Flugzeuge können nicht starten. Die Bundeswehr muss Rechner abschalten. Schuld ist der Wurm Conficker, der Schäden anrichtet wie kaum ein anderer. ZDNet erläutert, warum er sich so rasant verbreiten kann und wie man die Gefahr abwendet.

Lange hat sich keine Malware mehr auf so vielen Windows-Servern in Unternehmen verbreitet wie der Conficker-Wurm, der von einigen Antiviren-Herstellern auch Downadup genannt wird. Besonders gefährlich sind die Varianten B und C, die ihr Unwesen seit dem 1. Januar 2009 treiben. Der Wurm Conficker.B begann am 30. Dezember 2008 damit, sich zu verbreiten. Die nur geringfügig modifizierte Variante Conficker.C folgte einen Tag später. Viele Hersteller, beispielsweise Microsoft und Symantec, sehen Conficker.C nicht als eigenständige Variante und bezeichnen beide Varianten als Conficker.B.

Eigentlich hätte es gar nicht dazu kommen dürfen, dass sich dieser Wurm verbreitet. Bereits am 23. Oktober 2008 hatte Microsoft das Security-Bulletin MS08-067 veröffentlicht und ein außerordentliches Update angekündigt. Ein Update außerhalb der normalen Patchdays bringt Microsoft nur äußerst selten. Allerdings ist das ein sicheres Zeichen dafür, dass es sich um eine sehr ernste Lücke handelt, die man nicht ignorieren sollte.

Nach etwa einem Monat tauchte der weniger gefährliche Wurm Conficker.A auf, erst später die gefährlichen Varianten B und C. Um sich vor der gefährlichen Variante zu schützen, hätte es ausgereicht, sein System innerhalb von zwei Monaten auf den neuesten Stand zu bringen. Privatleute aktualisieren ihr System relativ häufig. Sie waren von dem Conficker-Wurm kaum betroffen.

Anders sieht es in Unternehmen aus. Ab dem 1. Januar 2009 kam es zu einer zeitweisen Überlastung der europäischen Hotline von Microsoft. Microsofts EMEA-Sicherheitschef Roger Halbheer fühlte sich in seinem Skiurlaub gestört und verfasste den Blogeintrag Russian Roulette with your Network, in dem er sich unter anderem darüber beschwerte, dass Kunden keine Updates einspielten. Inzwischen hat Microsoft sogar eine Belohnung von 250.000 Dollar (etwa 195.000 Euro) für Hinweise auf den Conficker-Autor ausgesetzt.

Auf Systemen, die den Patch MS08-067 nicht installiert haben, kann sich der Wurm über RPC einnisten. Ist er einmal auf einen Rechner gelangt, so stört er den Betrieb mächtig. Zunächst patcht er einige DNS-APIs. Dies tut er, um zu verhindern, dass man sich aktualisierte Antiviren-Signaturen herunterlädt. Wenn ein DNS-Name Strings wie Microsoft, Kaspersky, Symantec, Sophos oder Avira enthält, dann wird diese DNS-Query nicht mehr ausgeführt. Hat man sich Conficker auf einem DNS-Server für das Intranet eingefangen, so können auch Client-Computer keine Verbindung zu www.microsoft.com aufbauen, da der String microsoft enthalten ist.

Noch ärgerlicher ist, dass Conficker versucht, sich unter einer gültigen Benutzerkennung anzumelden, um sich so auf andere Rechner auszubreiten. Dazu probiert er eine ganze Reihe von Passwörtern wie password, abc123, qwerty, Admin und changeme aus. Die Passwörter kombiniert er mit der Benutzerliste der gesamten Domain. Ist Conficker mit einem Admin-Account erfolgreich, bedeutet das, dass er sich in der Regel unmittelbar im gesamten Intranet verbreitet.

Obwohl die Liste der Passwörter lang ist, bleibt die Wahrscheinlichkeit gering, dass die beschriebene Methode zum Erfolg führt. Da Microsofts Active Directory jedoch per Default so konfiguriert ist, dass es jedes Benutzerkonto nach zehn Fehlversuchen bei der Passworteingabe für 30 Minuten sperrt, hat man den Effekt, dass sich Benutzer eines Netzwerkes nicht mehr anmelden können.

