Thema: Virenautoren nutzen Wikipedia zur Verbreitung von Schädlingen

[SiLæncer]

Offenbar versuchen Autoren von Schadsoftware das Renommee der freien Online-Enzyklopädie Wikipedia zur Infektion von PCs mit Schadsoftware zu nutzen. In einer am gestrigen Dienstag verbreiteten Massenmail wurden die Empfänger aufgefordert, ein vermeintliches Sicherheitsupdate für Windows von einer Wikipedia-Webseite herunterzuladen.

Die Attacke machte sich Wikipedia gleich mehrfach zu Nutze. So kam zumindest ein Teil der Mails vorgeblich von offiziellen Wikipedia-Mailadressen. In der Mail wurde das offizielle Wikipedia-Logo verwendet und mit der Überschrift "Wikipedia warnt" vor einer neuen Variante des Virus Lovesan/W32.Blaster gewarnt. Der Text verwies dabei auf einen Wikipedia-Artikel, in dem Links auf die Domain wikipedia-download.org enthalten waren. Von dieser Webseite sollten sich die Mailempfänger die vermeintlich neuen Patches herunterladen. Ganz frech behauptete der Artikel sogar, aufgrund des neuen Blaster-Angriffs seien Microsofts Server überlastet, weshalb Microsoft Wikipedia gebeten habe, bei der Verteilung der Updates zu helfen.

Die Mailversender machten sich dabei eine Eigenart der Wikipedia-Software Mediawiki zu Nutze. Die Software speichert nämlich aus Dokumentationsgründen alle einzelnen Versionen eines Artikels. Aufmerksame Wikipedia-Autoren hatten den falschen Warntext und die Links im Wikipedia-Artikel über W32.Blaster sofort bemerkt und in wenigen Minuten rückgängig gemacht. Die alten Versionen waren aber weiterhin abrufbar, sodass die Mailversender darauf verlinken konnten. Erst nachdem die Wikipedia-Administratoren auf die Massenmail aufmerksam wurden, wurden die betroffenen Artikelversionen aus der Versionshistorie entfernt. Der Link aus den Mails führt jetzt nur noch zu einer Fehlermeldung.

Auch die vermeintliche Wikipedia-Downloadseite war kurze Zeit später nicht mehr erreichbar. Ein erstem Test der Updates mit mehr als 20 Virenscannern meldete zwar keiner der Scanner einen Virus, eine Analyse in einer Sandbox lieferte allerdings Hinweise, dass es sich um einen Schädling handeln muss. Was er aber genau macht, ist Gegenstand weiterer Untersuchungen.

Ein Sprecher der deutschen Wikipedia bestätigt den Vorfall gegenüber heise online. In Zukunft würden die Administratoren verschärft auf solche Manipulationen achten und entsprechende Artikelversionen schneller aus der Versionshistorie löschen. Ob die Wikimedia Foundation oder der Verein Wikimedia Deutschland wegen Missbrauch ihrer Marken- und Domainnamen rechtliche Schritte ergreifen werden, ist noch unklar.

Quelle : www.heise.de

[SiLæncer]

Vergangene Woche warnten Spam-Mails vor dem Blaster-Wurm und versuchten, Wikipedias guten Ruf zur Verbreitung von Schädlingen zu nutzen. Die Wikipedia-Verantwortlichen hatten aber zügig die manipulierten Seiten bereinigt. Am gestrigen Dienstag wurde jedoch die externe Adresse, auf der schon zuvor die präparierten Downloads lagerten, mit Spam-Mails beworben. Die kriminellen Drahtzieher haben dort in der Zwischenzeit eine komplette Kopie des ursprünglichen Wikipedia-Artikels abgelegt. Eine Grafik wurde jedoch von den Wikipedia-Servern nachgeladen, woraufhin die Wikipedia-Administratoren mittels Referer-Überprüfung eine Warngrafik anstatt des Wikipedia-Logos auslieferten.

Die gefälschte Seite ist teilweise noch erreichbar, allerdings scheinen einige Provider die DNS-Auflösung dafür zu blockieren. Beim Ansurfen der Seite wird nun nicht mehr die eingegebene Adresse angezeigt, sondern der vollständige Hostname des Servers, auf dem die Seite lagert. Die Wikipedianer versuchen derzeit, an die Domain zu kommen, die die Schadsoftwarebastler registriert haben.

Die angebotenen, manipulierten Patches auf der gefälschten Seite wurden bis gestern Nachmittag von keinem einzigen Virenscanner erkannt. Erst nachdem heise Security Samples an mehrere Antivirenhersteller verschickt hat, kamen mit einigen Stunden Verzögerung die ersten Signatur-Updates heraus, mit denen die Trojaner erkannt und gelöscht werden können.

