Bundesamt warnt: Alle Internetnutzer sollen ihren PC prüfen

[Neko]

Sicherheitswarnung für Internetnutzer

Bundesamt warnt: Alle Internetnutzer sollen ihren PC prüfen

 Von Thomas Schade
 Nach einem Hackerangriff sind unzählige Computer infiziert. Aber die Gefahr ist erkannt.      
   
   Berlin. Das Bundesamt für Sicherheit in der Informationstechnik warnt  vor einem Virus, der offenbar allein in Deutschland Zigtausende Computer  angegriffen hat. Die Behörde rät deshalb allen Internetnutzern, ihren  PC zu überprüfen. Dazu reiche es aus, die Internetseite „www.dns-ok.de“  anzuklicken, die von Bundesamt, Telekom und Bundeskriminalamt  bereitgestellt werde. Diese testet automatisch, ob der Computer mit dem  Virus namens „DNS-Changer“ infiziert ist.

Der Grund für die Warnung ist ein riesiges Parasitennetzwerk, das die  US-Bundespolizei FBI schon im November 2011 entdeckt und ausgehoben hat.  Diese Operation richtete sich gegen sechs Online-Kriminelle in Estland.  Die hatten mehr als einhundert Server eines Rechenzentrums in New York  illegal übernommen und ferngesteuert.

Microsoft und Apple betroffen

Diese sogenannten DNS-Server sind quasi das Telefonbuch des Internets.  Sie übersetzten benutzerfreundliche Internetadressen wie sz-online.de in  computertaugliche Netzwerkadressen, die aus einer Ziffernfolge  bestehenden, sogenannten IP-Adressen. Die Täter hatten mehr als  einhundert solcher DNS-Server in dem Rechenzentrum illegal übernommen  und ferngesteuert.

Über die manipulierten DNS-Server konnten die Täter gezielt Werbung auf  Rechner schicken, die Internetsuche manipulieren und weitere  Schadsoftware auf PCs nachladen. Weltweit sollen auf diese Weise über  mehrere Jahre hinweg viele Millionen Computer in mehr als einhundert  Ländern infiziert worden sein – Privatpersonen, Firmen und  Organisationen, unter anderem auch die Nasa, so die amerikanische  Bundespolizei. Allein durch manipulierte Anzeigenplatzierung hätten die  Kriminellen mindestens zehn Millionen Euro eingenommen. Nach FBI-Angaben  waren in Deutschland täglich etwa 33000 PCs von den Manipulationen  betroffen.

Das FBI hatte die infizierten DNS-Server bereits im November durch  korrekt arbeitende Maschinen ersetzt, sodass für deren Nutzer keine  Gefahr mehr besteht. Diese merkten davon zunächst nichts. Am 8.März will  das FBI nun diese Maschinen abschalten. Spätestens dann merken alle  Betroffenen, die den Sicherheitscheck nicht durchführen, dass sie Opfer  der Attacke wurden: Auf ihren Computern werde das Internet dann nicht  mehr funktionieren, so das Bundesamt.

Anleitung auf Internetseite

Deshalb sollten PCs bis dahin überprüft sein. Eine Zusatzsoftware sei  nicht notwendig. Beim Aufruf der Internetseite „www.dns-ok.de“ erscheint  entweder ein grünes Feld mit dem Hinweis „Ihre DNS Konfiguration ist  korrekt“, oder ein rotes Feld mit dem Inhalt: „Achtung: Ihre DNS  Konfiguration ist manipuliert.“ Danach folgt eine Anleitung, wie der  Virus vom Computer unkompliziert entfernt werden kann.

www.dns-ok.de

[msdnaa]

Hallo Windows-Liebhaber,

es klingt wie in einem guten IT-Krimi: Windows fällt auf gefälschte Updates herein und installiert diese ohne zu murren. Das hat Symantec festgestellt und entsprechendes Know How veröffentlicht. Es ist nun nur noch eine Frage der Zeit, bis die Hobby-Hacker diese Dinge für sich entdecken...

http://www.symantec.com/connect/blogs/w32flamer-microsoft-windows-update-man-middle

Microsoft hat gestern ein Notfall-Update KB2718704 herausgegeben, was dafür sorgt, dass die gefälschten Signaturen von Windows Update nicht mehr akzeptiert werden. Das sollte möglichst zeitnah installiert werden! Da die Bibliothek crypt32.dll ersetzt werden muss, ist ein Neustart nötig, damit die Änderungen greifen...

http://support.microsoft.com/kb/2718704

Mit besten Grüßen
Ralf Städtler.

[dob]

Nur keine Panik. Das Teil wird schon seit mindestens 8 Jahren von den Geheimdiensten eingesetzt udn seit mindestens 6 Jahren haben die AV-Hersteller schon Proben davon in ihrem "müssen wir uns mal angucken" - Ordner. Da muss man jetzt keine Panik schieben.

[msdnaa]

Von Panik war nicht die Rede! Meine Absicht war es auch nicht, dass die Windows-Liebhaber jetzt ängstlich werden sollen. Aber aufmerksam sollten sie schon sein.

F-Secure sprach davon, dass Flame wie eine "geschäftliche Datenbank wirkte" und daher von der Verhaltenserkennung und dem Heuristik-Modul als "harmlos" eingestuft wurde. :w00t:

Genau diese zusätzlichen Komponenten gehören zu modernen Virenscannern dazu, so dass die Entscheidung "gut" oder "böse" nicht allein auf Erkennung von Bitmustern und Prüfsummen beruht.

Diese Mechanismen sind für eine erfolgreiche Abwehr sog. Zero-Day-Exploits, also Gefährungen, die durch die Vernetzung kurzfristig entstehen können, unverzichtbar. F-Secure räumt ein, dass diese Technologien allesamt bei Stuxnet und Flame versagt haben.

http://heise.de/-1589640

Mit besten Grüßen
Ralf Städtler.

[msdnaa]

Der Kryptografieexperte Marc Stevens stellte bei der Analyse des Flame-Zertifikats fest, dass die Virenschreiber eine "komplett neue Variante einer Chosen Prefix Collision Attack" genutzt haben. "Die Entwicklung dieser neuen Variante erforderte Kryptoanalyse von Weltklasse", merkt Stevens an.

Quelle: http://heise.de/-1612879

[dob]

[...]
Die Entwickler der Cyberwaffe Flame haben einen Selbstzerstörungsmechanismus gestartet. Das gaben Sicherheitsexperten von Symantec bekannt. Kompromittierte Computer wurden angewiesen, eine Komponente zu installieren und auszuführen, die alle Spuren der Schadsoftware zerstören soll.

Dabei nutzten die Entwickler von Flame nicht die eingebaute Selbstzerstörungsfunktion Suicide, sondern ein neues Modul mit dem Titel browse32.ocx, dessen letzte Version am 9. Mai 2012 entwickelt wurde. "Es ist unklar, warum die Schadsoftwarehersteller nicht die Suicide-Funktion nutzten", erklärte Symantec. Das neue Entfernungstool findet jede Flame-Datei auf einem Datenträger und überschreibt sie mit Zufallsdaten, um eine Wiederherstellung zu verhindern.
[...]

Quelle

Wenn man mal davon absieht Symantec (Norton) als Sicherheitsunternehmen zu bezeichnen *lol*