherheit sagen: Das benötigte Passwort ist nicht mehr auf den betroffenen Computern. Es gibt keinen Weg dieses Passwort zu berechnen. Es gibt keinen Weg das Passwort zu Lebzeiten zu erraten. Es ist diesmal nicht möglich mit einem Vergleich zwischen Originaldateien und verschlüsselten Dateien eine Entschlüsselung für alle Dateien abzuleiten. Es bleibt nur zu hoffen, dass ein Polizist das Passwort zurückbringt. (...weiter)

Viren & Trojaner Die drei in der letzten Zeit aufgetauchten Schadprogramme Stuxnet, Duqu und Flame, hinter denen offenbar staatliche Stellen stehen, enthalten offenbar auch Quellcodes, die unter der freien Lizenz GPL zur Verfügung stehen. Aber auch andere Open Source-Software kam bei der Entwicklung zum Einsatz. (...weiter)

Um ihre Spuren zu verwischen, haben die staatlichen Betreiber der Cyberwaffe Flame ein neues Selbstzerstörungsmodul versandt und gestartet. (...weiter)

Unbekannte verschicken derzeit massenhaft Virenmails mit dem Betreff "Ein Fehler in der Lieferanschrift", die vermeintlich von der Deutschen Post AG stammen. Wer seinen Rechner damit infiziert, wird damit nicht nur selber sofort zur Virenschleuder, sondern auch zur Angriffsdrohne: Direkt nach der Infektion beginnt der Trojaner, PHP-Seiten im Internet anzugreifen und versucht dort, eine Hintertür zu installieren. (...weiter)

Update 12.6.2012, 23:30: Noch keinen Patch gibt es für eine kritische Lücke in den Microsoft XML Core Services, die sich ebenfalls via Internet Explorer und über Office-Dokumente ausnutzen lässt – was offenbar auch bereits geschieht. Betroffen sind alle Windows-Versionen einschließlich Windows 7. Deshalb hat Microsoft eine Sicherheitswarnung veröffentlicht und empfiehlt ein sogenanntes FixIt einzuspielen, bis ein richtiger Patch bereit steht. Google hatte Microsoft nach eigenen Angaben bereits am 30. Mai darüber informiert, dass diese Lücke aktiv ausgenutzt wird, um Windows-Systeme gezielt zu infizieren. (ju) (...weiter)

Ursprünglich an der Uni Bonn hat Sebastian Poeplau den Ghost USB Honeypot entwickelt, den er jetzt im Rahmen des Honeynet-Projekts weiterentwickelt. Er simuliert in Software einen USB-Stick, der an ein Windows-System angesteckt wird und somit als Köder fungiert. (...weiter)

Kriminelle versenden derzeit massenhaft Phishing-Emails, die angeblich von DHL (info@packstation.de) stammen. Im Gegensatz zu den bisherigen Kampagnen enthalten die Mails die tatsächlichen Postnummern der Empfänger, um den Eindruck zu verstärken, es handele sich um echte DHL-Mails. (...weiter)

Sysinternals-Autor Mark Russinovich führt vor, wie man mit den bekannten Tools wie Process Explorer, Process Monitor, Autoruns und Co. selbst Hightech-Schädlinge wie Stuxnet oder Flame aufspüren kann. (...weiter)

Für die jüngst bekannt gewordene kritische Lücke in den Microsoft XML Core Services, die sich via Internet Explorer und über Office-Dokumente ausnutzen lässt, gibt es inzwischen einen öffentlichen Exploit. (...weiter)

Die neue Variannte des verschlüsselungstrojaners trägt die Versionsnummer 2.000.11

Es gibt einige Änderungen.

Neuer host: 84.72.41.161
lickes-shops.com

(...weiter)

Dass sich Virenscanner austricksen lassen, ist mittlerweile bekannt; wie leicht das geht, überrascht dann manchmal doch. So genügt offenbar eine simple Base64-Codierung, um altbekannte PDF-Exploits an den Virenscannern vorbei zu mogeln. (...weiter)

Florian Gümbel, ein 19-jähriger Leser von heise online und heise Security, hat Schwachstellen auf über 150 namhaften Webseiten wie Bitkom.org, Buhl.de, Eco.de, Ferrari.com, KabelBW.de, Kicker.de, IHK.de, Wetter.de und Zurich.de entdeckt. (...weiter)

Über 4,5 Millionen Rechner soll das Botnetz eines 22-Jährigen umfasst haben, als die russische Polizei für Computerverbrechen ihn am Donnerstag verhaftete – damit ist es das größte bisher bekannt gewordene Botnetz. Über Banking-Trojaner hatte er Privatpersonen und Organisationen um mehr als 150 Millionen Rubel erleichtert, knapp 3,6 Millionen Euro. (...weiter)

Die Sicherheitsexperten aus dem Hause Symantec machen in einem kürzlich veröffentlichten Beitrag auf einen Schädling, der als Trojan.Milicenso bezeichnet wird, aufmerksam. Weltweit sorgt der Schadcode für Massen-Druckaufträge. (...weiter)