Am heutigen Mittwochmorgen erkennen lediglich die Virenscanner AntiVir, AVG, ClamAV, F-Prot, Kaspersky und Microsoft OneCare den Schädling, die anderen Scanner, die Virustotal einsetzen, sind dafür noch immer blind. Über die Verbreitung der Schadsoftware gibt es noch keine Erkenntnisse. Da die Virenscanner jedoch durch die Bank ihr O. K. für die Datei gegeben haben, dürften zahlreiche weniger misstrauische Anwender auf die Spam-Mails hereingefallen sein.

Der Schädling enthält nach bisherigen Erkenntnissen den originalen Patch von Microsoft in dem in der Datei eingebetteten Archiv. Lediglich die Routinen zum Extrahieren des CAB-Archives wurden verändert. Bei der Ausführung wurden unter anderem neue Benutzerkonten auf dem Rechner angelegt. Es handelt sich um einen so genannten Trojan-Dropper, also einem Schädling, der ein Trojanisches Pferd auf dem Rechner ablegt und ausführt. Welche Schadroutinen der abgelegte Trojaner besitzt, ist bislang aber ebenfalls noch unklar.

Quelle : www.heise.de

[SiLæncer]

Zahlreiche Spam-Mails fordern derzeit die Empfänger dazu auf, einen vermeintlichen Wikipedia-Account per Klick auf einen Link zu verifizieren, der nur scheinbar zu Wikipedia führt. In den Mails heißt es beispielsweise "Someone from the IP address 112.135.3.205 has registered the account 'iamjustsendingthisleter' with this e-mail address on the English Wikipedia.", wobei die IP-Adresse derjenigen des spammenden (Bot-)Rechners entspricht und der vermeintliche Wikipedia-Account dem Mailkonto des Spam-Empfängers.

Wie bei HTML-Phishing-Mails üblich, führen die dann folgenden Links nur scheinbar zu dem vertrauenswürdigen Anbieter. Wer sie anklickt, landet auf verseuchten Websites, auf denen die Täter alle möglichen Inhalte hinterlegen können, etwa Pillenwerbung, schädlichen JavaScript-Code oder beides.

Wie üblich lautet die Empfehlung, Seiten bekannter Anbieter nicht über Links in dubiosen Mails anzusteuern, sondern über Bookmarks. Auch die Link-Vorschau in der Statuszeile von Mailprogrammen oder Browsern bietet letztlich keine Sicherheit, da sich zum Beispiel Zeichen in URLs durch ähnliche, auf den ersten Blick nicht zu unterscheidende ersetzen lassen.

Quelle : www.heise.de

[SiLæncer]

Wer beim Besuch einer Wikipedia-Seite echte Werbung zu sehen bekommt, hat sich höchstwahrscheinlich mit Malware infiziert. Die Betreiber der freien Online-Enzyklopädie warnen derzeit vor einer Erweiterung, die sich bei Googles Chrome Browser installiert und auf Wikipedia kommerzielle Banner einblendet.

In einem aktuellen 'Blog-Eintrag' warnt die Wikimedia Foundation - also jene Stiftung, die Wikipedia betreibt - vor Werbung, die sich auf das Web-Nachschlagewerk einschleicht. Dabei betont man, dass Wikipedia unter keinen Umständen kommerzielle Einblendungen auf der Seite zulässt.

Erlaubt sind einzig und allein Spendenaufrufe in eigener Sache. Wer etwas anderes zu sehen bekommt, etwa eine Werbung für T-Shirts, die Wikimedia als Beispiel veröffentlicht hat (siehe Screenshot oben), der sollte die Erweiterungen seines Webbrowsers überprüfen - vor allem wenn man einen Chrome-Browser verwendet.

Den Sicherheitsexperten der Online-Enzyklopädie ist derzeit eine Erweiterung namens "I want this" bekannt. Diese installiert sich von selbst im Chrome-Browser, kann aber recht leicht wieder entfernt werden. Um sie loszuwerden klickt man auf den Schraubenschlüssel rechts oben im Browserfenster, geht bei "Einstellungen" zum Punkt "Erweiterungen" und entfernt das ungewünschte Programm mit Hilfe des Papierkorb-Symbols (rechts vom "Aktiviert"-Feld).

Wikipedia schreibt, dass es höchstwahrscheinlich andere ähnliche Malware-Erweiterungen gibt, auch dürfte das Problem nicht auf den Google Chrome beschränkt sein, sondern könnte auch andere Browser wie Firefox oder Internet Explorer betreffen. Außerdem besteht die Möglichkeit, dass die initiierte Werbung entweder nur auf bestimmten oder auch auf allen Seiten erscheint.

Außerdem schreibt Wikimedia, dass das Surfen über eine HTTPS-Verbindung zwar die Werbeanzeigen zum Verschwinden bringen kann, aber nicht das darunterliegende Problem löst. Man empfiehlt u. a. das Deaktivieren von Erweiterungen, fortgeschrittene Nutzer können auch einen Scan des Systems mit einem Tool wie Ad-Aware oder Malwarebytes durchführen.

Quelle : http://winfuture.de/