Solche Effekte stören den geregelten Betriebs eines Netzwerks. Oft ist die Business Continuity nicht gewährleistet. Nicht nur im zivilen Bereich gibt es Ausfälle. So konnten französische Kampfflugzeuge nicht starten, weil es wegen eines Conficker-Befalls nicht möglich war, die Flugpläne herunterzuladen. Auch bei der Bundeswehr wurden hunderte von Rechnern infiziert.

Die beiden Vorfälle, die die Landesverteidigung betreffen, ereigneten sich nicht etwa kurz nach dem Jahreswechsel, sondern Anfang Februar, als letztendlich jeder, der sich mit Computersicherheit beschäftigt, etwas über den Conficker-Wurm gelesen oder gehört haben musste. Das wirft die Frage auf, wieso so viele Behörden und Unternehmen einen Patch, der im Oktober erschienen ist, nicht längst eingespielt haben - spätestens seitdem bekannt ist, dass ein Schädling umgeht, der die Sicherheitslücke MS08-067 ausnutzt.

Natürlich wissen Administratoren in Unternehmen, dass man seine Rechner aus Sicherheitsgründen auf dem neuesten Stand halten soll, und dass das noch wichtiger ist, als eine Antimalware-Lösung zu implementieren. Generell besteht jedoch eine gewisse Sorge darüber, dass durch Einspielen eines Updates ein wichtiger Server nicht mehr funktionieren könnte.

Tatsächlich gibt es nachvollziehbare Berichte, dass Server nach Einspielen eines Updates nicht mehr zu 100 Prozent funktionieren. Nachvollziehbar bedeutet, dass man durch Rückgängigmachen des Updates die volle Funktionalität wieder herstellt. Ein erneutes Einspielen des Updates lässt den oder die Fehler wieder auftreten.

Obwohl solche Berichte nicht aus der Luft gegriffen sind, kommt ein fehlerhaftes Verhalten eines Servers weitaus seltener vor als allgemein angenommen. Meist sind die Probleme hausgemacht, beispielsweise durch Ändern von Scripts oder "Tunen" von Parametern. Das letzte Update verantwortlich zu machen, ist eine einfache, aber oft unzutreffende Erklärung.

Trotzdem steht jeder vor der Wahl, die Updates regelmäßig mitzumachen und dadurch ein Risiko einzugehen, dass nach dem Update eine Fehlfunktion auftritt, beispielsweise wegen möglicher Seiteneffekte, oder die Updates lieber auszulassen und zu riskieren, dass eine Sicherheitslücke ausgenutzt wird.

Ist ein Server auf irgendeine Weise über das Internet erreichbar, so bleibt keine Alternative zum schnellen und regelmäßigen Einspielen der Sicherheitsupdates. Die Wahrscheinlichkeit eines aktiven Angriffs steigt mit jedem Sicherheitspatch, den man nicht mitmacht, stark an. Der Grund liegt darin, dass ein Security-Update Malware-Autoren als Anleitung dient. Aus den Unterschieden zwischen der Original-Datei und dem Update lässt sich genau erkennen, wo die Sicherheitslücke liegt. Der Patch selbst führt immer direkt zur Stecknadel im Heuhaufen. Malware-Autoren müssen jetzt nur noch einen Weg finden, möglichst viele andere Computer mit dieser Stecknadel zu "pieken".

Speziell für den Fall Conficker könnte man argumentieren, dass beispielsweise ein Web-Server im Internet nicht betroffen sei, weil man nur TCP-Port 80 ins Internet durchroute. Da Conficker sich originär über RPC verbreite, reiche es aus, die TCP-Ports 135, 139 und 445 nicht ins Internet zu routen.

Vor solchen Szenarien muss eindringlich gewarnt werden. Beispielsweise gibt es seit Windows Server 2003 die Möglichkeit, RPC durch http und https zu tunneln, primär, um Microsoft Exchange 2003 im Internet ohne VPN erreichen zu können. Conficker B und C versuchen zwar nicht, sich durch RPC-Tunneling auf einem Rechner zu verbreiten, jedoch kann jederzeit eine Variante D erscheinen, die von dieser Möglichkeit Gebrauch macht.

