Kommentare zum DNS-Changer, der ersten "Schadsoftware" in Apples App Store und mehr
Heute gibt es Kommentare zu einer Reihe neuer Entwicklungen. Zuerst zum Abschalten der Ersatz-Nameserver für die Opfer des DNS-Changers am heutigen Montag (9. Juli 2012).
Das war eigentlich schon für den 8. März geplant, und irgendwann muss mit der Gnadenfrist ja Schluss sein. Wer bis jetzt nicht bemerkt hat, dass sein Rechner infiziert ist, würde es auch in den nächsten Monaten nicht. Jetzt sitzen die Opfer ohne Internet da und dürfen sich vermutlich von wem auch immer sie sich helfen lassen erst mal eine Standpauke anhören. Vielleicht sind sie dann ja in Zukunft vorsichtiger?
Leid tun mir nur diejenigen, deren Rechner vom DNS-Changer bereinigt wurden ohne die DNS-Einstellungen zu korrigieren. Denn die haben nun auch keinen Kontakt mehr mit dem Internet, obwohl sie (fast) alles richtig gemacht haben und vermutlich nicht mal ahnen, dass ihre DNS-Einstellungen nicht in Ordnung sind.
Erste Schadsoftware in Apples App Store?
Kaspersky hat "Schadsoftware" in Apples App Store und Google Play gefunden: Die App "Find and Call" lädt das Telefonbuch der Benutzer auf einen Server und sendet dann an alle Einträge SMS mit der URL zur App. Das ist dreistes Marketing und nicht gerade nett, aber in meinen Augen ist das keine Schadsoftware. Denn wäre es wirklich Schadsoftware, würden die SMS vom Smartphone des Opfers auf dessen Kosten gesendet. So sieht das für mich wie ein leider fast schon "normaler" Verstoß gegen Datenschutzbestimmungen aus. Die Entwickler haben nur den Fehler gemacht, sich das nicht irgendwo versteckt in den Nutzungsbedingungen genehmigen zu lassen.
Aber schön, dass Kaspersky den "Trojaner" jetzt erkennt. Das schadet zumindest im Fall von Apples App Store niemanden, da es Kasperskys Virenscanner ja nicht in App Store gibt, es betrifft also höchstens die Android-Nutzer der App, die Kasperskys Scanner installiert haben. Die erfahren dann vom Scanner, dass ihr Adressbuch mit SMS zugespammt wurde - was sie vermutlich schon von einigen ihrer Bekannten erfahren haben. "Neuinfektionen" verhindert die Erkennung nämlich nicht mehr, dazu kommt sie zu spät, da Apple und Google die App sowieso aus ihren Stores gelöscht haben. Wobei ich sowieso keine große Gefahr sehe, dass die App noch oft verkauft worden wäre, nachdem sie jede Menge schlechter Bewertungen erhalten hat.
Und weil von Virenscannern erwartet wird, dass sie alle von anderen Virenscannern erkannten Schädlinge ebenfalls erkennen, hat auch Sophos Erkennungsroutinen für die Android-Version implementiert. Obwohl man auch dort nicht von "Schadsoftware-Status" der App überzeugt ist. Wieso muss ich da gerade an Lemminge denken?
Vielleicht sollte mal jemand einen "Antivirenscanner" veröffentlichen,
der die ganzen Antivirenprogramme als
mehr oder weniger nutzlose Vaporware
erkennt. Und "nach Hause telefonieren" tun die Dinger zum Teil auch noch!
Das klingt doch sehr nach Schadsoftware, oder?
Wie viele davon sich wohl kurz darauf selbst als Schadsoftware erkennen
würden? Frei nach dem Motto "Was einer erkennt, müssen alle
erkennen!".
Neuer Angriff auf tibetische Aktivisten
Heute gibt es auch schon ein Update zum Text vom vorigen Donnerstag: Kaspersky berichtet über einen neuen Angriff auf tibetische Aktivisten. Der Dalai Lama wurde am 6. Juli 77 Jahre alt (Herzlichen Glückwunsch!), und die Angreifer verschickten am 3. Juli E-Mails, in denen es angeblich um die Vorbereitung der Geburtstagsfeier geht. Im Anhang befindet sich ein Word-Dokument, dass die gleiche Schwachstelle wie der am Donnerstag beschriebene Angriff ausnutzt. Diesmal sind allerdings Windows-Benutzer Ziel des Schadcodes.
Besonders interessant ist die Schlussbemerkung in der Kaspersky-Meldung:
"Additionally, we have pointed in the past that many of these APT (Advanced Persistent Threat) attacks are not exactly “advanced”. In many cases, they are not so “persistent” either – they get detected very quickly by antivirus products and removed from the systems.
But one thing they are for sure – insistent."
Das stimmt natürlich, die Angreifer sind sehr hartnäckig ("insistent"). Aber vielleicht haben wir das "persistent" im APT ja auch falsch interpretiert und damit ist nicht nur das Vorgehen des Angreifers nach dem Eindringen in den ersten Rechner gemeint, sondern schon der Versuch des Eindringens. Denn auch "persistent" kann man ja mit "hartnäckig" oder "beharrlich" übersetzen.
Analyse eines Exploits für die XML Core Services Schwachstelle
Trend Micro hat eine Analyse eines Exploits für die 0-Day-Schwachstelle in den XML Core Services von Windows veröffentlicht (CVE-2012-1889): Teil 1, Teil 2 und Teil 3. Der Exploit versucht, die Schwachstelle über den Internet Explorer auszunutzen, kann aber außer über präparierte Websites auch über E-Mails eingeschleust werden.
Im ersten Teil wird die Nutzung der XML Core Services beschrieben, im zweiten das Heap Spraying zum Verteilen des Schadcodes im Speicher und im dritten die Schadfunktion: Das Nachladen einer Backdoor. Dieser Exploit kann die Data Execution Prevention DEP nicht umgehen. Ist die DEP aktiviert, schlägt das direkte Anspringen des per Heap Spraying eingeschleusten Schadcodes fehl und der Internet Explorer stürzt ab. Dann bin ich ja mal gespannt, ob Microsoft ein Update veröffentlicht, bevor ein DEP und ASLR umgehender Exploit die Runde macht.
Trackbacks
Dipl.-Inform. Carsten Eilers am : Virenscanner ignorieren einen Schädling, und Facebook überwacht Chats
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Wasserloch-Angriffe, Teil 1: Ein paar Beispiele
Vorschau anzeigen