Sind Tausende deutsche Web-Surfer ab März offline? Ein Schadprogramm namens DNS Changer hat zahlreiche Rechner infiziert. Das Bundesamt für Sicherheit in der Informationstechnik rät Internetnutzern zum PC-Schnelltest. Auf einer Website kann man jetzt prüfen, ob der eigene Datenverkehr umgeleitet wird.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) hat eine Webseite ins Netz gestellt, über welche man sehr schnell prüfen kann, ob ein Rechner von der Schadsoftware mit dem Namen “DNS-Changer” befallen ist. Es wird berichtet, dass man den eigenen Rechner bis spätestens 7.März 2012 prüfen solle. “BSI” haben gemeinsam mit der Deutschen Telekom sowie dem Bundeskriminalamt eine Seite zur Verfügung gestellt, wo man sofort seinen PC einer Prüfung unterziehen kann! Warum das Ganze? Die Malware mit dem Namen “DNS-Changer” wurde im November 2011 verbreitet und Internetkriminelle hatten mittels “DNS-Changer” die Netzwerkkonfiguration von PC’- und Mac-Systemen durch den Eintrag neuer DNS-Server manipuliert.
Hat nun ein Nutzer eine Webseite angeklickt, dann wurde dieser an diverse (von den Internetkriminellen Betrügern) manipulierte Webseiten umgeleitet.
Seit dem Wochenende versuchen Betrüger durch gefälschte E-Mails an persönliche Daten von Adressaten der Mail zu gelangen. Sie geben sich in der E-Mail als „Deutsche Bundesbank“ aus und weisen auf eine zwischen dem Bundesamt für Sicherheit in der Informationstechnik und den führenden Kreditkartenunternehmen ins Leben gerufene Kooperation hin.
Nun war einige Wochen eine Ruhe aber nun dürfte der “JPG.scr” Virus wieder seinen Weg zu Facebook gefunden haben. Der neuerliche Virus verbreitet sich wieder sehr rasant über den Facebook-Chat und kann dadurch auch in den “persönlichen Nachrichten” auftauchen. Die URL, über welche der Viurslink versendet wird lautet “studiomagos.ru/Image/images…”. Der Virus geht folgendermaßen vor:” Freunde erhalten einen Link mit der Dateiendung “JPG” über den Facebook-Chat bzw. über die persönlichen Nachrichten.
Sobald nun ein Nutzer diesen Link klickt wird dieser aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren.
Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet und so verbreitet sich der Virus / Trojaner sehr rasch. In diesem Artikel möchten wir Euch zeigen wie der Virus sich verbreitet, über welche URL der Virus sich einschleust, was ein Antiviren-Experte dazu sagt, wie man sich davor schützen kann und was man tun kann wenn man den Link bereits geklickt hat.
Der Link sieht in etwa so aus (beginnt aber im Moment mit der URL “studiomagos.ru/Image/images…”
hinter “/images.php?show_image305=…3798” können sich die Ziffern jedoch immer wieder ändern!
Wenn man nun den Link “versehentlich” klickt so dürfte nichts passieren aber wenn man die dahinterliegende Datei speichert und ausführt dann ist es so, dass man sich einen Trojaner eingefangen hat und dass der Link an die gesamte Freundesliste gesendet wird.
Diese Information erschein wenn man den Link folgt (kann auch ggf. anders aussehen)
Bereits Anfang November 2011 waren sehr viele Domänen betroffen, über welche der Virus versendet wurde.
An dieser Stelle möchten wir anmerken, dass die Domaininhaber, der folgenden Domänen, wahrscheinlich gar nicht wissen, dass Ihre URL dafür verwendet wird. Wir nehmen an, dass diese URL gehackt wurden und die Inhaber selbst mit der verseuchten Datei nichts zu tun haben!
Hinter den genannten Domänen wird jedoch noch eine “Unterseite” mit dem Dateinamen angegeben.
Was ist das für ein Virus bzw. was kann ich dagegen machen?
der mimikama – Antivirus Experte Christian Singhuber (avast! antivirus center) hat uns zu diesem Trojanischen Pferd folgende Information gesendet:
Der Trojaner Win32.Zbot-NPU [Trj] gehört zum weiten Kreis des Stamms Win32.Zbot. Das Ziel der meisten Angehörigen dieses Stamms ist es, sensible Internet-Daten des betroffenen Users auszulesen.
Dazu gehören u.a. auch Passwörter, besuchte zertifizierte Websites und Cookies.
Besonders die Kombination aus Passwörtern und zertifizierte Websites ist hier die große Gefahr, da hier mittels nachfolgender automatisierte Routine alle Varianten durch kombiniert werden – und so schlimmstenfalls der Zugang zu einer sensiblen Website des Users erlangt werden kann.