Nicht viel anders sieht es bei einem reinem Intranet-Server aus. Ein aktiver Angriff aus dem Internet, etwa durch den Conficker-Wurm, ist nicht möglich. Vor passiven Angriffen bleibt man jedoch nicht geschützt, beispielsweise durch das Aufrufen einer Webseite mit einem Bild, das für das Ausnutzen einer Sicherheitslücke präpariert wurde. Außerdem können Intranet-Server leicht durch ihre Clients angegriffen werden, wenn ein Client über einen USB-Stick mit Malware verseucht wurde. Das Risiko, erfolgreich angegriffen zu werden, ist auch bei einem Intranet-Server größer als das Risiko, dass der Server nach einem Update streikt.

Um das Risiko eines Serverausfalls nach einem Update zu minimieren, sollte man nur Fixes einspielen, die tatsächlich Security-Patches sind. Das ist längst nicht bei allen Updates der Fall. Generell sind alle Updates, die Microsoft als "critical" oder "important" eingestuft hat, Fixes für potenzielle Sicherheitslücken. Trotzdem gibt es Ausnahmen: Service Packs werden beispielsweise nach einer gewissen Zeit mindestens als "important" eingestuft. Das Einspielen eines kompletten Service Packs birgt jedoch immer das Risiko, dass Serveranwendungen anschließend nicht mehr korrekt arbeiten. Das gilt insbesondere für Anwendungen von Drittanbietern.

Auf Servern sollte man generell auf alle Updates verzichten, die als "optional" gekennzeichnet sind. Auf einen funktionierenden Server gehören nach dem Prinzip "never touch a running system" weder Microsoft Silverlight noch Updates für Internet Explorer oder Windows Media Player.

Insbesondere die HTML-Engine des Browsers ist, anders als die EU es gerne hätte und tiefer, als es für die Sicherheit gut ist, mit dem OS verwoben. Viele Serveranwendungen nutzen die HTML-Engine unsichtbar, etwa in ihren MMC-Verwaltungstools. Tauscht man die HTML-Engine aus, kann es zu gravierendem Fehlverhalten von Serveranwendungen kommen.

Problematisch sind Updates, die als "recommended" gekennzeichnet sind. Dahinter verbergen sich oft Updates für Help-File-Texte oder Änderungen von Sommerzeitregeln für einige Länder. Man sollte im Einzelfall überlegen, ob man das Update für sinnvoll hält oder nicht. Ändern sich beispielsweise die Sommerzeitregeln der Fidschi-Inseln, und man betreibt dort keine Server, so kann man das Update getrost auslassen, auch wenn durch das Einspielen kein Fehlverhalten zu erwarten ist.

Zusammenfassend lässt sich zum Thema Updates sagen, dass man alle sicherheitsrelevanten Updates einspielen sollte. Das bedeutet jedoch keineswegs, dass auf Servern alle Updates ungefiltert eingespielt werden dürfen. An einer manuelle Selektion geht kein Weg vorbei. Service Packs und andere über reines Bugfixing hinausgehende Updates haben auf Servern nichts zu suchen.

Generell ist es schwierig, Server mit Windows NT 4.0 zu schützen. NT 4.0 findet sich bei Unternehmen noch recht häufig als Domain-Controller. So stellt Roger Halbheer in seinem Blog ernüchternd fest, dass ein Großteil der Anrufer bei der Microsoft-Hotline Server mit Windows NT betreibt, obwohl das OS bereits seit Ende 2004 in keiner Weise mehr supportet wird, und somit auch das Update MS08-067 nicht mehr für NT 4.0 angeboten wird.

NT 4.0 findet man heute in wesentlich mehr Unternehmen, als allgemein angenommen wird. Dazu gehören vor allem Großunternehmen. Das erklärt sich daraus, dass Microsoft mit Windows 2000 die Active Directory Services eingeführt hat, die von der Benutzerverwaltung her inkompatibel zum bisherigen Domainsystem sind, das noch aus der OS/2-LAN-Manager-Zeit stammt.

Größere Unternehmen haben seinerzeit viel Geld darin investiert, mit dem NT-Domänensystem eine Gesamtlösung für die Mitarbeiterverwaltung zu schaffen. In der Regel wird ein Mitarbeiter mit einem selbstentwickelten oder in Auftrag gegebenen Tool angelegt. Das Tool sorgt dafür, dass der Mitarbeiter in die verschiedenen, meist unabhängig gesteuerten EDV-Systeme, etwa die NT-Domäne, die Gehaltsbuchhaltung und das Zeiterfassungssystem, eingetragen wird.

