Schlagwort-Archive: backdoor

Trojaner benutzt Google Docs als Kommunikationskanal

Die IT-Sicherheitsfirma Symantec hat einen Trojaner namens Backdoor.Makadocs entdeckt, der sich in RTF- und Word-Dokumenten versteckt und Schadcode per Trojan.Dropper deponiert. Er bedient sich des Viewers von Googles Doc-Dienst für die Kommunikation mit seinem Kontrollserver.

Quelle: Heise.de /Zum Artikel

 

 

 

Share

Facebook: [ZDDK-Virenwarnung]:Achtung vor “studiomagos.ru/Image/images…”

Nun war einige Wochen eine Ruhe aber nun dürfte der “JPG.scr” Virus wieder seinen Weg zu Facebook gefunden haben. Der neuerliche Virus verbreitet sich wieder sehr rasant über den Facebook-Chat und kann dadurch auch in den “persönlichen Nachrichten” auftauchen. Die URL, über welche der Viurslink versendet wird lautet “studiomagos.ru/Image/images…”.  Der Virus geht folgendermaßen vor:” Freunde erhalten einen Link mit der Dateiendung “JPG” über den Facebook-Chat bzw. über die persönlichen Nachrichten.

 

Sobald nun ein Nutzer diesen Link klickt wird dieser aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren.

Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet  und so verbreitet sich der Virus / Trojaner sehr rasch. In diesem Artikel möchten wir Euch zeigen wie der Virus sich verbreitet, über welche URL der Virus sich einschleust, was ein Antiviren-Experte dazu sagt, wie man sich davor schützen kann und was man tun kann wenn man den Link bereits geklickt hat.

Der Link sieht in etwa so aus (beginnt aber im Moment mit der URL “studiomagos.ru/Image/images…”

studiomagos.ru/Image/images

hinter “/images.php?show_image305=…3798” können sich die Ziffern jedoch immer wieder ändern!

Wenn man nun den Link “versehentlich” klickt so dürfte nichts passieren aber wenn man die dahinterliegende Datei speichert und ausführt dann ist es so, dass man sich einen Trojaner eingefangen hat und dass der Link an die gesamte Freundesliste gesendet wird.

Diese Information erschein wenn man den Link folgt (kann auch ggf. anders aussehen)

Hinweisfenster

Bereits Anfang November 2011 waren sehr viele Domänen betroffen, über welche der Virus versendet wurde.

An dieser Stelle möchten wir anmerken, dass die Domaininhaber, der folgenden Domänen, wahrscheinlich gar nicht wissen, dass Ihre URL dafür verwendet wird. Wir nehmen an, dass diese URL gehackt wurden und die Inhaber selbst mit der verseuchten Datei nichts zu tun haben!

http://w*w.vinamost.net
http://w*w.ferry.coza
http://w*w.maximilian-adam.com
http://w*w.bacolodhouseandlot.com/
http://w*w.serviceuwant.com
http://w*w.centralimoveisbonitoms.com.br
http://w*w.weread.in.th
http://w*w.sentosakaryautama.com
http://w*w.toyotechnicalservices.com
http://w*w.centralimoveisbonitoms.com.br
http://w*w.dekieviten.nl
http://w*w.villamatildabb.com
http://w*w.fionagh-bennet-music.co.uk
http://w*w.ukseikatsu.com
http://w*w.bzoe-salzkammergut.at
http://w*w.delicescolres.com

Hinter den genannten  Domänen wird jedoch noch eine “Unterseite” mit dem Dateinamen angegeben.

Was ist das für ein Virus bzw. was kann ich dagegen machen?

der mimikama – Antivirus Experte Christian Singhuber (avast! antivirus center) hat uns zu diesem Trojanischen Pferd folgende Information gesendet:

Der Trojaner Win32.Zbot-NPU [Trj] gehört zum weiten Kreis des Stamms Win32.Zbot. Das Ziel der meisten Angehörigen dieses Stamms ist es, sensible Internet-Daten des betroffenen Users auszulesen.

Dazu gehören u.a. auch
Passwörter,
besuchte zertifizierte Websites und
Cookies.

Besonders die Kombination aus Passwörtern und zertifizierte Websites ist hier die große Gefahr, da hier mittels nachfolgender automatisierte Routine alle Varianten durch kombiniert werden – und so schlimmstenfalls der Zugang zu einer sensiblen Website des Users erlangt werden kann.

Um sich zu schützen gelten die bekannten Regeln:

– Ein aktuelle Antivirus Programm mit Echtzeitschutz

– Eine aktive Firewall (am Besten 2-Wege – Datenverkehr rein/raus)

– Keine Dateien unbekannter Herkunft anklicken

– Keine Links mit zweifelhaftem Inhalt (auch von Freunden!) anklicken

Was kann ich tun, wenn ich den Link geklickt habe?