Um sich zu schützen gelten die bekannten Regeln:
– Ein aktuelle Antivirus Programm mit Echtzeitschutz
– Eine aktiveFirewall (am Besten 2-Wege – Datenverkehr rein/raus)
– Keine Dateien unbekannter Herkunft anklicken
– Keine Links mit zweifelhaftem Inhalt (auch von Freunden!) anklicken
Was kann ich tun, wenn ich den Link geklickt habe?
1.) Trenne deinen PC sofort von der Internetleitung, da hierbei weitere mögliche Schäden erspart bleiben.
2.) Überprüfe deinen PC umgehend mit einem Virenscanner deiner Wahl!
(Wir selbst verwenden avast! Free Antivirus und / oder Kaspersky
3.) Überprüfe deinen PC noch zusätzlich mit einem Malware-Scanner wie Malwarebytes
4.) Tätige keine Online-Banking Geschäfte (informiere auf ggf. deine Bank darüber) mehr, sende keine Infos mehr per Mail, Chat, Facebook-Nachrichten usw. solange dein System nicht Virenfrei ist.
5.) Wenn die Punkte 1., 2., 3., keinerlei Erfolg gebracht haben dann sollte man eine Neuinstallation in Betracht ziehen!
Was kann der Virus anrichten?
Der Rechner wird mit mehreren “Backdoors” infiziert! Durch diese “Backdoors” ist ein System kompromittiert und daher nicht mehr vertrauenswürdig. Sichere deine EIGENEN wichtigen Daten (keine ausführbaren Dateien wie *.exe Dateien), formatiere die Systempartition und setz Windows neu auf.
AVAST! und KASPERSKY konnten bereits im Vorfeld den Trojaner / Virus abfangen:
Wir schreiben nun bereits die dritte Woche und der Virus, mit der Dateiendung “JPG” verbreitet sich noch immer rasant über den Facebook-Chat bzw. über die Nachrichtenfunktion. Die aktuelle Domain, über welcher der Virus versendet wird lautet “http://w*w.vinamost.net” Der Virus geht folgendermaßen vor:” Freunde erhalten einen Link mit der Dateiendung “JPG” über den Facebook-Chat bzw. über die persönlichen Nachrichten. Sobald nun ein Nutzer diesen Link klickt wird dieser aufgefordert die Datei auf seinem PC zu speichern oder sofort zu installieren. Diese Aktion hat zur Folge, dass der Virus “aktiviert” wird und das alle eigenen Freunde diesen Virus-Link ebenfalls bekommen indem er sich mittels der Chat-Funktion oder dem Nachrichtensystem verbreitet und so verbreitet sich der Virus / Trojaner sehr rasch. In diesem Artikel möchten wir Euch zeigen wie der Virus sich verbreitet, über welche Domainen der Virus sich einschleust, was ein Antiviren-Experte dazu sagt, wie man sich davor schützen kann und was man tun kann wenn man den Link bereits geklickt hat.
Mittlerweile sind sehr viele Domainen betroffen, über welche der Virus versendet werden.
An dieser Stelle möchten wir anmerken, dass die Domaininhaber, der folgenden Domainen, wahrscheinlich gar nicht wissen, dass Ihre Domaine dafür verwendet wird. Wir nehmen an, dass diese Domainen gehackt wurden.
Wenn man nun den Link “versehentlich” klickt so dürfte nichts passieren aber wenn man die dahinterliegende Datei speichert und ausführt dann ist es so, dass man sich einen Trojaner eingefangen hat und dass der Link an die gesamte Freundesliste gesendet wird.
Diese Information erschein wenn man den Link folgt (kann auch ggf. anders aussehen)
Was ist das für ein Virus bzw. was kann ich dagegen machen?
Der Antivrus Experte Christian Singhuber sagt dazu…
der mimikama – Antivirus Experte Christian Singhuber (avast! antivirus center) hat uns zu diesem Trojanischen Pferd folgende Information gesendet:
Der Trojaner Win32.Zbot-NPU [Trj] gehört zum weiten Kreis des Stamms Win32.Zbot. Das Ziel der meisten Angehörigen dieses Stamms ist es, sensible Internet-Daten des betroffenen Users auszulesen.
Dazu gehören u.a. auch Passwörter, besuchte zertifizierte Websites und Cookies.
Besonders die Kombination aus Passwörtern und zertifizierte Websites ist hier die große Gefahr, da hier mittels nachfolgender automatisierte Routine alle Varianten durch kombiniert werden – und so schlimmstenfalls der Zugang zu einer sensiblen Website des Users erlangt werden kann.