Mit einer Umstellung auf Windows 2000 wäre neben einer Datenmigration auch eine teilweise Neuentwicklung hauseigener Verwaltungstools erforderlich gewesen. Da aber die ursprünglichen Investitionskosten über einen wesentlich längeren Zeitraum als fünf bis zehn Jahre abgeschrieben werden müssen, findet man zumindest auf Domain-Controllern häufig noch NT 4.0, zumal sich die Versionen ab Windows 2000 bis heute ohne Probleme in eine NT-4.0-Domäne integrieren lassen.

Die Hardwareprobleme von NT 4.0, wie fehlende USB-Unterstützung und Schwierigkeiten bei der Beschaffung von Gigabit-Netzwerkkarten mit NT-4.0-Treibern, lösen Unternehmen häufig durch Virtualisierung. Auch Sicherheitsprobleme, die daraus resultieren, dass NT 4.0 kein signiertes SMB-Protokoll beherrscht, nehmen Unternehmen in Kauf, da eine Migration zu Windows 200x mit hohen Kosten verbunden ist.

Generell lässt sich nur feststellen, dass ein Betrieb von NT-4.0-Servern auf die eine oder andere Art mit Kosten und Risiken verbunden ist. Gegen Malware wie Conficker gibt es keinen Schutz mehr von Microsoft. So steigt das Risiko, sich eine Malware einzufangen, faktisch von Tag zu Tag an. Einen effektiven Schutz kann man nur durch selbstprogrammierte Firewall-Regeln erreichen, die im Fall von Conficker alle RPC-Pakete an die GUID 4b324fc8-1670-01d3-1278-5a47bf6ee188 blocken. Solche Firewall-Regeln auf Layer-7-Ebene sind nur schwer zu realisieren. Sie erfordern zudem großes technisches Know-How und viel Zeit.

Bei allem Verständnis für die Gründe, die Unternehmen dazu bewegen, weiterhin NT 4.0 einzusetzen, muss man heute feststellen, dass für einen Umstieg zu Windows 200x zwar hohe Kosten anfallen können, jedoch keine Alternative zum baldigen Umstieg existiert. Ein Betrieb von NT 4.0 verbietet sich schon deshalb, weil mittlerweile genügend Schadsoftware existiert, die jedermann ohne besonderes Wissen nutzen kann, um sich auf einem NT-4.0-Server selbst zum Administrator zu machen. Patches gegen diese Lücken gibt es nicht mehr.

Der Conficker-Wurm mit seinen Auswirkungen zeigt, dass die Gefahr von empfindlichen Betriebsstörungen jederzeit real ist. Zwar führt Conficker keine zerstörerischen Aktionen aus, beispielsweise das Löschen von Daten, und sendet nach dem aktuellen Stand der Dinge auch keine Daten "nach Hause", bringt jedoch den geordneten Betrieb eines Computernetzwerkes durcheinander.

So können sich Benutzer oft nicht mehr anmelden. Falls doch, erreichen sie viele Domains im Internet nicht mehr. Konkret hat das dazu geführt, dass französische Kampfflugzeuge am Boden bleiben mussten, und die Bundeswehr sah sich gezwungen, einige Dienststellen vom Netz zu nehmen. Ferner darf man davon ausgehen, dass in vielen betroffenen Unternehmen die Business Continuity nicht sichergestellt war.

Ein geschätzte Verbreitung des Conficker-Wurm in den Varianten B und C auf über 12 Millionen Rechnern hätte nicht sein müssen, wenn man den Patch MS08-067 vor Ende Dezember 2008 eingespielt hätte. Man muss jedoch die Gründe von Behörden und Unternehmen verstehen, warum sie gerade auf Servern darauf verzichten, regelmäßig Updates einzuspielen. Die Erfahrung zeigt, dass das Einspielen eines Updates Seiteneffekte haben kann. Ein Server kann nach einem Update Probleme bis hin zum Gesamtausfall aller Dienste verursachen.