1.) Trenne deinen PC sofort von der Internetleitung, da hierbei weitere mögliche Schäden erspart bleiben.

2.) Überprüfe deinen PC umgehend mit einem Virenscanner deiner Wahl!
(Wir selbst verwenden avast! Free Antivirus und / oder Kaspersky

3.) Überprüfe deinen PC noch zusätzlich mit einem Malware-Scanner wie Malwarebytes

4.) Tätige keine Online-Banking Geschäfte (informiere auf ggf. deine Bank darüber)  mehr, sende keine Infos mehr per Mail, Chat, Facebook-Nachrichten usw. solange dein System nicht Virenfrei ist.

5.) Wenn die Punkte 1., 2., 3., keinerlei Erfolg gebracht haben dann sollte man eine Neuinstallation in Betracht ziehen!

Was kann der Virus anrichten?

Der Rechner wird mit mehreren “Backdoors” infiziert! Durch diese “Backdoors” ist ein System kompromittiert und daher nicht  mehr vertrauenswürdig. Sichere deine EIGENEN wichtigen Daten (keine ausführbaren Dateien wie *.exe Dateien), formatiere die Systempartition und setz Windows neu auf.

AVAST! und KASPERSKY konnten bereits im Vorfeld den Trojaner / Virus abfangen:

Kaspersky Anti-Virus 2012

 

Quelle : mimikama.at

Share

Facebook: Hilfestellung für den IMG.JPG.scr Virus auf Facebook

Wir schreiben nun bereits die dritte Woche und der Virus, mit der Dateiendung “JPG” verbreitet sich noch immer rasant über den Facebook-Chat bzw. über die Nachrichtenfunktion. Die aktuelle Domain, über welcher der Virus versendet wird lautet “http://w*w.vinamost.net” Der Virus geht folgendermaßen vor:” Freunde erhalten einen Link mit der Dateiendung “JPG” über den Facebook-Chat bzw. über die persönlichen Nachrichten.  Sobald nun ein Nutzer diesen Link klickt wird dieser aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren. Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet  und so verbreitet sich der Virus / Trojaner sehr rasch. In diesem Artikel möchten wir Euch zeigen wie der Virus sich verbreitet, über welche Domainen der Virus sich einschleust, was ein Antiviren-Experte dazu sagt, wie man sich davor schützen kann und was man tun kann wenn man den Link bereits geklickt hat.

 

Mittlerweile sind sehr viele Domainen betroffen, über welche der Virus versendet werden.

An dieser Stelle möchten wir anmerken, dass die Domaininhaber, der folgenden Domainen, wahrscheinlich gar nicht wissen, dass Ihre Domaine dafür verwendet wird. Wir nehmen an, dass diese Domainen gehackt wurden.

http://w*w.vinamost.net
http://w*w.ferry.coza
http://w*w.maximilian-adam.com
http://w*w.bacolodhouseandlot.com/
http://w*w.serviceuwant.com
http://w*w.centralimoveisbonitoms.com.br
http://w*w.weread.in.th
http://w*w.sentosakaryautama.com
http://w*w.toyotechnicalservices.com
http://w*w.centralimoveisbonitoms.com.br
http://w*w.dekieviten.nl
http://w*w.villamatildabb.com
http://w*w.fionagh-bennet-music.co.uk
http://w*w.ukseikatsu.com
http://w*w.bzoe-salzkammergut.at
http://w*w.delicescolres.com

Hinter den genannten Domainen / URL wird jedoch noch eine “Unterseite” mit dem Dateinamen angegeben.

Die Endung ist aber immer:

IMG86372543.JPG

Wobei das Wort “IMG” immer gleich ist und auch die Dateiendung “JPG”
Was sich allerdings ändert ist die Zahl zwischen “IMG” und “JPG”

Hier einige Beispiele:

http://www.irgendeinedomaine.com/php?image=IMG01010101.JPG

http://www.irgendeinedomaine.com/facebook_img.php?I=IMG01010101.JPG

http://www.irgendeinedomaine.com/images/img.php?s=IMG0101.JPG

Hier kann man erkennen, das die Endung “JPG” ist:

image

Wenn man nun den Link “versehentlich” klickt so dürfte nichts passieren aber wenn man die dahinterliegende Datei speichert und ausführt dann ist es so, dass man sich einen Trojaner eingefangen hat und dass der Link an die gesamte Freundesliste gesendet wird.

Diese Information erschein wenn man den Link folgt (kann auch ggf. anders aussehen)

image

Was ist das für ein Virus bzw. was kann ich dagegen machen?