Das unter anderem in der WordPress-Erweiterung FoxyPress verwendete Modul "Uploadify" enthält eine Sicherheitslücke, für die mittlerweile ein Modul für den Schwachstellentester Metasploit vorliegt. Über die Lücke soll sich beliebiger Code auf dem Server ausführen lassen. (...weiter)

Das Antivirenhersteller Eset hat einen Spionagetrojaner entdeckt, der technische Zeichnungen im AutoCAD-Format an eine chinesische Mailadresse verschickt hat – und das offenbar sehr erfolgreich: in den vom Schädling genutzten Mailaccounts fanden die Virenforscher über 100.000 Mails mit Anhang vor. Der Trojaner dient sehr wahrscheinlich der Industriespionage. (...weiter)

Adobe Reader X läuft in einer Sandbox mit sehr eingeschränkten Rechten. Alle wichtigen Systemzugriffe müssen eigentlich über einen speziellen Broker-Prozess abgewickelt werden, der sie ausgiebig testet. (...weiter)

Bis vor Kurzem hat der Mac-Hersteller Apple auf einer Webseite quasi die Immunität der hauseigenen Systeme gegen Computer-Viren angepriesen. (...weiter)

Der AV-Hersteller McAfee hat nach eigenen Angaben zusammen mit dem Sicherheitsunternehmen Guardian Analytics einen Ring von Online-Banking-Betrügern entdeckt, die es gezielt auf prall gefüllte Firmenkonten abgesehen hatten. (...weiter)

Betrüger verschickten derzeit verstärkt Phishing-Mails, um die Zugangsdaten von Strato-Kunden abzugreifen. (...weiter)

Cyber-Betrüger nutzen derzeit vermehrt gehackte GMX-Accounts zum Spamversand, wie uns zahlreiche Leser seit dem vergangenen Wochenende gemeldet haben. Die Mails gehen offenbar vor allem an die im GMX-Adressbuch gespeicherten Kontakte. (...weiter)

Wer unaufgefordert eine Mail vom Amazon-Kundenservice erhält, muss ganz genau hinsehen: Abzocker versuchen derzeit mit nahezu perfekt gefälschten Mails, die Kreditkartendaten von Amazon-Kunden einzusammeln. (...weiter)

In den letzten Wochen konnten Nutzer der Spam-Melde-Plattform SpamCop keine Verbindung zu den Servern des Dienstes herstellen. (...weiter)

Mit dem "Security Scan" bietet jetzt auch Kaspersky einen kostenlosen On-Demand-Scanner zum Download an. (...weiter)

This threat may run on Leopard 10.5, but it has a tendency to crash. It does not run on the new Mountain Lion 10.8. (...weiter)

Der australische Sicherheitsforscher Loukas K. (auch bekannt als Snare) hat auf der Hackerkonferenz Black Hat ein Rootkit demonstriert (PDF), das sich in der EFI-Firmware eines Macbook Air verankert und die Festplattenverschlüsselung FileVault aushebeln kann. (...weiter)

Der Cloud-Hosting-Anbieter FireHost berichtet, dass die Zahl der registrierten SQL-Injection-Angriffe im letzten Quartal um 69 Prozent angestiegen ist.(...weiter)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und die Polizeiliche Kriminalprävention der Länder und des Bundes (ProPK) warnen vor dem Windows-Verschlüsselungstrojaner, einer besonders aggressiven Variante des BKA-Trojaners. (...weiter)

Derzeit schwappt eine Welle von E-Mails in die Mailboxen, die sich gezielt an Postbank-Kunden richtet. Sie versucht die Adressaten auf eine Web-Seite zu lotsen, die deren PC dann gezielt mit Schad-Software infiziert. (...weiter)

Anfällig für die vor zwei Wochen von Oracle dokumentierten Sicherheitslücken in den Bibliotheken Outside In sind neben Avira AntiVir for Exchange auch die Produkte Avira Small Business Security Suite und Avira Business Security Suite. (...weiter)

Die Open-Source-Bibliotheken und -Tools des Projekts libfvde erlauben es, Volumes zu lesen, die mit der Festplattenverschlüsselung FileVault2 aus Mac OS X Lion verschlüsselt sind. (...weiter)

Die Spyware-Entwickler von Gamma International lassen die von ihnen benutzten Server für die Command & Controlprogramme (C&C) ihres Spionage-Trojaners FinFisher FinSpy mit einem Insider-Witz antworten. (...weiter)

Der Trojaner tarnt sich als Zertifikats-Update.
Bild: Kaspersky Lab Der Antiviren-Hersteller Kaspersky hat neue Exemplare der Zeus-Trojaner-Apps für Android und Blackberry gesichtet, die es vor allem auf eines abgesehen haben: mobile TANs fürs Online-Banking. (...weiter)

Sicherheitsexperten haben neue Varianten des Zeus-Trojaners entdeckt, die sich auf Blackberry-Smartphones einrichten. Verschiedene Varianten greifen dabei Nutzer in Deutschland, Spanien und Italien an. (...weiter)