Hier ist Microsoft durchaus gefordert. Sicherheitsupdates dürfen nur die Beseitigung des Sicherheitsproblems beinhalten. Wenn in der gefixten Datei bereits neue Features aus einem späteren Development Branch enthalten sind, dann ist die Gefahr von Seiteneffekten groß. Dass Microsoft komplette Service Packs von Betriebssystemen in die gleiche Kategorie einordnet wie Security-Fixes, muss grundsätzlich kritisiert werden. Hier muss Microsoft klar trennen und diese Trennung ebenso glaubhaft vermitteln. Sonst werden Unternehmen weiterhin auf Server-Updates verzichten.

Äußerst gefährdet für Angriffe aller Art sind Betreiber von NT 4.0 oder früheren Versionen von Windows NT. Entgegen landläufiger Meinung, gibt es noch viele Großunternehmen, die bisher kein Migrationsprojekt von NT-Domänen hin zu den Active Directory Services gewagt haben. Hier besteht keine ernsthafte Alternative zur baldigen Durchführung der Migration, auch wenn sie mit nicht unerheblichen Kosten verbunden ist.

Quelle:zdnet

Reparaturfall Internet: Droht dem Web der Kollaps?

Datenpanne bei Ebay: Millionen Kunden betroffen
Hagen/Kleinmachnow (dpa) - Eine Sicherheitslücke beim Internet-Auktionshaus Ebay hat den Zugriff auf zahlreiche Namen von Nutzern ermöglicht. Betroffen waren die Empfänger des deutschen eBay-Newsletters. Das gab die Initiative «falle-internet.de» bekannt.

Die Namen und Vornamen der Ebay-Kunden sowie deren Mitgliednamen seien mangels Verschlüsselung abrufbar gewesen. Der Initiative zufolge hätten unseriöse Datensammler in wenigen Stunden hunderttausende Datensätze abgreifen können. Burkhard Müller von «falle-internet.de» schätzte die Zahl der betroffenen Nutzer in Deutschland auf rund sechs Millionen.

Die deutsche Ebay-Niederlassung in Kleinmachnow (Brandenburg) bestätigte den Sachverhalt. «Der Fehler lag bei einem Subunternehmen», sagte Ebay-Sprecherin Maike Fuest. Ursache sei ein Programmierfehler im Zusammenhang mit einer Software-Aktualisierung vor wenigen Tagen gewesen. Der Fehler sei schnellstmöglich nach Bekanntwerden behoben worden. «Es sind keine vertraulichen Informationen wie etwa Passwörter, E-Mail-Adressen oder Kreditkarteninformationen einsehbar gewesen», betonte Fuest. Ebay will nun prüfen, ob es unberechtigte Zugriffe auf die abrufbaren Daten gegeben hat.

MSN-Wurm baut Botnet und sucht VNC-Server
Ein Wurm, der sich über den Live Messenger von Microsoft verbreitet, hat bereits wenige Stunden nach seiner Freisetzung ein mehrere tausend Zombie-PCs umfassendes Botnet aufgebaut, das weiterhin wächst.

Anwender des Windows Live Messengers von Microsoft (ehemals MSN-Messenger) erhalten in diesen Tagen unter Umständen eine Mitteilung von bekannten Kontakten, die eine selbst entpackende ZIP-Datei enthält. Deren Name soll mit einem Bestandteil wie "pics" oder "images" auf vermeintlich enthaltene Bilder hinweisen. Es handelt sich jedoch um eine Datei mit doppelter Endung wie etwa "<name>.jpg.exe" oder eine PIF-Datei mit einem Namen wie "IMG01234.PIF".
Wird die Datei aufgerufen, installiert sie einen so genannten Bot (von: Roboter). Wie das Sicherheitsunternehmen Aladdin Knowledge System berichtet, handelt es sich dabei um einen so genannten IRC-Bot. Es ist also ein Schädling, der infizierte PCs in ein Botnet einreiht und per IRC (Internet Relay Chat) mit seinem Herrn und Meister kommuniziert.
Kurz nach der Entdeckung am Montag Morgen konnte die Malware-Forscher von Aladdin ein Kontroll-Server und etwa 500 Zombies (infizierte PCs) beobachten. Bereits weniger als drei Stunden später waren es bereits mehrere tausend Zombies und die Zahl stieg weiter um mehrere hundert pro Stunde. Der Schädling verbreitet sich Wurm-artig an die gespeicherten Kontakte von Anwendern des Live Messengers.
Während die Verbreitung über Instant Messenger ein üblicher Infektionsweg ist, haben die Aladdin-Forscher eine Eigenart dieses noch unbenannten Schädlings entdeckt, die ungewöhnlich ist. Er sucht nach aktiven VNC-Servern (Virtual Network Computing), die zur Fernwartung von Rechnern verwendet werden. Damit soll offenbar die Reichweite des Botnets vergrößert und auch durch Firewalls hindurch in Firmennetze ausgedehnt werden.
Was die Täter mit dem neu aufgebauten Botnet vorhaben, ist noch nicht bekannt. Aladdin will jedoch den IRC-Channel, der zur Steuerung der Zombies dient, weiter beobachten. Darin tummeln sich neben dem Botmaster nur infizierte Rechner.

