Archiv für den Monat: Januar 2010

Anfragen zu Facebook “Un Named App” ergeben infizierte Resultate

Hinterlassen Sie eine Antwort

Originalartikel von Rik Ferguson (Solutions Architect bei Trend Micro)

Eine meiner Bekannten hatte den folgenden Status ihres Facebook-Profils angegeben:

Facebook-Status

Bei diesem Eintrag beschlich mich ein ungutes Gefühl, und ich beschloss, mich etwas umzusehen.

Was Facebook anbelangt, gibt es nichts Besorgniserregendes, es scheint keine an sich bösartige App zu sein. Eine Anfrage bei Yahoo ergab, dass „Un named App“ nichts anderes als das “Boxes”-Tab der eigenen Facebook-Profilseite ist.

Doch Vorsicht: Es gibt dennoch ein reelles Risiko. Kriminelle haben sich diesbezügliche Sorgen der Facebook-Anwender zunutze gemacht und bereits damit begonnen, Google Suchergebnisse zu infizieren.

Google-Suchergebnisse

Ich startete bei Google ein Anfrage nach “facebook unnamed app” und musste feststellen, dass ein Drittel der Ergebnisse auf der ersten Seite auf eine bösartige Website zeigten, die mit dem Ziel aufgesetzt worden war, gefälschte Antiviren-Software unter der Bezeichnung Security Tool zu verteilen.

Ist ein Nutzer unvorsichtig genug und klickt den Link an, so erhält er eine Dialogbox, die ihn darüber informiert, dass er eine Riesenanzahl infizierter Dateien auf seiner Maschine hat. Er wird aufgefordert, das Security Tool für die Säuberung zu nutzen. Natürlich handelt es sich nicht um eine tatsächliche Sicherheitslösung. Das Tool soll das Opfer dazu bringen, in klingender Münze zu zahlen.


Security Tool – gefälschtes AV

Meine Empfehlung: “Suchen” Sie immer umsichtig, vor allem wenn es um Suchanfragen zu gerade populären Themen geht. Mittlerweile sind Such- und Gesprächstrends ein beliebtes Mittel für die Kriminellen, um Unschuldige auf bösartige Software umzuleiten.

Wer sich Sorgen um die eigene Computersicherheit macht, kann seinen PC mit einer reellen Sicherheitslösung scannen, und zwar mit dem kostenlosen Housecall-Dienst. Bei Fragen können Sie auch den Autor unter der Mailadresse rik_ferguson@trendmicro.com erreichen.

FAKEAV zieht bereits ersten Nutzen aus dem Apple iPad

4 Antworten

Originalartikel von Carolyn Guevarra (Technical Communications bei Trend Micro)

Noch bevor der erste Nutzer die neueste Apple-Technologie, das iPad, kaufen kann, ziehen die Cyberkriminellen bereits ihren Profit aus deren Popularität.

Die Sicherheitsanalysten von Trend Micro haben einige bösartige Suchergebnisse gefunden, bei Anfragen nach Informationen zu der Ankündigung des Apple-Tablets. Die infizierten Suchergebnisse entpuppten sich als Teil der anhaltenden Blackhat Search Engine Optimization (SEO) FAKEAV-Kampagnen. Das Anklicken der Suchergebnisse führt zum Download einer gefälschten Antivirus-Software, die Trend Micro als TROJ_FAKEAV.EAM identifiziert hat.

Bei Ausführung zeigt TROJ_FAKEAV.EAM eine professionell aufgesetzte grafische Benutzerschnittstelle an, um die Nutzer dazu zu bringen, die Software zu installieren. Dann erscheint ein gefälschter Infektions-Alert. Geht ein Nutzer darauf ein, sein System von den angeblichen Infektionen zu säubern, zeigt der Trojaner eine Werbeseite, die zu einer Phishing-Seite führen kann, sollte der User sich für den Kauf der FAKEAV entscheiden.




