Das Rootkit TDSS (aka Alureon, TDL) ist eine der perfektesten Bedrohungen die derzeit im Netz für Windows-Rechner kursieren.

Es nutzt diverse überarbeitete und auch noch nie zuvor gesehene Techniken im Bereich des Stealthings die es im Normalfall sprichwörtlich unsichtbar machen.

Seit TDSS zum ersten Mal im Jahre 2008 gesichtet wurde, hat es sich stets weiterentwickelt. Während in 2010 die 3. Variante, auch bekannt als TDSS.d den größten Erfolg hatte, kommt 2011 nun die neue Version, TDL-4 zum Einsatz. Sie bringt ein paar interessante Neuerungen mit sich, mit denen wir uns heute beschäftigen wollen.

Morgen zwischen 12 und geschätzterweise 16 Uhr wird die Mainpage für ein Minor-Update in den Offlinemodus geschaltet. Das Forum ist weiterhin erreichbar!

//Es19

Dass viele der Produkte des Software-Giganten Adobe Lücken aufweisen, ist nichts neues mehr und allgemeinhin bekannt.

Es ist auch klar, warum gerade Adobe-Software so häufig das Ziel von Angriffen ist: In vielen Marktbereichen besitzt der Software-Konzern ein Quasi-Monopol. Die Hintergründe sind also denen ähnlich, warum Windows das Ziel für Angreifer ist.
Außerdem kümmert sich ein Großteil der Nutzer nicht um Updates, weswegen auf vielen Durchschnitts-Rechnern oftmals hunderte von Lücken allein in Adobe-Software klaffen.

Scott Charney, Vizepräsident von Microsoft Trustworthy Computing schlug auf der ISSE 2010 in Berlin vor, infizierte Rechner aus dem Internet zu isolieren. Das dient dem Zweck, Botnetze zu schwächen oder gar auszuradieren.

Im Bericht "Collective Defense - Applying Public Health Models to the Internet", wird die Parallele zum Gesundheitswesen gesucht - dort kämen infizierte Menschen ja quasi auch in Quarantäne, um weitere Ansteckungen zu vermeiden.

Nachdem Google wegen "Sicherheitsproblemen in Windows" (siehe diesen Blogeintrag ) auf Windows verzichtet, äußern sich die Redmonder prompt und verteidigen ihr OS.

Brandon LeBrand von MS meint: "Wenn es um Sicherheit geht, geben selbst Hacker zu, dass wir gute Arbeit darin leisten, unsere Produkte sicherer als alle anderen zu machen. Und nicht nur die Hacker, auch führende Firmen machen ähnlcihe Feststellungen".

Das FBI klagt 3 Personen an, die für Scarewareverbreitung rund um den Globus verantwortlich sein sollen.
Der Schaden beläuft sich auf rund 100 Mio. USD.

Scareware hat sich zu DEM Renner in der Malwareindustrie entwickelt, da sie einfach herzustellen ist und schnell hohe Gewinne abwirft.
Das bekommen auch wir oft zu spüren, Erfahrungen mit Scareware zeigen, dass sie zunehmend gefährlicher wird, viele Scarewares nutzen Rootkit-Technologien.

Aufgrund eines chinesischen Hacker-Angriffs möchte Suchmaschinenriese Google aus Sicherheitsgründen auf Windows verzichten und nach und nach auf Linux/Mac OS umsatteln.

Seit Anfang 2010 dürfen neue Mitarbeiter nur noch zwischen diesen beiden Betriebssystemen wählen, Mitarbeiter die noch Windows nutzen sollen zum Umstieg bewegt werden.

Damit möchte Google seine Mitarbeiter besser vor Angriffen schützen. Die Zukunft wird zeigen, ob dieses Vorgehen erfolgreich ist.

Heute erreichte uns ein neues Sample des ICQ-Wurms.
Es wurde nur der Name geändert und ein paar Codezeilen.

Zum Glück für uns ging der Plan der Entwickler nicht auf, die meisten AV-Programme erkennen ihn mit einer vorherigen Signatur oder der Heuristik. Die wenigen (2 an der Zahl) die ihn nicht erkannten, haben von uns schon eine Message erhalten.

Aufatmen :).

Gestern war es soweit, der CARO-2010 Workshop wurde von F-Secure in Helsinki eröffnet.
am 26.05. sowie am 27.05. werden dort Redner aller großen Securityunternehmen Workshops abhalten.

Mit dabei sind u.a. Microsoft, F-Secure, McAfee Labs, Norman, Kaspersky Labs, G-Data und andere.
Dabei werden neben aktuellen Situationen in der Branche auch Vorträge zur Geschichte von Malware gehalten.

Außerdem werden neue Konzepte vorgestellt, wie z.B die Sample-Sharing-Initiative.

Den Rest des Workshops kann man bei Twitter verfolgen.

Wir haben heute das Forum um ein paar wichtige Bereiche und Funktionen ergänzt.

Wir suchen noch weiterhin, Redakteure, Projekthelfer und -leiter, Malwaresupporter und so weiter.

Wer sich bewerben möchte, kann das hier tun.