Im Rahmen seiner Untersuchungen zum 20-MByte-Trojaner "Flame" sind die Sicherheitsforscher von Kaspersky Lab auf einen wesentlich weiter verbreiteten Cousin gestoßen: "Gauss". Der Trojaner soll im Libanon sowie in Israel und Palästina vermutlich Zehntausende Rechner infiziert haben. (...weiter)

Der BKA-Trojaner, nach der bevorzugten Bezahlmethode auch als Ukash- oder Paysafe-Trojaner bekannt, ist bei weitem nicht nur in Deutschland aktiv. In den USA gibt er sich als FBI-Blockade aus, in Portugal als Rechner-Sperrung durch die Polícia de Segurança Pública Portuguesa – die Website botnets.fr protokolliert einige Spielarten unter dem Namen "Reveton" in einer Galerie. (...weiter)

Die derzeit aktuelle Java-Version enthält eine schwerwiegende Sicherheitslücke, durch man sein System beim Besuch einer speziell präparierten Webseite mit Schadcode infizieren kann. (...weiter)

Zwei fehlerhafte Signaturupdates für McAfees Virenschutzprogramme sorgen dafür, dass die Nutzer schlimmstenfalls nicht mehr auf das Internet zugreifen können. (...weiter)

Nicht einmal die Hälfte von 22 untersuchten Antivirenprogrammen schützt vor dem derzeit kursierenden Exploit, der eine hochkritische Schwachstelle in der Java-Version 7 Update 6 ausnutzt. (...weiter)

Das Bundeskriminalamt (BKA) ist laut einer Stellenausschreibung auf der Suche nach einem Mitarbeiter, der als Software-Designer zur Konzeption und Entwicklung technischer Überwachungsmethoden bei Straftaten im Zusammenhang mit Computernetzwerken tätig sein kann. (...weiter)

Unbekannte versuchen derzeit mit einer neuen Geschichte, die Empfänger von Trojaner-Mails zum Öffnen des versuchten Anhangs zu überreden. In massenhaft angeblich von "accounts-noreply@google.com" verschickten Mails mit dem Betreff "Suspicious sign in prevented" geben sie vor, dass ein Hacker versucht habe,... (...weiter)

Das am Donnerstag vergangener Woche veröffentlichte Java 7 Update 7 stoppt zwar alle öffentlich bekannten Exploits,... (...weiter)

Eine funktionsreiche Verwaltungssoftware wird von Hackern genutzt und ist jetzt von verschiedenen Herstellern als gefährlicher Trojaner eingestuft worden. Sie soll nicht nur unter Windows, sondern auch unter Mac OS X, Linux und Solaris funktionieren. (...weiter)

Die Gruppe AntiSec will Datensätze von 12 Millionen iPhone- und iPad-Nutzern erbeutet haben. (...weiter)

Henning Klevjer, ein Student der Universität von Oslo in Norwegen, hat eine Methode entdeckt, mit der Kriminelle einem Nutzer Phishing-Seiten unterjubeln können. (...weiter)

Die amerikanische Sicherheitsfirma Trusteer hat eine neue Form der "Man in the Browser"-Attacke (MitB) ausgemacht, die niederschwelliger und effizienter als bereits bekannte MitB sein soll. (...weiter)

Ende Juli haben Virenforscher einen Trojaner namens Crisis (auch als Morcut bekannt) entdeckt, der Nutzer von Windows und Mac OS X auf vielfältige Weise ausspionieren kann. (...weiter)

Eine Gruppe von Cyber-Kriminellen setzt seit Jahren größere Ressourcen für Angriffe auf Unternehmen ein. (...weiter)

Nutzer des VoIP-Dienstes Skype sind im eigenen Interesse dazu aufgerufen, Nachrichten aus unbekannten Quellen mit dem Wortlaut "Hallo, sag mal ehrlich sind das deine Fotos?" am besten direkt zu ignorieren. (...weiter)

Das Sality-Botnetz hat im Februar 2011 offenbar den gesamten IPv4-Adressraum auf zu korrumpierende Voice-over-IP-Endpunkte (VoIP) durchsucht. (...weiter)

Die Sicherheits-Experten bei Microsoft beobachten seit einiger Zeit, dass Cyber-Kriminelle zunehmend auf Social-Engineering-Methoden setzen. (...weiter)

Der IT-Dienstleister Datev, der unter anderem auch für verschiedene Behörden tätig ist, hat vor einem neuen Trojaner gewarnt, der sich als Post von der Finanzverwaltung tarnt. (...weiter)

Wie Kaspersky Lab in seinem Blog verkündet, hat sich die Familie um Flame, um einen kleineren, spezialisierteren Trojaner erweitert. (...weiter)

Deutsche Internet-Nutzer fanden im September weltweit die meisten schädlichen Anhänge und Links in ihren Postfächern vor und lösten damit die USA an der Spitze ab. (...weiter)

Cyber-Kriminelle verschicken derzeit massenweise Viren-E-Mails, die vorgeblich von Vodafones MMS-Gateway stammen. (...weiter)