Seitdem Apple bekannt gegeben hat, wann das iPad erhältlich ist, ist das Tablet das heißeste Thema im Web. Und Cyberkriminelle lassen sich diese Gelegenheit nicht entgehen, daher ist es wahrscheinlich, dass viele Nutzer diesem neuen FAKEAV-Angriff auf den Leim gehen werden. Trend Micro warnt eindringlich vor bösartigen Links und empfiehlt, für Informationen zum iPad nur Sites zu besuchen, die eine gute Reputation haben.

Das Smart Protection Network schützt die Anwender vor dieser Gefahr, indem es den Zugriff auf bösartige Sites verhindert und auch den Download infizierter Dateien.

Wo ist denn eigentlich DOWNAD/Conficker?

Hinterlassen Sie eine Antwort

Originalartikel von Ria Rivera (Technical Communications bei Trend Micro)

Ein Jahr ist vergangen, seit WORM_DOWNAD.AD (auch Conficker genannt) seinen Eroberungsfeldzug der Systeminfektionen rund um die Welt startete. Seither hat Trend Micro neue Varianten entdeckt, einschließlich WORM_DOWNAD.KK, einer aktualisierten Version, in der der Wurm die Zahl der von ihm generierten Domänen von 250 auf 50.000 erhöhen konnte.

In den letzten Monaten war es ziemlich ruhig um DOWNAD/Conficker. Das heißt jedoch nicht, dass die Welt nun sicher ist vor einer ähnlich hohen Anzahl von Infektionen. Tatsächlich zeigen Daten der Conficker Working Group, zu der auch Trend Micro gehört, dass der Wurm auch weiterhin aktiv ist. Eine kürzliche Veröffentlichung stellt auch fest, dass es allein in der ersten Woche 2010 durchschnittlich mehr als 100 Millionen einzigartige IP-Adressen gab, die mit den Tracking-Systemen der Gruppe verbunden waren. Die Grafik zeigt die Anzahl der einzigartigen IP-Adressen, die mit den Tracking-Systemen innerhalb eines Jahres verbunden waren.

Der Q3-Report „State of the Internet“ von Akamai bekräftigt diese Zahlen nochmals. Dem Report zufolge gibt es weiterhin signifikante Port-445-Aktivitäten. Updates des Wurms beweisen auch, dass es eine Verschiebung im Trend der Länder gegeben hat, aus denen die meisten Angriffe kamen: China und die Vereinigten Staaten werden jetzt von Russland und Brasilien auf die Plätze verwiesen.

Trend Micro empfiehlt Anwender deshalb dringend, ihre Systeme und Programme immer auf aktuellem Stand zu halten. Des weiteren sollte Autorun deaktiviert sein, um das Risiko einer neuen oder wiederholten Infektion zu minimieren.

Trend Micros Smart Protection Network schützt die Anwender in Echtzeit vor allen bekannten Varianten von DOWNAD/Conficker, indem es Spam-Nachrichten stoppt, bevor diese die Maileingänge der Anwender erreichen können. Auch verhindert diese Content-Sicherheitsinfrastruktur den Zugang zu bösartigen Sites und Domänen sowie das Herunterladen von bösartigen Dateien.

Suchanfragen nach kostenlosen Ausdrucken führen zu bösartigen Domänen

Hinterlassen Sie eine Antwort

Originalartikel von JM Hipolito (Technical Communications bei Trend Micro)

Die Trend Micro Sicherheitsforscher in EMEA haben einen Blackhat SEO-Angriff entdeckt, der Suchanfragen nutzt, die den String “free printable” enthalten, um den Suchverkehr zu übernehmen und ihn in eine gefälschte Suchmaschine umzuleiten.

