Technische Hilfen und Informationen aus dem IT-Bereich

Schadcode kann über den Aufruf einer Webseite ausgeführt werden

In Windows 2000 und XP ist ein gefährliches Sicherheitsloch gefunden worden, über das sich beliebiger Programmcode auf fremden Systemen ausführen lässt. Dafür ist allerdings eine Aktion des Opfers erforderlich. Bislang gibt es von Microsoft noch keinen Patch, um den Fehler zu beseitigen.

Das Sicherheitsleck tritt in Kombination mit VBScript im Internet Explorer und der Windows-Hilfefunktion auf. Für einen Angriff wird eine speziell gestaltete Webseite ins Internet gestellt, die den Nutzer auffordert, mittels der Taste F1 die Windows-Hilfe aufzurufen. Folgt der Nutzer dieser Aufforderung, kann der Angreifer beliebigen Programmcode ausführen. Automatisch lässt sich das Sicherheitsloch also nicht ausnutzen.

Die Sicherheitslücke wurde für Windows 2000, XP sowie Windows Server 2003 bestätigt. Nach Aussagen von Microsoft gibt es bislang noch keine aktiven Angriffe, die das Sicherheitsloch ausnutzen. Windows Vista, 7, Windows Server 2008 sowie 2008 R2 sind von dem Fehler nicht betroffen.

Bei Microsoft laufen noch die Untersuchungen. Ob und wann ein Patch veröffentlicht wird, ist derzeit nicht bekannt.

Quelle: Golem

Sicherheitsexperten waren derzeit vor dem Trojaner Win32.Trojan Downloader.Bredolab.AA , der sich momentan über harmlos erscheinende PDF- und SWF-Dateien europaweit rasant verbreitet. Hat der Trojaner einen Rechner infiziert, so lädt er weitere Schadsoftware aus dem Internet herunter. Bredolab gehört europaweit bereist zu den Top 10 der Internet-Schädlingen.

Sicherheitsfachleute raten dringend davon ab auch harmlos erscheinende PDF- und SWF-Dateien aus unbekannten oder verdächtigen Quellen zu öffnen. Bredolab wird aktiviert, sobald eine mit ihm infizierte Datei geöffnet wird. Nach öffnen der infizierten Datei nistet er sich in den Systemdateien ein und wird bei jedem Bootvorgang des PCs automatisch gestartet.

Unbemerkt verbindet sich Bredolab sofort via HTTP-Verbindung mit einem Remote-Server und beginnt Adware, Spyware und weitere Schadsoftware herunter zu laden. Potentielle Angreifer können auf diesem Wege sensible Daten und Passwörter des Nutzers ausspähen oder seine Postfächer mit unerwünschter Werbung zumüllen. Im ungünstigsten Fall kann der Rechner zum Teil eines Botnets umfunktioniert und für den Versand von Spam oder Cyberattacken missbraucht werden.

Fachleute haben festgestellt, dass Bredolab sich inzwischen europaweit rasant ausbreitet. Während er in Tschechien und der Slowakei bereist der meist verbreitete Schädling ist, rangiert er in Österreich, Polen und der Türkei bereits unter den ersten 5. In Deutschland, England, Schweden, Belgien und Russland hat Bredolab es inzwischen auch bereits unter die unrühmliche Top-10 der Schädlingen geschafft.

Auch wir warnen vor der besonderen Gefährlichkeit von Bredolab, da er in der Lage ist unterschiedliche Schadsoftware hinzuladen. Je später ein Nutzer Bredolab entdeckt, je mehr Malware muss er auf seinem infizierten Rechner befürchten, das wiederum erschwert die komplette Desinfektion des Systems. Der Trojaner gilt als besonders hinterhältig, da er sich über das bis Dato eigentlich als wenig riskant geltende PDF-Format verbreitet.

G Data warnt vor gefälschten Firefox-Sicherheitswarnungen. Die Manipulation erfolgt mit Hilfe eines Trojaners, der alle URL-Eingaben auf präparierte Webseiten weiterleitet. Hier lauert auf die potenziellen Opfer dann das Plagiat mit der Aufforderung aktuelle Virenschutzsoftware zu installieren. Statt vor realen Gefahren zu schützen, missbrauchen Online-Kriminelle so die Security-Funktion des Browsers für die Verbreitung gefälschter Virenschutzsoftware, sog. Scareware. Die Experten der G Data Security Labs warnen aktuell vor dem Besuch der Webseiten stopmalwaredomains.com, defenderpageblock.com, adwaredomainlist.com und browserliveprotection.com.

Die Sicherheitsexperten von Symantec kommen in ihrem aktuellen Report zu dem Ergebnis, dass Schadsoftware mittlerweile wieder zu einem großen Teil über physische Datenträger wie USB-Sticks verbreitet wird.

In der aktuellen Ausgabe ihres jährlich erstellten Internet Security Thread Reports (http://www.symantec.com/about/news/release/article.jsp?prid=20090413_01) kommen die Experten des IT-Sicherheitsunternehmens Symantec zu dem Ergebnis, dass die Zahl der neu entwickelten Schädlinge wieder einmal auf ein neues Rekordniveau gestiegen ist. Durchschnittlich entdeckten die Symantec-Experten demnach 136.000 Schädlinge pro Monat, im gesamten Jahr 2008 kam man somit auf rund 1,6 Millionen neue Schadprogramm-Varianten. Gegenüber 2007 bedeutet dies eine Steigerung von über 260 Prozent.

Die kriminelle Szene wird demnach immer professioneller und setzt auf eine immer feinere, internationale Arbeitsteilung. Besonders im Visier der Täter stehen dabei nach wie vor geheime Daten, die für finanzielle Transaktionen verwendet werden. Für die Region EMEA (Europa, Mittlerer Osten, Afrika) beträgt der Anteil der Malware-Aktivitäten mit diesem Angriffsziel rund 78 Prozent.

Während in den letzten Jahren die allermeisten Angriffe via Internet, z.B. durch verseuchte E-Mail-Anhänge oder manipulierte Webseiten, erfolgten, hat im letzten Jahr die Übertragung durch physische Datenträger wie USB-Sticks oder Speicherkarten wieder stark zugenommen. Weltweit sollen nach Symantec-Angaben bereits zwei Drittel aller Infektionen auf diesem Wege erfolgen. Im Jahr 2008 lag dieser Anteil dagegen  noch bei lediglich 44 Prozent. Die steigende Popularität dieser Übertragungsvariante führen die Experten auf die zunehmende Nutzung dieser Datenträger etwa für Handys, MP3-Player oder Digitalkameras zurück.