Originalartikel von Christopher Talampas (Fraud Analyst bei Trend Micro)

Kürzlich erhielt der Autor eine Instant Message über sein Yahoo!Messenger-Konto. Die Nachricht schien von einer Bekannten zu kommen und war an die gesamte Liste ihrer Freunde versendet worden.

Das bekannte Nachrichtenformat ließ den Schluss zu, dass der Absender ein Bot war, der den Empfänger dazu verleiten wollte, auf den Link in der Nachricht zu klicken. Der Link führte auf die folgende Seite mit 11 Fragen für einen IQ-Test führte:

Wer die Fragen beantwortet, landet auf einer “Ergebnisseite”, wo er seine Mobilnummer angeben soll, um die Quizergebnisse zu erhalten.

Auf den ersten Blick erschließt sich nicht, was die Spammer mit einer Mobilnummer machen wollen. Doch unten auf der Seite im „Summary of Terms“ zeigte sich, dass der Nutzer durch die Angabe seiner Mobilnummer ein Abo auf mobilen Content abschloss – und dieses war natürlich nicht kostenlos. 9,99 bis 19,99 Dollar im Monat wären fällig gewesen.

Die IM-Nutzer sind gut beraten spätestens an diesem Punkt den Browser Tab zu schließen und die Website zu verlassen. Die Anwender von Trend Micro-Produkten sind über das Smart Protection Network vor dieser Gefahr geschützt, denn der „IQ-Test“ ist von der Sicherheitsinfrastruktur blockiert worden.

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Eine Gruppe unabhängiger Sicherheitsforscher haben angekündigt, während des Monats September Zero-day- und Webanwendungsschwachstellen sowie Proof-of-concept (PoC) Exploits für gepatchte Sicherheitslücken zu veröffentlichen. Unter den Anbietern, deren angebliche Produkt-Sicherheitslücken an die Öffentlichkeit geraten sollen sind renommierte Unternehmen wie Adobe, Apple, Microsoft oder Mozilla.

Dem Trend Micro-Forscher Rajiv Motwani zufolge handelt es sich um eine Sammlung neuer und alter Lücken, die in erster Linie Microsoft betreffen. Die neuen Sicherheitslücken können als Zero-day-Schwachstellen gesehen werden, die die Nutzer verwundbar machen, bis ein Hersteller einen Patch anbietet. Das kann jedoch dauern, und daher sollten die Anwender jeden angebotenen Workaround nutzen.

Auch ist davon auszugehen, dass Einzelheiten zu den kürzlich veröffentlichten Advisories publiziert werden und dass auch PoC-Code dabei ist – damit aber Exploits wahrscheinlicher sind. Damit wiederum steigt das Risiko für die Anwender. Für Anwendungen wie der Internet Explorer (die Forscher haben angekündigt, dazu eine Schwachstelle zu veröffentlichen) kann ein Exploit innerhalb von Stunden nach der Ankündigung publik werden. Teile der vielen in Umlauf befindlichen Exploits lassen sich zudem für neue Angriffe wiederverwenden, sodass der Prozess sich nochmals beschleunigt.

Unternehmensanwender sollten wissen, dass Serveranwendungen ebenfalls von den veröffentlichten Sicherheitslücken betroffen sind. Möglicherweise dauert es länger, bis diese geschlossen werden. Außerdem ist auch der potenzielle Schaden für einen betroffenen Server höher als bei Privatanwendern.

Andererseits ist es für einzelne User schwieriger, sich zu schützen. Es gibt keine zentralen Benachrichtigungsmechanismen zu Updates, und die teilweise verfügbaren Auto-Update-Fähigkeiten stellen eine zusätzliche Belastung für diese Anwendergruppe dar.

Trend Micro bietet einige kostenlose Tools zum Herunterladen, die Anwender dabei unterstützen ihre Computer zu schützen.

Originalartikel von Jonathan Leopando (Technical Communications bei Trend Micro)

Ein gutes Timing ist alles, vor allem wenn man Malware verbreiten will. Letzte Woche benachrichtigten die Entwickler des beliebten Echtzeit-Browsers TweetDeck die Nutzer, dass sie diese Anwendung aktualisieren müssen, weil es Änderungen in den von Twitter unterstützten Authentifizierungsprotokollen gibt.

Cyberkriminelle witterten sofort ihre Chance und verschickten ihre eigenen Tweets mit gleichem Inhalt. Doch diese bösartigen Nachrichten enthielten einen URL-verkürzten Link auf einen angeblichen TweetDeck-Installer namens tweetdeck-08302010-update.exe.

Die Datei enthält natürlich keinen legitimen Installer sondern eine TDSS-Variante, die Trend Micro als TROJ_TDSS.FAT identifiziert hat. Die TDSS-Schädlingsfamilie liefert Rootkits, die die vollständige Kontrolle über betroffene Systeme übernehmen können. Auch sind sie aufgrund ihrer Komplexität und ausgeklügelten Programmierung schwer zu entfernen.

TweetDeck hat die Nutzer offiziell davor gewarnt,  einen Installer herunter zu laden, dessen URL mit http://alturl.com/ beginnt. Auch ist die Website, auf der die bösartige Datei liegt, blockiert worden.