Die Analysten fanden heraus, dass diese Anfragen mit dem String “free printable” Ergebnisse liefern, die auch infizierte Websites umfassen. Diese Websites enthalten bösartige Java Scripts,die als JS_REDIRECT.SMF und JS_REDIRCT.MAC identifiziert wurden. Sie stoßen bei jedem Besuch der infizierten Website eine Reihe von Umleitungen an, die schließlich zu einer gefälschten Such-Engine führen, die automatisch den ursprünglich gesuchten String in die eigene Search Textbox stellt.

Das Ziel der Cyberkriminellen scheint das Hijacking des Suchverkehrs in Search Engines zu sein, um ihn in ihre eigenen Such-Engines umzuleiten und so Geld zu verdienen. Noch ist nicht klar, ob es dabei bleibt, doch Nutzer sollten vorsichtig sein, denn die Cyberkriminellen könnten sehr einfach die endgültige Zielseite auf eine Malware-Hosting Site ändern.

Folgendes Diagramm zeigt, wie die Hijacking-Suchläufe funktionieren:


Es ist anzunehmen, dass der SEO-Angriff von der Tatsache profitiert, dass das Interesse an kostenlos auszudruckenden Dateien ziemlich hoch ist. Trend Micro empfiehlt Anwendern dringend, keine Suchanfragen zu stellen, die die Wörter „free printable“ enthalten, da sie an bösartige Sites weiter geleitet werden könnten. Nähere Informationen zu dieser Art von Angriffen finden sich unter dieser Adresse.

Das Erdbeben in Haiti fördert Malware ans Licht

Hinterlassen Sie eine Antwort

Originalartikel von Roderick Ordoñez (Technical Communications bei Trend Micro)

Nach dem Erdbeben in Haiti am 12. Januar wurde das Internet überflutet mit Spendenaufrufen von allen möglichen Unternehmen und Organisationen. Doch nicht alle diese Aufrufe verfolgten ehrliche Absichten. Martin Roesler, Director of Threat Research bei Trend Micro, ruft Internetnutzer zur Vorsicht beim Anklicken von entsprechenden Websites auf: „Wir haben bereits gefälschte Spenden-Sites, Spam und FAKEAV-bezogene SEO-Angriffe (Search Engine Optimization) entdeckt, welche diese Katastrophe als Social Engineering Taktik nutzen. Und es werden immer mehr. Deshalb müssen hilfswillige Anwender sicherstellen, dass sie ihr Geld auf vertrauenswürdigen Sites spenden, dass alle Sicherheitsfunktionen ihres Webbrowsers aktiv sind und dass sie per Hand die URLs, mit denen sie verbunden sind, gegenprüfen.“ Er empfiehlt, E-Mails, die „One-Click“-Spenden oder ähnliche Dienste anbieten, nicht zu vertrauen.

Obige Spam-Nachricht gibt vor, vom UNICEF International Response Fund zu kommen, und enthält einen Aufruf zum Spenden von Hilfsgütern und Geld. Sie beschreibt sogar die angeblichen Bemühungen der Organisation bei der Hilfe für die Erdbebenopfer in Haiti. Doch unglücklicherweise führt der angegebene Spenden-Link auf eine Phishing-Site.

Auch Nutzer, die sich über die Ereignisse informieren wollen, landen infolge von SEO-Poisoning häufig auf bösartigen Sites. Beim Anklicken solcher Links wird eine FAKEAV-Variante TROJ_FAKEAV.ZX installiert.

Kriminelle nutzen schon länger Tragödien als Social Engineering Taktik. Naturkatastrophen, der Tod von Berühmtheiten, virale Videos und andere zweifelhafte Geschichten – praktisch alles, was Aufsehen im Web erregen kann – verwenden sie als Trigger.

Anwender des Smart Protection Networks von Trend Micro sind vor Gefahren dieser Art geschützt, denn die Sicherheitsinfrastruktur blockiert Spam-Nachrichten, bevor sie die Inbox erreichen, und verhindert auch den Zugriff auf bösartige Sites und Domänen sowie das Herunterladen von verseuchten Dateien.