Switch warnt vor Conficker
Die im Conficker-Wurm eingebaute Routine zum Nachladen von Schadcode greift offenbar auch auf Schweizer Webseiten zurück. Gemäss Sicherheitsexperten soll der Wurm ab dem 1. April aktiv werden und dann versuchen, entsprechende Befehle von diversen Websites abzurufen. Switch, die Registrierstelle für .ch- und .li-Domains hat in einem Mail nun Domaininhaber gewarnt, auf deren Webseiten sich der Wurm „aktualisieren“ will:
Nach uns vorliegenden Informationen werden einige der mit dem Wurm infizierten Rechner am 17.4.2009 versuchen, eine Verbindung zu Ihrer Website […].ch aufzubauen, um von dort Informationen nachzuladen.
Was kann passieren und was können Sie dagegen unternehmen?
1. Es ist mit erhöhtem Verkehr auf Ihrem Webserver zu rechnen, der zur Überlastung des Systems führen könnte – auch wenn auf Ihrem Server keine Malware liegt.
2. Es besteht die Möglichkeit, dass Dritte versuchen, eine Schwachstelle auf Ihrem Server auszunutzen, um dort Schadsoftware zu hinterlegen und zu verteilen.
Bitte wenden Sie sich an Ihren Hosting-Anbieter oder System-Administrator für weitere Informationen und stellen Sie sicher, dass ihr System keine Schwachstellen aufweist.
Es ist zwar lobenswert, wenn Switch von sich aus die betroffenen Domainhaber informiert. Viel mehr kann die Registrierstelle aber auch nicht tun. Zwar lässt sich Urs Eppenberger von Switch in einer gerade eben veröffentlichten Pressemitteilung wie folgt zitieren:
Dank der hervorragenden weltweiten Vernetzung unserer Sicherheitsexperten sind wir in der Lage, den Haltern von Internetadressen grösstmöglichen Schutz zu bieten.
Worin dieser grösstmögliche Schutz aber bestehen soll, bleibt offen. Mehr als die Domain temporär abzuschalten (was aber wohl nicht im Sinne der Kunden sein wird), liegt wohl nicht drin…
SQL-Injection Attacke gegen Basler Zeitung
Wer sich vor kurzem auf der Jobseite der Basler Zeitung Medien (BZM) umgesehen hat, könnte sich möglichweise einen Virus oder Trojaner eingefangen haben. Wie ich heute vormittag feststellte, ist das Basler Medienhaus Opfer eines SQL-Injection-Angriffes geworden, bei welchem schädlicher Code eingeschleust wurde. Konkret wurden Javascript-Verweise auf einen in China stehenden Server platziert, der auf dem Computer des Besuchers offenbar einen Virus bzw. Trojaner zu installieren versuchte.
Immerhin zeigen die DNS-Angaben für die Domain 1.verynx.cn momentan ins Leere (127.0.0.1), so dass das Javascript nicht ausgeführt wird und somit auch kein Schaden angerichtet werden kann. Unklar ist allerdings, wer Zugriff auf die DNS-Einstellungen der genannten Domain hat. So ist es zwar möglich, dass hier mehr Unheil verhindert werden soll, es bleibt aber auch die Möglichkeit, dass das Script bald auf einem neuen Server zum Einsatz kommt. Immerhin hat auch Google bereits reagiert und Firefox zeigt so beim Aufruf der Domain eine Sicherheitswarnung an:
Auch wenn die BZM nicht das einzige Opfer der Attacke aus einem Botnet ist, es erstaunt trotzdem, dass auch grössere Firmen die Sicherheit ihrer Webapplikationen so vernachlässigen und bspw. auf die Prüfung von Daten die via URL übergeben werden, verzichten und es damit den Angreifern ermöglichen, einen ellenlangen Code an den SQL-Server zu übergeben.
Immerhin hat man in Basel, noch während ich auf einen Rückruf wartete, reagiert und den Code aus den Seiten entfernt. Da bisher allerdings niemand von der Pressestelle der BZM Stellung nehmen wollte, bleibt weiter unklar, wie lange der Code bereits die Seiten verseuchte, ob das Einfallstor beseitigt ist und wie die allenfalls betroffenen Besucher der Webseite informiert werden.
Mehr Informationen:
– rtraction: SQL Injection Hack using CAST from 1.verynx.cn
– Coldfusion Muse: SQL Injection Part II (Make Sure You Are Sitting Down)
– knoxmic.net: SQL-Injection, der Spass beginnt!
– Nettuts: Can you hack your own site?