Der Antivrus Experte Christian Singhuber sagt dazu…

der mimikama – Antivirus Experte Christian Singhuber (avast! antivirus center) hat uns zu diesem Trojanischen Pferd folgende Information gesendet:

Der Trojaner Win32.Zbot-NPU [Trj] gehört zum weiten Kreis des Stamms Win32.Zbot. Das Ziel der meisten Angehörigen dieses Stamms ist es, sensible Internet-Daten des betroffenen Users auszulesen.

Dazu gehören u.a. auch
Passwörter,
besuchte zertifizierte Websites und
Cookies.

Besonders die Kombination aus Passwörtern und zertifizierte Websites ist hier die große Gefahr, da hier mittels nachfolgender automatisierte Routine alle Varianten durch kombiniert werden – und so schlimmstenfalls der Zugang zu einer sensiblen Website des Users erlangt werden kann.

Um sich zu schützen gelten die bekannten Regeln:

– Ein aktuelle Antivirus Programm mit Echtzeitschutz

– Eine aktive Firewall (am Besten 2-Wege – Datenverkehr rein/raus)

– Keine Dateien unbekannter Herkunft anklicken

– Keine Links mit zweifelhaftem Inhalt (auch von Freunden!) anklicken

Der Antivirus Experte, Christian Singhuber steht Euch am 2.11.2011, bei der ersten Zuerst denken-dann klicken” Veranstaltung, Rede uns Antwort wenn es um das Thema: Computervirus ohne Ende-wieso ist das Eigentlich so? geht!

Gerne laden wir Dich zu dieser Veranstaltung, welche LIVE auf Facebook stattfinden wird, ein!

>> Hier kommst du direkt zur Veranstaltung auf Facebook

Was kann ich tun, wenn ich den Link geklickt habe?

1.) Trenne deinen PC sofort von der Internetleitung.

1.) Überprüfe deinen PC umgehend mit einem Virenscanner
(Unser Tipp an dieser Stelle ist avast! Free Antivirus und / oder Kaspersky

2.) Überprüfe deinen PC noch zusätzlich mit einem Malware-Scanner wie Malwarebytes

3.) Tätige keine Online-Banking Geschäfte (informiere auf ggf. deine Bank darüber)  mehr, sende keine Infos mehr per Mail, Chat, Facebook-Nachrichten usw. solange dein System nicht Virenfrei ist.

Was kann der Virus anrichten?

Der Rechner wird mit mehreren “Backdoors” infiziert! Durch diese “Backdoors” ist ein System kompromittiert und daher nicht  mehr vertrauenswürdig. Sichere deine EIGENEN wichtigen Daten (keine ausführbaren Dateien wie *.exe Dateien), formatiere die Systempartition und setz Windows neu auf.

AVAST! und KASPERSKY konnten bereits im Vorfeld den Trojaner / Virus abfangen

 

Quelle:  mimikama.at

 

Auch kann die Webseite fuer einige sicher interessant sein :

COMPUTER BILD-Schutz-CD

wie auch die Webseite der  eco – Verband der deutschen Internetwirtschaft e.V. und BSI

botfrei.de

Share

Facebook: JPG.scr: Virus verbreitet sich noch immer sehr rasch über den Facebook-Chat und den Nachrichten

Wie wir bereits am 11.10.2011 berichtet haben verbreitet sich sehr rasant ein Virus über den “Facebook-Chat” bzw. über die “Persönlichen Nachrichten“. Freunde erhalten einen Link mit der Dateiendung “JPG.scr” Hinter diesem Link verbirgt sich ein Virus / Trojaner welcher eine Backdoor-Funktion in sich birgt. Sobald nun ein Nutzer diesen Link klickt wird man aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren. Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet  und so verbreitet sich der Virus / Trojaner sehr rasch. In diesem Artikel möchten wir Euch zeigen wie der Virus sich verbreitet, über welche Domainen der Virus sich einschleust, was ein Antiviren-Experte dazu sagt, wie man sich davor schützen kann und was man tun kann wenn man den Link bereits geklickt hat.

 

 

So kann der Virus-Link aussehen.

image

image

image

Sobald man klickt erscheint folgendes Fenster

image

 

Quelle und vollstaendiger Bericht : mimikama.at/Zum Artikel

Share

Kaspersky findet neue Version des Staatstrojaners

Die Malware-Experten des Security-Unternehmens Kaspersky haben eine weitere Version des Staatstrojaners ausfindig gemacht. Diese enthält deutlich weitergehende Optionen als die bisher bekannten Spionage-Programme, die auf Landesebene eingesetzt wurden.

