Octopus City Blues: Scammer versteckten Malware in Steam-Seite

Scammer haben die Greenlight-Seite von Octopus City Blues kopiert, bei Steam Greenlight hochgeladen und Malware eingeschleust. Einige Steam-User scheinen auf den Scam hereingefallen zu sein.“

Ich muss es ja leider zugeben: Die kreative Energie von Scammern beeindruckt mich hin und wieder. Am Wochenende haben die Entwickler des Spiels Octopus City Blues entdeckt, dass Kriminelle die Greenlight-Seite des Spiel geklont und damit ein eigenes Greenlight-Projekt gestartet haben. Auf der Fake-Seite haben sie dann einen Link zu einer sieben Level umfassenden Demo des Octopus City Blues hinterlegt, die allerdings Schadcode enthält. Im Ergebnis haben sich an dem Spiel interessierte Steam-User nach einen Klick auf den Link dann Malware heruntergeladen. Read More …

Malware gibt sich als Voice-Chat aus, verbreitet sich per Steam Chat

Malware Steam

Bild: Malwarebytes

Werdet Ihr per Steam-Chat derzeit zum Download einer Voice-Chat-Software aufgefordert, dann solltet Ihr genau das nicht tun und lieber einen weiten Bogen um die Software machen.

Per Steam-Chat verbreitet sich mal wieder Malware unter den Steam-Usern. Und sie gibt sich mal wieder als Voice-Chat-Lösung aus. Die Masche ist nicht neu, funktioniert aber immer wieder erstaunlich gut. Das liegt unter anderem auch daran, dass die Webseite, von der man sich die Malware herunterladen soll, durchaus professionell wirkt. Read More …

Die Hintertür zu jedem PC: Das BIOS

BIOS Virus

Nur Updates versprechen einen wirksamen Schutz für das BIOS.

Gerade einmal zwei Minuten dauert es nach Aussage von Corey Kallenberg und Xeno Kovah, das BIOS (Basic Input/Basic Output) eines PCs zu manipulieren und einen Schädling einzupflanzen.

Kallenberg und Kovah sind die maßgeblichen Personen hinter LegBaCore, einem Unternehmen, das sich nach eigener Aussage auf Security-Trainings im BIOS-Umfeld spezialisiert hat. Auf der Sicherheitskonferenz CanSecWest halten die beiden einen Vortrag mit dem Thema „How many million BIOSes would you like to infect?“.

Gegenüber The Register fasste Kovah den Vortrag so zusammen: „Weil praktisch niemand das BIOS aktualisiert, hat fast jedes System mindestens eine Sicherheitslücke, über die es infiziert werden kann.“ Weil viele BIOSe denselben Code verwenden, lassen sie sich mit wenig Aufwand infiltrieren. Mehr als physischen Zugriff zu dem PC benötigen die beiden dafür nicht. Read More …

Grundlagen: Wie umgehen mit möglicherweise verseuchten Mail-Anhängen?

Die größte Virengefahr für Privat- und Business-Anwender geht von E-Mails aus, die einen verseuchten Dateianhang enthalten. Auf diese Gefahr lässt sich aber auch am leichtesten reagieren: Löschen Sie die Mail und öffnen Sie vor allem die anhängende Datei nicht. Dann kann sich der Virus auch nicht auf Ihrem PC aktivieren und dort Schaden anrichten. Im Grunde ist dieser Tipp damit schon fertig: Alles was Ihnen komisch vorkommt, löschen Sie am besten sofort. In der Praxis ist es dann aber meist doch nicht so einfach. Read More …

Grundlagen: Viren erkennen mit Virustotal

Virustotal Startseite

Die Startseite von Virustotal präsentiert sich aufgeräumt. Ähnlich wie Google.

Nehmen wir an, Sie haben eine E-Mail bekommen mit einem Dateianhang. Dieser Anhang ist angeblich eine Rechnung für eine Bestellung, die Ihnen nichts sagt. Sie möchten natürlich nun gerne herausfinden, was es damit auf sich hat und den Dateianhang dazu öffnen. Das sollten Sie aber auf keinen Fall tun.

Weit sicherer ist es, wenn Sie jede auch nur im Entferntesten verdächtige Datei zunächst mit dem kostenlosen Online-Dienst Virustotal untersuchen, bevor Sie sie auf Ihrem PC ausführen.

Virustotal scannt hochgeladene Dateien mit mehreren Dutzend verschiedenen Antivirenprogrammen. Dadurch erhöht sich die Chance deutlich, dass ein Schädling aufgespürt wird. Anschließend sehen Sie in einer ausführlichen Liste, welche Virenscanner die Datei als verseucht einstufen. Read More …

Fehlerhafte Signaturen von Antiviren-Herstellern, diesmal von Panda Security

Die Virenscanner von Panda Security haben in den vergangenen Tagen über das automatische Update vom Hersteller fehlerhafte Signaturen erhalten, die bei manchen Nutzern harmlose Windows-Dateien in die Quarantäne verschoben haben sollen.

fehlerhafte Signaturen in Produkten von Panda Security

Antivirus-Produkte von Panda Security haben fehlerhafte Signaturen erhalten, die im schlimmsten Fall das Neustarten des PCs verhindert haben sollen. Bild: Panda Security

In Extremfällen soll das sogar dazu geführt haben, dass betroffene Rechner nach einem Neustart den Dienst verweigerten, berichtet Heise Security. Die Webseite empfiehlt Panda-Kunden eindringlich, ihre PCs derzeit nicht neu zu starten. Für die Nutzer – und den Hersteller – ist das ein totaler GAU.