Deutsche erwarten zunehmende Gefahren aus dem Internet
Im Rahmen einer gerade veröffentlichten weltweiten Studie zum Anwendervertrauen haben sich deutsche Anwender besorgter über die Sicherheit des Internets gezeigt als noch am Anfang dieses Jahres.

Der Antivirus-Hersteller Trend Micro hat die dritte Ausgabe seiner weltweiten Studie zum Anwendervertrauen vorgestellt. Diese Umfrage wird alle sechs Monate durchgeführt. Dabei zeigt sich bei den im August erhobenen Daten ein leichter Trend zu mehr Vertrauen in das Internet. Während die befragten Internet-Nutzer in den USA und Japan überwiegend eine eher positive Entwicklung der Sicherheit im Internet erwarten, sind Europäer und besonders Deutsche skeptischer geworden.
In den USA meinen 53 Prozent der Befragten (im Februar 2007 45 Prozent), das Internet sei sehr sicher. Dabei sind 32 Prozent (Februar 2007: 26 Prozent) sogar der Meinung, das Internet werde in den nächsten sechs Monaten noch sicherer. In Japan ist der Trend noch optimistischer: von neun Prozent im Februar ist der Anteil derjenigen, die das Internet als sicher ansehen, auf 27 Prozent angewachsen.
In Europa sieht es etwas anders aus. Befragte Anwender in Deutschland, Frankreich und Großbritannien erwarten zukünftig eher eine Zunahme der Gefahren im Internet. In Großbritannien haben 42 Prozent (Februar 2007: 31 Prozent) angegeben, ihr PC sei im letzten halben Jahr infiziert worden. In Frankreich haben immerhin 47 Prozent großes Vertrauen in die eingesetzte Schutz-Software, das sind 11 Prozentpunkte mehr als noch im Februar.
Die deutschen Anwender haben mehrheitlich weniger Vertrauen in die Sicherheit im Internet. Fast die Hälfte der Befragten (47 Prozent) haben mäßiges, weitere zehn Prozent sogar nur geringes Vertrauen ins Internet. Die Zahl der infizierten PCs ist leicht angestiegen, von 40 Prozent im Februar auf 43 Prozent im August. Nur 18 Prozent der befragten Deutschen meint, das Internet werde in den kommenden sechs Monaten sicherer, im Februar waren es noch 28 Prozent.
Im Rahmen der "Trend Micro Internet Confidence and Safety Survey" wurden im August 2007 1.500 Anwender aus den USA, Deutschland, Frankreich, Großbritannien und Japan zu ihrer Einschätzung der Sicherheit im Internet befragt.

Fehler im Zufallsgenerator betrifft auch Windows XP
Nachdem israelische Forscher einen Fehler im Pseudo-Zufallsgenerator von Windows 2000 entdeckt und ein mögliches Angriffsszenario veröffentlicht haben, hat Microsoft eingeräumt, dass auch Windows XP davon betroffen ist.

