Websicherheit.org

Kaspersky Lab informiert auf dieser Seite die Top 20 der Schadprogramme für Juni 2009.
Interessant zu lesen ist, das Conficker trotz der Tatsache, das man wenig über ihn liest immer noch aktiv ist.
Auch Gumblar ist noch aktiv. Auf der Liste der Schadprogrammen die Anwendercomputer am häufigsten infizierten belegt Gumblar den 1. Platz.

Das SANS Internet Storm Center meldet, das Webseiten, welche mit Cold-Fusion erstellt worden sind aktuell im Fadenkreuz der Angreifer sind.
In den vergangenen 24 Stunden wurden ungewöhnlich viele Webseiten, welche die Cold-Fusion Applikationen FCKEditor oder CKFinder einsetzen kompromittiert.
Die Angreifer schleusen so Schadcode in den Web-Content ein, welche an die Besucher der Webseiten weiter gegeben wird.
Das SANS Internet Storm Center empfiehlt allen betroffenen Webmastern und Administratoren den Web-Content zu überprüfen und und bei Bedarf das neuste Sicherheits-Update einzuspielen.

WebGuard von Avira zeigte gestern bei den unterschiedlichsten Webseiten einen Alrm an, obwohl diese Seiten in keinster Art und Weise kompromittiert waren.
Laut eines Eintrages im Avira Forum waren die Seiten:

• t-online.de
• n24.de
• google-analytics.com
• ugo.com
• facebook.de (teilweise)

betroffen. Ein Update hatte am selbigen Abend die Problematik behoben.

Dar Hoax-Info Service - Weblog von TU Berlin sowie PCWelt.de berichten übereinstimmend, das Malware-Spammer sich verstärkt die Outlook-Anwender ausgesucht haben, um Schadprogramme zu verteilen.
Diese Mails sind an dem Stil und Layout von Microsoft Webseiten gehalten und behaupten, Microsoft habe neue Versionen von Outlook und Outlook Express bereit gestellt. Zudem werden Datei-Details aufgeführt, um den Anschein der Echtheit zu erwecken. Die Mail enthält einen Link, welcher auf eine Webseite verweist, welche ebenfalls stark an das Layout von Microsoft angelehnt ist.
Hier kann man über einen Link die Datei “officexp-KB910721-FullFile-ENU.exe” herunter laden, welches tatsächlich ein Trojaner aus der Zbot-Familie darstellt.
Der Trojaner wird mittlerweile von den meisten Virenscannern erkannt.

Update:
Laut einem Blogeintrag von Sunbelt das weitere Mails kursieren, welche versuchen, die Empfänger mit dem Thema Outlook-Update auf Webseiten zu locken, um Schadcode über eine veraltete Acrobat/Adobe Reader Installation in das System einzuschleusen. Interessant ist, das diese Scahdroutine (Stand 30.06) von den wenigsten Virenscannern erkannt wird.

Apple hat eine Sicherheitslücke im Online-Speicherdienst iDisk geschlossen.
Angreifer waren in der Lage auf die Daten anderer Nutzer zuzugreifen.
Ob die Sicherheitslücke in der Vergangenheit zum unbefugten Auslesen von iDisk-Daten genutzt wurde, ist nicht bekannt.

Wordpress-Blogger aufgepasst. Wer das Plugin DM Albums verwendet, könnte Gafahr laufen, das Angreifer das Blog übernehmen können.
Eingaben werden nicht dem “SECURITY_FILE” Parameter in wp-content/plugins/dm-albums/template/album.php korrekt gegen geprüft wenn “register_globals” aktiviert ist.
Betroffen ist laut dem Artikel von Secunia die Version 1.9.2. Frühere Versionen des Plugins könnten ebenfalls betroffen sein.
Diese Lücke ist aktuell noch ungepatcht und wer die Möglichkeit hat, sollte als Workaround in der php.ini auf dem Webserver “register_globals” auf “Off” setzten.

Mitte Juli erscheint in den Kinos der Film Harry Potter und der Halbblutprinz.
Viele Fans können die Premiere nicht abwarten und machen sich im Internet auf die Suche, um den Film jetzt und kostenlos zu sehen.
Und die “Suchenden” werden fündig, wie PC Tools zu berichten weiß.
Allerdings mit der Gefahr, das auf dem Rechner Malware eingeschleust wird.
Die Masche ist so simpel wie effektiv.
Wer auf Teufel komm raus den Film im Internet sehen möchte, der verfolgt jeden verfügbaren Link und Verweis. Wer dann auf einer manipulierten Webseite landet, und den Film anschauen möchte, der muss sich wie bei anderen Malware Seiten auch, erst den passenden Codec oder Streamviewer herunterladen. Wenn da die Gier obsiegt, der hat gewonnen. Entweder eine Scareware-Virenscanner, einen Passwortspion oder der Rechner wird in einem Botnet integriert.
Mein Tipp: Geht leiber ins Kino. Da ist das Bild größer und die Qualtität des Bildes besser.
Außerdem haben die ein besseres Sound-System.

Secunia berichtet über mehrere hoch kritische Sicherheitslücken in KDE 4.x.
In den Secunia Advisory’s SA35627 und SA35582, sowie SA35581 für KDE 3.x wird über eine DoS Schwachstelle berichtet, welche Angreifer dazu ausnutzen können, um das System zu kompromittieren.
Ein Workaround gibt es derzeit nur für die Sicherheitslücke SA35627.
Diese sind hier und hier dokumentiert.
Offenbar können die Sicherheitslücken durch das Aufrufen von manipulierten Webseiten ausgenutzt werden. Daher empfiehlt Secunia nur vertrauenswürdige Webseiten aufzurufen.

Wie in diesem Artikel bereits von mir angerissen – Die Spiele sind eröffnet. Die schlechten Spiele der Angreifer und Betrüger, die aus dem Todesfall von Michael Jackson entweder Profit ziehen wollen (Scareware/Fake Antivirus) oder gar Viren und Trojaner verbreiten.
Trend Micro berichtet hier von einem MSN-Bot, der Instant Messanger Mitteilungen an andere Teilnehmer versendet, die einen Link beinhalten, welche die Opfer auf eine manipulierte Webseite locken, wo der sofortige Download der Datei PIC-IMG029-www.hi5.com.exe aufwartet. Man muss nicht lange überlegen, um darauf zu kommen, das es sich hier um Malware handelt.
In diesem Artikel wird berichtet, das E-Mails, welche augenscheinlich von CNN Mexico versendet wurden, und einen Verweis zu einem “exclusiven CNN Video” bereit hält.
Ab hier geht die Masche gewohnte Wege. Opfer klickt Link – Landet auf Webseite mit Video – Codec- oder Flashupdate muss vorab heruntergeladen werden – Download war Virus.
ich schätze, ich werde noch einige Tagen oder Wochen über Machenschaften dieser Art berichten.

Die Entwickler des Tor-Projekts haben in der Version 0.2.0.35 zwei Sicherheitslücken und insgesamt vier Bugfixes geschlossen.
Ein manipulierter Exit-Node soll einem Client vorgaukeln können, dass ein DNS-Request mit einer IP-Adresse im lokalen LAN aufgelöst wird.Des Weiteren lässt sich Tor durch das Senden präparierter Router-Deskriptoren gezielt zum Absturz bringen.
Weitere Details gehen aus der “Tor announcements list” und dem Artikel “Tor 0.2.1.16-rc Release Candidate now available“, wo die selben Lücken geschlossen wurden, nicht hervor.