Archiv für den Monat: Mai 2010

Spam verteilt bösartige Links an Skype-Nutzer

Hinterlassen Sie eine Antwort

Originalartikel von Gelo Abendan (Technical Communications)

Die Forscher von TrendLabs haben eine neue Skype-Spamkampagne aufgedeckt. Der Spam kommt als Nachricht von einer Kontaktliste eines Nutzers. Er enthält eine Link-Liste mit der Domäne {BLOCKED}4.171.116, von denen die meisten bereits nicht mehr aktiv sind.

Einer dieser Links führte zum Herunterladen einer bösartigen Datei, die Trend Micro als WORM_PALEVO.AZA identifiziert hat. Es handelt sich um einen TinyURL-Link, der in http://{BLOCKED}4.171.116/suspended.page/slika.exe aufgelöst wird. die Datei slika.exe beendet den Windows Update Service und versucht, über die TCP-Ports 80 und 1234 Verbindung zu den entfernten Servern {BLOCKED}.97.166 und {BLOCKED}.77.59 aufzunehmen.

Trend Micros Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur mittels des Web Reputation Service  den Zugriff auf bösartige Sites und Domänenverhindert, die Malware-infizierte Dateien enthalten. Der File Reputation Service erkennt diese Dateien als Schädlinge.

Verdächtiger JavaScript-Code in einer Facebook-Anwendung

1 Antwort

Originalartikel von Robert McArdle (Senior Malware Researcher bei Trend Micro)

Die Sicherheitsforscher von TrendLabs haben eine verdächtige Facebook-Seite gefunden, die JavaScript-Code nutzt, um an alle Freunde eines Nutzers Spam zu verschicken. Die Seite “10 lies girls ALWAYS tell guys! funny!” (10 Lügen, die Mädchen IMMER Jungs sagen! Lustig) ist ein klassisches Beispiel dafür, wie Facebook-Seiten JavaScript nutzen können, um Nutzern, die neugierig genug sind, den „Click here“-Button zu betätigen, mit Spam zu versorgen.

Um dies jedoch herauszufinden, müssen die mitgelieferten Anleitungen befolgt werden. Der Nutzer soll Ctrl + C drücken, um JavaScript zu kopieren sowie mit Alt + D die Adressenleiste zu wählen. Die danach folgenden Schritte vom Prompt aus führen JavaScript aus.



Der Code, den Nutzer in die Adressenleiste einfügen sollen, sieht folgendermaßen aus:

Der obere Teil zeigt den Originalcode, den der Nutzer eingeben soll, während der untere Teil den entschlüsselten Code darstellt. Der Originalcode ist entstellt, wobei hier zwei bekannte öffentlich zugängliche JavaScript Obfuscator verwendet wurden — Dean Edwards Packer und Free JavaScript Obfuscator.

Beim schrittweisen Durchgehen des Codes zeigt sich, dass die angegebenen Seitenelemente absichtlich versteckt bleiben. Auch werden die Inhalte eines separat angegebenen Seitenelements mit dem eines anderen Seitenelements überschrieben. Der Code erzeugt auch einen simulierten Mausklick auf das „suggest“-Element der Seite. Zum Ende hin setzt der Code Fünf-Sekunden-Timer, die auf in der Suggestion-Box gefundene Items klicken. Damit werden alle Facebook-Kontakte des Nutzers ausgewählt und mit einer Anwendungsempfehlung versehen. Dann wird ein Mausklick auf das „like me“-Seitenelement simuliert. Dieser Code stellt keine sofortige Bedrohung dar, außer dass er die Facebook-Walls mit Spam zumüllt. Doch kann auch nichts Cyberkriminelle davon abhalten, diese Techniken zum Verbreiten von Malware zu nutzen.

Ryan Flores, Senior Advanced Threats Researcher der TrendLabs, findet die Tatsache bemerkenswert, dass diese Methode der Interaktion des Nutzers bedarf. Facebook filtert aktiv Spam-URLs, sodass Spammer immer ausgeklügeltere Methoden verwenden, um Spam-Sites zu verbreiten, ohne gleich tatsächliche Spam-URLs zu erzeugen. Flores hält diese Methode nicht für neu. Als Beispiel einer solch nicht anzuklickenden Spam-URL nennt er JPG-Bilder. Diese weisen den User na, die im Bild angezeigte URL in die Adresszeile des Browsers einzugeben.