PC WELT

Wissenschaftler der Universitäten von Haifa und Jerusalem haben den bislang unveröffentlichten Algorithmus des Pseudo-Zufallsgenerators in Windows 2000 genauer unter die Lupe genommen und dabei Schwachstellen entdeckt. So sind die erzeugten Pseudo-Zufallszahlen weit weniger zufällig als gemeinhin angenommen. Die Ergebnisse des Zufallsgenerators sind unter bestimmten Umständen sogar vorhersagbar. Daraus haben die israelischen Forscher ein theoretisches Angriffsszenario entwickelt.
Die Nichtvorhersagbarkeit von Pseudo-Zufallszahlen ist eine wichtige Eigenschaft eines Zufallsgenerators, denn darauf basieren kryptographische Algorithmen, etwa für verschlüsselte Datenübertragungen. Die Forscher um Benny Pinkas können durch Ausnutzung ihrer Entdeckung sowohl bereits erzeugte Schlüssel ermitteln wie auch zukünftig zu generierende Schlüssel vorhersagen.
Microsoft betont allerdings, dass es sich bei der entdeckten Schwachstelle nicht um eine Sicherheitslücke handele. Für eine erfolgreiche Umsetzung des Angriffsszenarios der israelischen Wissenschaftler seien Administratorrechte auf dem PC erforderlich. Wer ohnehin schon als Administrator schalten und walten könne, habe ohnehin alle Möglichkeiten, um an alle Daten zu gelangen, die er haben wolle.
Inzwischen hat Microsoft immerhin eingeräumt, dass nicht nur Windows 2000 betroffen ist sondern auch Windows XP SP2. Windows Server 2003, sein designierter Nachfolger Server 2008 sowie Windows Vista sollen mit einem anderen Zufallsgenerator ausgestattet sein, der die entdeckte Schwäche nicht aufweist. Bei Windows XP will Microsoft den Pseudo-Zufallsgenerator mit dem Service Pack 3 nachbessern, das für das erste Halbjahr 2008 erwartet wird.
Da es sich nach Lesart von Microsoft nicht um eine Sicherheitslücke handelt, ist es unwahrscheinlich, dass auch Windows 2000 noch mit einem entsprechenden Update versehen wird. Windows 2000 befindet sich bereits in der letzten Phase der Unterstützung durch den Hersteller, in der nur noch Sicherheits-Updates kostenlos bereit gestellt werden.
Die Analyse der israelischen Wissenschaftler ist in englischer Sprache als PDF-Datei erhältlich.

______________________________________________________________________________________________

Malware-Spammer gibt sich als Detektiv aus
Mails, die vorgeblich von einem Privatdetektiv stammen, enthalten einen schädlichen Anhang, der angeblich ein aufgezeichnetes Telefonprotokoll sein soll. Hinter diesen Mails steckt offenbar die Sturm-Wurm-Bande.