[Update] 16:53 Uhr
Kaum veröffentlicht, schon ist auch die Stellungnahme der Basler Zeitung Medien da. Gemäss Andreas Eppinger erfolgte der erste Angriffsversuch am Montag um 17:52 Uhr und man war offenbar bereits gestern daran, die Angriffe abzuwehren:
Wir konnten bis gestern abend die betroffenen Seiten (bzw. die Angriffspunkte) schützen und bereits infizierte Seiten wurden durch spezielle Apache Output-Filter säubernt, so dass Benutzer nicht betroffen waren, bis wir Backups einspielen bzw Clean-Scripts über die Datenbanken laufen lassen konnten
Im Moment würde zudem ein Codereview der einzelnen Sites der BZM durchgeführt um zukünftige Attacken zu verhindern (bzw. zumindest zu erschweren). Ausserdem soll in den nächsten Tagen die Apache-Erweiterung mod_security produktiv geschalten werden.
Malware-Banner: Liederliche Checks?
Wie sich die Schaltung von schädlichen Flash-Bannern verhindern lässt, dürfte wohl eine der zentralen Fragen sein, die nach den Vorkommnissen bei blick.ch nun auch in Schweizer Werbeunternehmen und von Website-Betreibern diskutiert wird. Die Professionalität der Betrüger macht die Überprüfungen nämlich nicht ganz einfach.
Allerdings hätte es im aktuellen Fall durchaus Hinweise darauf gegeben, dass es sich bei der Proximo Group, welche die fraglichen Bannerschaltungen in Auftrag gegeben hat, zumindest um eine suspekte Firma handeln muss. So wird auf der Webseite der Proximo Group keine Adresse genannt und die genannten Telefon- und Faxnummern führen lediglich zu einer Mailbox. Auch die unterschiedlichen „Areacodes“ der Nummern machen stutzig: Gemäss canada411.ca gehört der „Areacode“ der Telefonnummer nämlich zu Hamilton/Ontario, während die Faxnummer nach Toronto zeigt. Welche Firma hat schon sein Telefon an einem anderen Ort als sein Faxgerät…
Wer sich die Whois-Daten der Domain ansieht, sieht sich im Misstrauen bestätigt. Gemäss diesen lautet die Domain nämlich auf
Name: Gloria H. Draper
Address: Dunajska 34 Stahovica
Zipcode: Sl1242
Nation: SI
Tel: 1565565654
Blöd nur, dass es in Stahovica an der Dunajska kein Haus mit der Nummer 34 gibt und in ganz Slowenien keine Gloria H. Draper existiert, wie had freundlicherweise für mich recherchiert hat.
Welche Prüfungen Ringier jeweils vornimmt, wollte mir Marco Castellanetta auf meine erneute Anfrage nicht verraten, es werde aber
in jedem Fall die Identität und die Authentizität des Auftraggebers sowie die Bonität der Firma geprüft
und dies sei auch bei der Proximo Group geprüft worden. Inwiefern die Identität und Authentizität hier zusammenpassen, bleibt mir bislang aber schleierhaft. Vorstellen könnte ich mir hingegen, dass via Proximo Group ein gefälschter Überweisungsbeleg an Ringier übermittelt wurde (und damit die zahlung der Kampagne vorgetäuscht wurde), und die Bannerwerbung deshalb freigegeben wurde.
Dass das Problem solcher gefakter Bannerwerbung derzeit massiv verbreitet ist, zeigt auch ein weiteres Beispiel, das heute bekannt geworden ist. So berichtet heise online in einem Newsartikel davon, am letzten Freitag ebenfalls Opfer einer solchen Attacke gewesen zu sein. Ob es sich dabei um die gleichen Täter handelt ist derzeit noch offen, aufgrund der sich ähnelnden Vorgehensweise dürfte dies aber naheliegend sein.
Weitere Beiträge zum Thema:
– Malware-Banner beim «Blick»
– Hintergründe zum Malware-Banner beim «Blick»
Hintergründe zum Malware-Banner beim «Blick»
Bis letzten Dienstag ging ich davon aus, dass Werbebanner, die den User auf eine gefährliche Seite umleiten und ihm Schadsoftware, Trojaner oder ähnliches unterjubeln wollen, ein nicht sehr verbreitetes Phänomen sind. Doch da habe ich mich gründlich getäuscht, wie ich gestern lernen durfte. Nicht nur Sandi Hardmeier, die den Fall mit dem schädlichen Flashbanner bei blick.ch bekanntgemacht hat, auch der Vermarkter web2com weist darauf hin, dass dies vor allem in Amerika eine ziemlich verbreitete Angriffsart auf Computer ist. Dabei gehen die Täter äusserst professionell vor, wie auch am aktuellen Fall zu sehen ist.