– Eine aktive Firewall (am Besten 2-Wege – Datenverkehr rein/raus)
– Keine Dateien unbekannter Herkunft anklicken
– Keine Links mit zweifelhaftem Inhalt (auch von Freunden!) anklicken
Der Antivirus Experte, Christian Singhuber steht Euch am 2.11.2011, bei der ersten Zuerst denken-dann klicken” Veranstaltung, Rede uns Antwort wenn es um das Thema: Computervirus ohne Ende-wieso ist das Eigentlich so? geht!
Gerne laden wir Dich zu dieser Veranstaltung, welche LIVE auf Facebook stattfinden wird, ein!
Was kann ich tun, wenn ich den Link geklickt habe?
1.) Trenne deinen PC sofort von der Internetleitung.
1.) Überprüfe deinen PC umgehend mit einem Virenscanner
(Unser Tipp an dieser Stelle ist avast! Free Antivirus und / oder Kaspersky
2.) Überprüfe deinen PC noch zusätzlich mit einem Malware-Scanner wie Malwarebytes
3.) Tätige keine Online-Banking Geschäfte (informiere auf ggf. deine Bank darüber) mehr, sende keine Infos mehr per Mail, Chat, Facebook-Nachrichten usw. solange dein System nicht Virenfrei ist.
Was kann der Virus anrichten?
Der Rechner wird mit mehreren “Backdoors” infiziert! Durch diese “Backdoors” ist ein System kompromittiert und daher nicht mehr vertrauenswürdig. Sichere deine EIGENEN wichtigen Daten (keine ausführbaren Dateien wie *.exe Dateien), formatiere die Systempartition und setz Windows neu auf.
AVAST! und KASPERSKY konnten bereits im Vorfeld den Trojaner / Virus abfangen
In Sachen Online-Kriminalität stehen Identitätsdiebstahl und Identitätsmissbrauch weiterhin an zentraler Stelle. Allerdings ändern sich die Methoden der Täter. Das klassische Phishing, bei dem PC-Nutzer mittels Links in E-Mails auf betrügerische Webseiten gelockt werden, sei kaum noch zu beobachten.
Die Angreifer nutzen stattdessen fast ausschließlich Trojaner, um persönliche Daten abzufangen. Das teilten die Polizeiliche Kriminalprävention der Länder und des Bundes sowie das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einer gemeinsamen Stellungnahme mit.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat vor einer neuen Variante des Online-Banking-Trojaners “ZeuS” gewarnt. Kriminelle versuchen derzeit, die Variante über Spam-Mails mit Download-Links zu verbreiten. Die laut BSI in nahezu fehlerfreiem Deutsch verfassten E-Mails sollen den Empfänger dazu verleiten, den in der E-Mail enthaltenen Link anzuklicken.
Über den Link wird eine Zip-Datei heruntergeladen, die den Trojaner enthält. Der versucht sich als DOC-Datei zu tarnen, obwohl es sich um eine ausführbare EXE-Datei handelt (“UploadDocIndex30.Doc_______________.exe”). Die Namen des ZIP-Archivs können etwa “Konto055.zip” oder “UploadDocIndex30.zip” tragen.
Deutschland rüstet wegen der starken Zunahme von Angriffen auf seine Computernetze auf. Das „Nationale Cyber-Abwehrzentrum“ nahm nun seine Arbeit in Bonn auf.
Nach dem eco-Verband zeigt sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit der Anti-Botnet-Initiative Botfrei zufrieden. Nach Angaben von BSI-Chef Michael Hange verzeichnete die Website bisher 763.000 Besucher, von denen sich 400.000 die De-Cleaner-Software besorgten. Außerdem wurden 145.000 Benachrichtigungen an verschiedene Betreiber verschickt. Sollte der Trend anhalten, so könnten die Botnetze nach Hange in zwei Jahren auf ein erträgliches Maß reduziert werden. Derzeit sind nach Schätzungen des BSI 350.000 bis 500.000 Rechner in Deutschland mit Bot-Malware infiziert.
Im September berichtete das Computermagazin c’t über ungenügende Sicherheit bei Banken-Websites. Der 16-jährigen Schüler Armin Razmdjou hatte auf den Web-Seiten von 17 Banken Cross Site Scripting Lücken entdeckt. Als er drei Monate später die Web-Auftritte der Banken nochmals testete, fand er in jedem Web-Auftritt erneut ernst zu nehmende Sicherheitslücken, berichtet c’t in der nächsten Ausgabe. Benjamin Strebel kam auf die gleiche Idee und konnte weitere Lücken aufdecken.