Glücklicherweise wird diese Gefahr gerade aufgrund der benötigten Nutzer-Interaktion vermeidbar. User sollten immer auf der Hut vor gefälschten Anwendungen in Facebook sein und es vermeiden, dubiosen Anleitungen zu folgen.

Dein Tweet ist mir Befehl

2 Antworten

Originalartikel von Karl Dominguez (Threat Response Engineer bei Trend Micro)

Ein Twitter Bot Builder wird derzeit im Internet kostenlos verbreitet. Er besitzt die Fähigkeit Nutzersysteme anzugreifen. Zu einer ernsten Gefahr könnte er werden, wenn ein Angreifer das Tool für eine verteilte Denial-of-Service-Attacke (DDoS) auf geschäftskritische Systeme einsetzt und um bösartige Dateien herunter zu laden.

Mit dem Programm lässt sich eine ausführbare Datei erstellen, die sich mit Twitter.com verbindet und Befehle auf der Basis der Tweets eines Nutzers ausführt. Der Angreifer kann E-Mails mit Dateianhängen verschicken oder Instant Messages mit Links darin, um die Opfer zum Download und zur Ausführung einer Datei zu verleiten.

Der Bot Builder besteht aus zwei Dateien — TwitterNet Builder.exe und Stub.exe. TwitterNet Builder.exe stellt die Schnittstelle zum Builder dar und fordert den Twitter-Nutzer auf, seinen User-Namen anzugeben und den „Build“-Button anzuklicken. Stub.exe ist die Basisdatei, in die der Builder den Twitter-Benutzernamen einfügt.


Der Builder erzeugt aus Stub.exe den Bot Server TwitterNet Builder.exe, den der Nutzer unter Umständen an ein Zielopfer verschickt.

Sobald der Server auf einem System läuft, verbindet er sich regelmäßig mit der Zielseite von Twitter, um die Tweets zu lesen, die der Angreifer aufsetzt. Die ausführbare Datei kann eine Datei aus dem Internet laden und ausführen. Über das User Datagram Protocol (UDP) kann sie einen DDoS-Angriff starten. Sie öffnet auch eine Webseite und nutzt die Windows Text-to-Speech Application, stoppt alle Bot-Aktivitäten und entfernt verbundene Bots.

Damit das Botnetz funktioniert, sollte das angreifende Profil ein öffentliches sein, sodass der Bot Server dessen Tweets lesen kann. Handelt es sich aber um ein solches öffentliches Profil, ist es für Sicherheitsverantwortliche ein Leichtes, die Angreifer zu finden, indem sie die verwendeten Befehle suchen. Es gibt weder Verteilungsfähigkeiten noch Autostarttechniken, doch kann ein Angreifer den Bot Server per Hand auf einem System installieren, oder einen Nutzer dazu bringen, die Datei auszuführen. Daher sollten User möglichst keine Anhänge öffnen oder Dateien aus unbekannter Quelle ausführen.

Trend Micro hat den Bot Builder TwitterNet Builder.exe als TROJ_TWEBOT.BLD identifiziert und Stub.exe sowie die generierten Bot Server TwitterNet.exe als TROJ_TWEBOT.STB erkannt.

Das Smart Protection Network schützt die Anwender vor dieser Gefahr, indem die Content-Sicherheitsinfrastruktur den Zugriff auf bösartige Domänen und damit in Zusammenhang stehende Sites mittels des Web Reputation Services blockiert. Der File Reputaion Service wiederum erkennt die bösartigen Dateien und verfährt mit ihnen entsprechend.

Apple Safari und Opera enthalten neue Schwachstellen

1 Antwort

Originalartikel von Gelo Abendan (Technical Communications bei Trend Micro)

Die Schwachstellen in Internet Explorer (IE) sind aufgrund der Beliebtheit des Browsers immer gut dokumentiert worden. Seitdem nun weitere Browser wie Apple Safari und Opera immer mehr genutzt werden, häuft sich Aufdeckung von Schwachstellen auch in diesen Programmen.