Das fängt bereits bei der Programmierung des entsprechenden Flashbanners an. Nicht nur wird Geotargeting verwendet, um speziell die Computer aus bestimmten Ländern oder Regionen zu infizieren. Zusätzlich greift auch eine IP-Sperre, so dass bekannte „Jäger“ die Umleitung auf die Malware-Seite gar nicht zu Gesicht bekommen und, wie andere Nutzer ausserhalb der definierten Geozonen, ganz normal auf die beworbene Webseite geleitet werden. Das Ganze wird dann meist auch noch verschlüsselt in Flash gespeichert, was aber weiter kein Aufsehen erregt, wie auch Pierre Bohren von web2com hier in den Kommentaren erklärt:
Da Redirects als solches in der Online-Werbung von Kunden oft zum Mittracken verwendet werden, ist es rein technisch sehr schwierig die Spreu vom Weizen zu trennen.
Im aktuellen Fall geht web2com zwar davon aus, dass der Redirect auf die Malware-Site nur für nordamerikanische Nutzer gegriffen hat. Laut Sandi Hardmeier, ist das aber nicht zutreffend, da sie den Redirect auch in Australien zu Gesicht bekommen hat. Kommt dazu, dass es wohl kaum Sinn machen würde, die Werbung auf einer Schweizer Website zu platzieren, wenn man es lediglich auf Nordamerika abgesehen hätte.
Der Weg zu blick.ch
Continue Reading
Radioaktivität lässt Trojaner spriessen
Was mir Hester Yoder in einem eMail auftischt, klingt wahrlich bedrohlich:
Auf Internetforums erschienen Nachrichten uber eine gewaltige Explosion auf dem Schweizer Atomkraftwerk um Genf herum, die nach den Worten von Augenzeugen am 31. Dezember etwa um 15 Uhr stattgefunden hatte.
Im Einzelnen machte eine Burgerin dieser Stadt einen telefonischen Anruf und teilte ihren Verwandten mit, dass in der Stadt der Strohm abgesperrt werde, damit man keinen Menschen anrufen konnte.
Sie behauptet, dass es auf dem Atomkraftwerk wirklich eine Explosion gegeben habe, und dabei eine sehr machtige, und dass eine Strahlungswolke erstrecke sich jetzt.
In privaten Gesprachen wird diese Information von Amtstragern inoffiziell bestatigt.
Auberdem legen die Ortsbewohner Fotos in seinen Blogs hinaus, auf denen Explosionsfolgen und Korper der Beschadigten dargestellt sind.
Blog: http://geocities.com/********
Blöd nur, dass Hesters Deutsch etwas zu wünschen übrig lässt und das Mail so eher komisch klingt. Der gute alte Hester will nämlich auch gar keine Fotos zeigen, sondern leitet die Besucher auf eine Webseite um, wo man das vermeintlich harmlose iPIX-Plugin runterladen soll. Anstatt Fotos von angeblichen Explosionsfolgen handelt man sich so aber, wie könnte es auch anders sein, nur einen Trojaner namens „Infostealer.Notos!gen„, „PWS:Win32/Bankrypt.gen“ oder „Mal/Behav-066“ ein.
Ziemlich geschmacklos, was sich die Typen da immer wieder ausdenken…
[Update] 9. Januar 2008
Was der Trojaner nach der Installation genau tut, wird auf abuse.ch ausführlich erklärt…
Strahlende heute-Girls
So sollte es immer funktionieren: Ein kurzer, flapsiger Kommentar im Blog von heute-Chefredaktor Bernhard Weissberg und kurz darauf wurde ich von den heute-Girls eingeladen. Da konnte ich, wer wills mir verübeln, natürlich nicht widerstehen:
Schön wie die beiden um die Wette strahlen, nur weil ich auf der Redaktion erscheine. Oder liegts vielleicht doch eher an der mitgebrachten süssen Überraschung?
Spannende Einblicke hinter die Kulissen von heute lieferte mir zudem unser allseits bekannter Benjamin alias bytezh, welcher für die technischen Belange des Online-Auftritts verantwortlich ist. Dazu endlich mal Benkö kennengelernt und überraschend festgestellt, dass auch Salvi Atasoy (Virus-Moderator und Swiss Blog Awards-Moderator) Presseluft schnuppert.