Die Kaspersky-Analysten Tillmann Werner und Stefan Ortloff sprechen dabei vom “großen Bruder” des bekannten Backdoor-Trojaners, denn die entschlüsselte Datei enthält jetzt sechs Komponenten, die jeweils verschiedene Aufgaben erfüllen. Dabei kann der Trojaner nicht nur unter 32-Bit-Versionen von Windows aktiv werden, sondern auch auf 64-Bit-Versionen.

Die vom Chaos Computer Club (CCC) gezeigten Staatstrojaner waren in erster Linie darauf ausgelegt, Telefonate via Skype abzuhören. “Die von uns analysierte Version zeigt, dass es die Software neben Skype auch auf Web-Browser, verschiedene Instant Messenger und VoIP-Software wie ICQ, MSN Messenger, VoipBuster und Yahoo Messenger abgesehen hat”, sagte Werner.

Quelle: winfuture.de

Share

Facebook: “Achtung! Es werden Pornofilme in unserem Namen an unsere Pinnwaende gepostet…” Trojaner

Im Moment macht ja wieder Viren die Runde hier haben die Jungs von Zuerst denken – dann klicken! einen Beitrag zu diesen Komischen Meldungen Verfasst.

In den letzten Tagen bekommen wir immer wieder folgendes Posting zu sehen: “*** INFO *** ABARTIG *** ACHTUNG ***Achtung! Es werden Pornofilme in unserem Namen an unsere Pinnwaende gepostet, ohne dass wir die sehen koennen. Nur unsere Freunde sehen die. Manchmal ist sogar ein Kommentar mit unserem Namen dabei. Wenn Ihr sowas bei mir seht, bitte sagt es mir sofort und macht es nicht auf, es ist ein Virus. BITTE KOPIEREN UND WEITERLEITEN!” Wir denken nun mal, das es sich hierbei um ein “Likejacking” Video handelt welches wahrscheinlich einen Trojaner in sich versteckt hat. Wie das Posting aussieht bzw. was “Likejacking” ist haben wir in diesem Artikel beschrieben.

 

So sieht das Posting aus:

image

Da wir selbst nun dies bestimmten Videos noch nicht auf unserer Pinnwand gesehen haben nehmen wir nun mal an, dass es sich hier um ein “klassisches Likejacking” Video handelt

So funktioniert ein Likejacking Video inkl. versteckter Malware (Trojaner, Virus…)

Als Beispiel nehmen wir ein Video, über welches wir bereits im März 2011 berichtet haben.

Titel des damaligen Videos  “Mädchen hat sich auf dem Hotelflur ausgesperrt”  Sobald man auf den Link, im Posting klickt, öffnet sich die APP und ein POPUP Fenster wo man zuerst den ADOBE FLASH-PLAYER installieren muss ABER ACHTUNG dieser ist kein FLASCH-PLAYER sondern wenn man diesen installiert FÄNGT MAN SICH MALWARE ein!

So sieht das Posting aus:

111

So sieht die APP aus:

11

So sieht der ANGEBLICHE FLASHPLAYER aus:

222

ACHTUNG! Dies ist NICHT DER FALSHP-LAYER sonder wenn man auf “AUSFÜHREN” klickt installiert man sich Malware!!!

Was ist Malware?

Malware ist ein Überbegriff für unerwünschte Software, die schädigende Funktionen ausführt und die Internet Sicherheit erheblich einschränkt. Der Begriff umfasst schädigende Software im allgemeinen und kann verschiedene Bereiche umfassen: Dateiviren, Makroviren, Bootviren, Backdoors, Trojaner, Würmer und andere bösartige Software.

Was macht Malware?

Malware, von malicious software abgeleitet, ist heute eine der großen Herausforderungen für die Internet Sicherheit. Insbesondere Software, die vertrauliche Daten ausspioniert und verschickt, ist für Privatpersonen ebenso wie für Unternehmen ein nicht zu unterschätzendes Risiko. Die Gefahr, mit Malware infiziert zu werden, besteht grundsätzlich immer, sobald ein Rechner durch das Internet oder lokale Netzwerk mit der Außenwelt verbunden ist.

 

Quelle : mimikama.at


Share

IRC-Server seit Monaten mit Backdoor

Die Entwickler des quelloffenen IRC-Servers UnrealIRCd mussten heute mitteilen, dass die Datei Unreal3.2.8.1.tar.gz auf den Projekt-Servern bereits vor Monaten durch eine Version mit einer Hintertür (Backdoor, Trojaner) ersetzt wurde. Die Backdoor erlaubt es Fremden, Kommandos mit den Rechten des UnrealRCd-Benutzers auf dem Server auszuführen. Laut der Mitteilung wurde die Datei offenbar bereits im November 2009 ausgetauscht, was bis heute allerdings unbemerkt blieb.

quelle :  heise.de

Share