Rajiv Motwani, Sicherheitsforscher bei Trend Micro, berichtet über eine Reihe von Exploits für alle Browser in der letzten Woche. Das könne daran liegen, so der Experte, dass der Exploit-Code öffentlich verfügbar ist, und es somit für die Nutzer schwieriger ist, sich vor diesen Gefahren zu schützen, sind doch die Patches nicht immer vorhanden. „Auch lässt sich derselbe Code manchmal dazu verwenden, mehrere Browser anzugreifen“, fügt Motwani hinzu.

Es gibt eine Schwachstelle in Apple Safari, Version 4.0.5 für Windows, die es zulässt, dass ein Fensterobjekt gelöscht wird, auch wenn noch Referenzen vorhanden sind. Damit wird jedes Mal, wenn ein speziell erstellter Java Script Code versucht, das gelöschte Objekt zu nutzen, ein ungültiger Zeiger erzeugt. Ein entfernter Nutzer kann somit den Zeiger mittels besagten Codes kontrollieren. Cyberkriminelle sind in der Lage, diese Lücke auszunutzen, indem sie User dazu bewegen, ein HTML-Dokument in Safari anzusehen, um dann einen Zufallscode mit den Privilegien des Nutzers, der die Anwendung ausführt, ablaufen zu lassen. Weitere Details dazu finden Sie unter Vulnerability Note VU#943165.

Eine ähnliche Bedrohung gibt es auch für Opera, wobei ein Angreifer Zufallscode mit ähnlichen Privilegien wie die eines legitimen Nutzers ausführen kann. Die Schwachstelle ermöglicht es Angreifern, Opera auf nicht initialisierten Speicher zugreifen zu lassen, und somit diesen zu korrumpieren, damit der Zufallscode auf dem System laufen kann. Opera hat bereits den erforderlichen Sicherheits-Patch dafür veröffentlicht.

Das U.S. Computer Emergency Readiness Team empfiehlt Nutzern dringend, Java Script zu deaktivieren und es zu vermeiden, auf Links zu klicken, die in Mail-Nachrichten, Instant Messages, Webforen oder Internet Chat Relay (IRC) Kanälen vorhanden sind.

Trend Micros Deep Security und OfficeScan schützt die Anwender mittels dem Plugin Intrusion Defense Firewallvor (IDF) diesen Gefahren, solange ihre Systeme mit den IDF Regeln 1004147, 1004141, and 1004126 auf aktuellem Stand gehalten werden.

Gefälschte iTunes Werbegeschenke verteilen Malware

2 Antworten

Originalartikel von Merianne Polintan (Anti-spam Research Engineer bei Trend Micro)

Das Angebot von Werbegeschenken und sonstiger attraktiver Werbung stellen nur einige der Tricks dar, mit denen Cyberkriminelle Nutzer für ihre profitträchtigen Geschäfte einzubinden versuchen. Die Sicherheitsforscher der TrendLabs entdeckten kürzlich verdächtige E-Mails , die vorgeben, von iTunes Store zu kommen. Diese Fälschungen kündigen den Empfängern an, sie hätten einen Geschenkgutschein über 50 Dollar gewonnen, und fordern die Nutzer auf, sich den Zertifikatscode aus dem zip-Anhang zu holen. Dieser aber enthält natürlich nicht den erwarteten Code sondern Malware, die Trend Micro als TROJ_SASFIS.HN identifiziert hat.

Wird der Trojaner ausgeführt, so setzt er pgsb.lto (TROJ_DLOADR.SMVE) auf das System. Der Trojaner verbindet sich dann mit Websites, die ihn mit Anweisungen versorgen und eine weitere URL enthalten können, woher eine aktualisierte Kopie seiner selbst oder weitere Malware herunter geladen wird.

Dies ist nicht das erste Mal, dass der iTunes Store für kriminelle Geschäfte herhalten musste. Deshalb sollten Nutzer keine verdächtigen E-Mails öffnen und schon gar nicht Anhänge in solchen Nachrichten.

Trend Micro Smart Protection Network schützt die Anwender vor dieser Art des Angriffs, indem die Content-Sicherheitsinfrastruktur mittels des Email Reputation Service den Spam blockiert, noch bevor er in die Inbox kommt. Der File Reputation Service wiederum erkennt den Inhalt der Dateien als schädlich.