Nur etwas ist mir aufgefallen, liebe heute-Redaktion: Erstaunlich, wie viele Exemplare des Konkurrenzblattes 20 Minuten bei euch rumliegen 😉
BitDefender 8 kostenlos
Seit Mitternacht bietet der Hersteller Softwin sein Antivirus-Programm „BitDefender 8 Standard“ in der Windows-Version für 24 Stunden kostenlos zum Download an. Der Download beinhaltet eine nicht eingeschränkte Lizenz für zwölf Monate.
Allerdings ist die angebotene Programmversion nicht die neuste. Auf den Webseiten von BitDefender konnte ich jedenfalls nur Version 9 als aktuelle Version ausmachen.
Mit dieser Aktion versucht man offenbar ein Problem der Konkurrenzsoftware AntiVir auszunutzen, welche das System verlangsamen kann und Probleme mit dem Kontakt zu den Update-Servern hat. Allerdings gibt es in den Support-Foren von Anti-Vir entsprechende Lösungs-Tipps.
(via BulkCarrier)
DRS3 über Weblogs
Das Buureradio DRS3 berichtete heute vormittag über Weblogs und fragte „darf man auch Blogs ignorieren und bloglos glücklich werden?“.
Selbstverständlich darf man Blogs ignorieren und bloglos glücklich werden, genau so wie man ohne iPod, ohne Handy oder ohne Radio glücklich sein kann. So negativ wie die beiden (Jung-?) Autoren aber dann über Blogs herzogen, kann das Ganze doch nicht sein, denn es gibt neben dem zitierten Medienwissenschafter Mirko Marr von der Uni Zürich durchaus auch andere Stimmen von Medienwissenschaftern, die das genaue Gegenteil behaupten.
Kann man überhaupt mit einem einzigen Auszug aus einem Blog (zitiert wurde dieser Post von Claudio) einen Rückschluss auf die ganze Blogosphäre ziehen? Wohl kaum, denn Blogs sind (zum Glück) nicht alle auf den Mainstream ausgerichtet.
Am 7. Februar 2006 habe ich ein eMail des Autors Reto Widmer erhalten, der mich um meine Telefonnummer bat, denn
[Quote auf Bitte von Reto Widmer entfernt]
er wolle einen Beitrag zum Thema Weblogs machen und gerne von mir erfahren, wieso ich blogge.
Diese hat er zwei Tage später auch bekommen, sich jedoch nicht mehr gemeldet. Nach dem Radiobeitrag bin ich darüber aber auch nicht wirklich traurig, denn beim Blog(-osphären) Bashing wäre ich ungern dabei gewesen.
Erstaunt bin ich sowieso darüber, wieso nun ausgerechnet Claudio’s Blog als „schlechtes“ bzw. Hobbypoesie-Beispiel herhalten musste, denn man hätte sich gut und gerne auch im eigenen Haus bedienen können. Beispielsweise in den Blogs von Virus, wo über geistreiche Themen wie „«Äh, ‚tschuldigung, ficken?»„, oder „Die Top-10-Verletzungen beim Sex“ diskutiert wird. Oder will jemand behaupten, dieser Text sei journalistisch hochstehend?
Esone Tag im Schnee isch ja enorm amüsant! Eigentlech hätti ja e Dokumentation über die schönschte Porno-Schnöiz im Bärner Oberland wölle mache…
Aber äbe… mis Händi hett da irgendwie verseit… woni am erschte Exemplar ds Händi 10 Santimeter vor si Schnouz ha häregha u dä mer du mit sim Schiichtock hett zeigt, was d Vorteile vomene guete Zoom wäre, hani umdischponiert u es gfahrloseres Undernähme i Aagriff gno. Schtiilverbräche uf dr Schiipischte. Frei nachem Motto: Vo hinger geit’s ringer!
Links:
Blog.Worm Virus
GMail mit Antivirus-Scanner
Google’s GMail wird wohl in Kürze mit einem Antivirus-Scanner ausgestattet, der sowohl ein- wie auch ausgehende Mails auf Viren überprüfen wird. Dies berichtet Garett Rogers im ZDNet Google Blog.
Den im Post angegebenen Link zum entsprechenden (englischsprachigen) Help-Eintrag konnte ich daraufhin auch anklicken, aber nur Minuten später liefert mir ein Klick darauf nur noch ein lapidares „Document not found“.
Immerhin hat Garett noch einen Screenshot publiziert…
(via digg.com)
[Update] 02.12.2005
Wie Golem.de heute schreibt hat Google auch das Handling von Spam-Nachrichten und Phising-Angriffen direkt aus der GMail-Weboberfläche heraus vereinfacht. Die Mails lassen sich nun per Knopfdruck bequem an Google melden.