Betroffen sind laut einem von Panda Security in der Knowledge Base veröffentlichten Artikel die folgenden Anwendungen:

Panda Cloud Office Protection
Panda Cloud Office Protection Advanced
Panda Antivirus Pro 2015
Panda Internet Security 2015
Panda Global Protection 2015
Panda Gold Protection

Read More …

Die Steam-Phisher sind wieder unterwegs

Malwarebytes warnt vor einer sehr gut nachgebauten CS:GO-Lounge-Webseite, die an die Steam-Login-Daten der Besucher zu kommen versucht. Die Ähnlichkeiten sind wirklich frappierend:

Rechts ist die nachgemachte CS:GO-Webseite zu sehen. Unterschiede sind rot markiert. Bild: Malwarebytes

Rechts ist die nachgemachte CS:GO-Webseite zu sehen. Unterschiede sind rot markiert. Bild: Malwarebytes

Besucher der gefälschten Seite, die oben rechts auf die grüne Schaltfläche klicken, werden anschließend aufgefordert ihre Account-Daten für Steam einzugeben. Nach dem Absenden des Formulars versucht die Seite noch eine Datei auf den PC des Anwenders herunterzuladen. Wie zu vermuten war, enthält diese Datei einen Trojaner, der weiteren Schaden anrichtet.

Malwarebytes listet auf seiner Seite einige URLs auf, unter denen die Phishing-Seite zu finden ist. Von einem Besuch ist aber dringend abzuraten.

iOS zunehmend im Visier von Cyber-Kriminellen

iOS und Android unterscheiden sich immer weniger bei der Malware.

iOS und Android unterscheiden sich immer weniger bei der Malware.

iOS gilt bislang als vergleichsweise sichere Plattform. Das liegt unter anderem daran, dass Apple jede neue App zunächst prüft und erst danach freigibt. Dieser Prozess hat dazu geführt, dass in der Vergangenheit nur wenige Malware-Programme in den Appstore gelangt sind.

In diesem Jahr rechnet Kevon Mahaffey, Technischer Leiter bei dem Sicherheitsanbieter Lookout, aber mit einer neuen Welle von iOS-Angriffen. „Die Bösen sind intelligente, wirtschaftlich denkende Akteure. Da Android weltweit viel beliebter ist, greifen sie zunächst die größte Plattform an“, so Mahaffey. Das ändere sich nun aber, jetzt gelange auch iOS ins Visier der Angreifer.

Die neusten Bedrohungen seien sogenannte firmeninterne Provisioning-Profile. Diese seien zwar schwer zu kapern. Wenn es aber gelinge, dann seien die Angreifer in der Lage, „jegliche Anwendung an die entsprechenden Geräte zu senden“ – also auch neue Schädlinge. Beispiele für diese Taktik seien WireLurker und XAgent.

Die Tabelle gibt einen Überblick über aktuell verwendete Angriffe auf Android- und iOS-Nutzer.

Alternative zu Virustotal: Anubis Malware Analysis

Anubis führt hochgeladene eine Datei in einer Sandbox aus und beobachtet, was sie auf einem PC anstellen würde.

Anubis führt eine hochgeladene Datei in einer Sandbox aus und beobachtet, was sie auf einem PC anstellen würde.

Anubis ist ein kostenloser Online-Dienst, bei dem Sie verdächtige Dateien hochladen und analysieren können. Anders als das bekannte Virustotal führt Anubis die hochgeladenen Dateien in einer Sandbox aus und listet dann detailliert auf, was die Datei alles auf Ihrem PC angestellt hätte.

Um Anubis zu nutzen, rufen Sie http://anubis.iseclab.org auf und scrollen Sie bis zum Feld „Choose the subject for analysis“. Klicken Sie auf die Schaltfläche „Durchsuchen…“ und wählen Sie die verdächtige Datei aus. Bestätigen Sie mit „Öffnen“ und geben Sie dann unten das geforderte Captcha ein. Ein Klick auf „Submit for Analysis“ lädt die Datei hoch und startet die Auswertung durch Anubis. Read More …

Nach Babar und Evilbunny nun also Caspar

Wie einige Sicherheitsfirmen melden ist ein neuer Schädling entdeckt worden, der den Namen „Caspar“ bekommen hat. Caspar wird anscheinend über einen Dropper verteilt, der selbst wiederum über das Ausnutzen einer Lücke in Flash (CVE-2014-0515) auf fremde Rechner gelangt. Caspar soll große Ähnlichkeiten zu zwei anderen Schadprogrammen namens Babar und Evilbunny haben. Als Urheber werden Geheimdienste vermutet.

Caspar ist wohl vor allem eine Backdoor-Software, die immer wieder Kontakt mit einem C&C-Server (Command & Control) aufnimmt. Von dort bekommt sie neue Befehle und kann auch neuen Schadcode herunterladen. Die Möglichkeiten sind also praktisch unbegrenzt.

Für die Allgemeinheit dürften Caspar, Babar und Evilbunny aber keine große Gefahr darstellen. Die Programme scheinen eher auf das Ausspionieren bestimmter Zielpersonen ausgerichtet zu sein.