Dipl.-Inform. Carsten Eilers

Brian Krebs: ‘Booter Shells’ Turn Web Sites into Weapons
Die Cyberkriminellen sind darauf gekommen, dass sie kompromittierte Webserver ja auch als Mittel für weitere Angriffe nutzen können. Das hat aber ziemlich lange gedauert, oder? Eigentlich ist das doch nah liegend.

F-Secure: A ZeuS variant that asks: No sound? No way.
Eine Zeus-Variante prüft, ob im angegriffenen System eine Soundkarte installiert ist. Ist keine vorhanden, wird das System nicht infiziert, es könnte ja ein virtuelles System eines Antivirenherstellers sein. Wenn Sie also die Soundkarte aus Ihrem PC ausbauen, haben Sie von dieser Variante nichts mehr zu fürchten.

CERT Polska: More human than human – Flame’s code injection techniques
Es gibt nicht Neues zu Gauss (noch ein digitaler Bettvorleger?), aber dafür zu Flame: Der verankert sich so tief wie möglich im angegriffenen System. Klar, er will ja möglichst nicht entdeckt und gelöscht werden. Flame ist der sich bisher am tiefsten im System verankernde Schädling. Aber was soll's? Es gab sicher einen Vorgänger, und es wird sehr wahrscheinlich irgendwann einen Nachfolger geben.

Trend Micro: Catch All the Bad Guys, Not the Good Guys
False Positives eines Virenscanners sind äußerst schlecht. Das hat auch Trend Micro erkannt. Die Gegenmaßnahme: U.a. eine Whitelist "guter" Programmdateien. Dazu sammelt Trend Micro Informationen über alle "guten" Programmdateien. Das verbessert die Erkennung der Schädlinge nicht, verhindert aber vielleicht ein paar Fehlerkennungen. Und wie ordne ich dass jetzt in meinen Vergleich mit der digitalen Schutzimpfung ein? Sind das die rechtsrotierenden, super gesunden Joghurt-Bakterien?

Symantec: Exploitation of Java Vulnerabilities
Java wird bei den Cyberkriminellen immer beliebter. Sorgen Sie also dafür, dass Sie immer die aktuellste Version verwenden. Und schalten Sie Java im Browser aus, wenn sie es nicht brauchen. Was nicht da ist, kann auch nicht angegriffen werden.

Threat Post: Gauss, Flame Highlight Problem of Defeating High-End Malware
Der Unterschied zwischen Cyberkriminellen und Cyberkriegern: Die Cyberkriminellen sind hinter Geld her. Ob sie das von mir, von Ihnen oder von wem auch immer bekommen, ist denen egal. Die Cyberkrieger sind hinter meinen oder Ihren Daten her, und zwar genau hinter denen. Also wenn wirklich Cyberkrieger hinter meinen Daten her sind, mache ich mir wirklich Sorgen über deren geistige Gesundheit. Merke: Nicht alles, was hinkt, ist ein guter Vergleich. Ach so: Threat Post gehört zu Kaspersky, und da kämpft man bekanntlich für den Cyber-Peace.

Mateusz “j00ru” Jurczyk und Gynvael Coldwind: PDF fuzzing and Adobe Reader 9.5.1 and 10.1.3 multiple critical vulnerabilities
Der Adobe Reader enthält auch nach dem Patchday noch etliche gefährliche Schwachstellen. Sorry, aber das ist nichts wirklich Neues, auch wenn wir jetzt eine "Google-amtliche" Bestätigung haben. Der Adobe Reader selbst ist eine einzige Schwachstelle und gehört auf dem digitalen Müllhaufen der Geschichte entsorgt. Es gibt inzwischen drei Möglichkeiten, ein System gezielt unsicher zu machen: Die Installation von Adobe Reader, Flash Player oder Java. Ob es Zufall ist, dass Adobe da gleich 2/3 der gefährlichen Programm beisteuert?

Sophos: Insecure WordPress blogs unwittingly host Blackhole malware attack
WordPress befindet sich im Visier der Cyberkriminellen. Was ist los? Gibt es etwa keine ASP-Anwendungen mit SQL-Injection-Schwachstellen mehr? Andererseits läuft liluhophilupop immer noch, zumindest die Cyberkriminellen da hinter finden noch genug Opfer. Oder sind die so ASP-fixiert, dass sie mit dem PHP-basierten WordPress nichts anfangen können?

Sophos: Twitter + location = WeKnowYourHouse
Also bei mir muss niemand Twitter und eine dubiose weitere Website nutzen, wenn er wissen will, wo ich wohne. Ein Blick ins Impressum reicht. Aber Datenschutz ist immer relativ! Wenn Sie anonym twittern, sollten Sie wirklich aufpassen, dass Sie sich nicht verraten!

McAfee: W32/XDocCrypt.a Infects Executable and Doc Files
Ein neuer Virus. Wie schön, da können die Virenscanner ja mal zeigen, was sie angeblich so gut können.

Trend Micro: ZACCESS/SIREFEF Arrives with New Infection Technique
Ein Fileinfector, der Binary Planting nutzt. Was es nicht alles gibt. Aber Moment mal: Der Schädling läuft rein lokal, Binary Plating ist ein Remote-Angriffe. Ich schätze mal, das ist dann doch nur eine altbekannte DLL-Preloading-Variante.

Carsten Eilers