PC WELT
Sturm-Wurm
Derzeit werden Spam-artig Mails verbreitet, deren Absender sich als Privatdetektiv ausgibt, der auf den Empfänger angesetzt sei. Er teilt dies dem vermeintlichen Spionageopfer mit und bietet freundlicherweise an auch seinen Auftraggeber zu nennen. Das will er jedoch erst in einer folgenden Mail tun. Um den misstrauischen Empfänger der Mail zu überzeugen, enthält die Mail ein mit einem Passwort verschlüsseltes RAR-Archiv, das ein aufgezeichnetes Telefonat enthalten soll.
Die Mails kommen mit unterschiedlichen, gefälschten Absenderangaben und einem Betreff wie "Danger", "I'm monitoring you", "We have tape of your conversation", "We monitor your privacy", "We're watching you", "Your phone is monitored", "attention", "important", "important for your live", "important information" oder "you're being watched". Am Ende des Textes steht das Passwort für das RAR-Archiv.
Der Dateiname des Anhangs lautet zum Beispiel "call1105-12.rar" und darin steckt eine Datei mit doppelter Endung, wie etwa "call1105.mp3 <viele Leerzeichen> .scr". Was also auf den ersten Blick wie eine MP3-Datei aussieht, ist tatsächlich eine EXE-Datei mit der für Bildschirmschoner gedachten Endung SCR. Unterstützt wird dieser Eindruck noch durch ein Dateisymbol des Windows Media Players.
Nach Ansicht von Symantecs Malware-Forscher Hon Lau, die er im Symantec-Blog Kund tut, muss das Trojanische Pferd, das in dieser Datei verbreitet wird, der Sturm-Wurm-Familie zurechnet werden. Eine zunehmende Anzahl von Antivirus-Herstellern scheint zu dem gleichen Ergebnis zu kommen, denn Bezeichnungen wie "Tibs", "Nuwar", "Peacomm" oder "Zhelatin" beziehen sich auf Sturm-Malware. Diese dient dem Aufbau oder besser dem weiteren Ausbau des Sturm-Botnets.
Erkennung der SCR-Datei durch aktuelle Virenscanner:
Antivirus
Malware-Name
AntiVir
TR/Drop.Agent.cob.9
Avast!
---
AVG
Dropper.Agent.FSH (Trojan horse)
A-Squared
---
Bitdefender
Trojan.Peed.IOB
ClamAV
Trojan.Dropper-3131
Command AV
---
Dr Web
Trojan.MulDrop.9521
eSafe
---
eTrust
Win32/Vxidl.BFS
Ewido
---
F-Prot
---
F-Secure
Trojan-Dropper.Win32.Agent.cob
Fortinet
W32/Agent.COB!tr
Ikarus
Trojan-Dropper.Win32.Agent.cob
Kaspersky
Trojan-Dropper.Win32.Agent.cob
McAfee
--- (W32/Nuwar@MM)*
Microsoft
Trojan:Win32/Tibs.EY
Nod32
Win32/TrojanDropper.Agent.COB trojan
Norman
---
Panda
Suspicious file (Adware/BraveSentry)*
QuickHeal
---
Rising AV
---
Sophos
Troj/Dorf-AH
Spybot S&D
Worldsecurityonline.FakeAlert,,Executable
Sunbelt
---
Symantec
Trojan.Peacomm.D
Trend Micro
---
VBA32
---
VirusBuster
Trojan.DR.Agent.LPK
WebWasher
Trojan.Drop.Agent.cob.9
GData AVK 2007 **
Trojan-Dropper.Win32.Agent.cob
Quelle: AV-Test (http://www.av-test.de), Stand: 19.11.2007, 14:30 Uhr
* noch nicht in offiziellen Virensignaturen enthalten
** mutmaßliche Erkennung auf Basis von Kaspersky und Avast

_________________________________________________________________________________
Job-Börse mit Malware-verseucht, teilweise abgeschaltet
Teile der Job-Börse Monster.com mussten wegen einer Verseuchung mit einem Angriffs-Toolkit zeitweilig vom Netz genommen werden. Besucher der betroffenen Seiten wurden auf eine Malware-Site umgeleitet.

PC WELT
Monster.com
Angreifer haben sich am Montag Zugang zu einem Web-Server von Monster.com verschafft und einen Teil der Seiten mit einem iFrame präpariert, der Besucher zu einer anderen Website umgeleitet hat. Diese, mit dem Angriffs-Toolkit "Neosploit" ausgestattete Site hat dann versucht Malware einzuschleusen. Betroffen waren Teile des "Monster Company Boulevard", wo Besucher Stellenangebote nach Firmen sortiert einsehen können. Die manipulierten Seiten mussten für mehrere Stunden vom Netz genommen werden, sind inzwischen jedoch restauriert und wieder online.
Das Neosploit-Kit ähnelt dem bekannteren "MPack", es nutzt also bekannte Sicherheitslücken im Browser und im Betriebssystem aus, um Malware einzuschleusen. Nach Angaben von Roger Thompson, Technischer Direktor bei Exploit Prevention Labs haben die Angreifer einen iFrame in einige Seiten eingefügt, der die Besucher auf einen Server in Australien umgeleitet hat.
Thompson sieht in diesem Server eine Verbindung zum notorischen Russian Business Network (RBN), das regelmäßig mit Angriffen durch iFrame-Umleitungen in Zusammenhang gebracht wird. Der Angriffs-Code sei gut verschlüsselt, sodass nicht so einfach festzustellen sei, welche Exploits genutzt würden. Der deutsche Monster-Ableger ist nicht betroffen gewesen.
Monster.com war zuletzt im August durch Malware-Angriffe auf seine Besucher aufgefallen. Ein Trojanisches Pferd hatte Zugriff auf persönliche Daten von mehr als 100.000 Job-Suchenden erlangt und sie an einen Server der Angreifer übermittelt.
[REPLACE]
General search
Image search
News search
Encarta entries