Trends & News | News

Process Explorer prüft mit VirusTotal

Der alternative Taskmanager Process Explorer nutzt in Version 16 auf Wunsch den Web-Dienst VirusTotal, um die zu einem Prozess gehörende ausführbare Datei mit bis zu 50 Virenscannern zu prüfen. Dazu übermittelt der Process Explorer den Hash der Datei und sofern die Datei zuvor bereits überprüft wurde, zeigt er unmittelbar das Ergebnis in einer neuen Spalte mit der Bezeichnung VirusTotal an. Unbekannte Dateien lädt man über das Kontextmenü hoch. Man kann einzelne Prozesse prüfen oder über die Optionen festlegen, dass der Process Explorer nach dem Start sämtliche laufenden Prozesse checkt. (axv)

Komplize Tor

Das Anonymisierungsnetz Tor wird immer wieder von Cyber-Ganoven missbraucht, um zum Beispiel den Standort von Steuerservern für Bot-Netze zu verschleiern. So installierte der Sefnit-Trojaner auf hunderttausenden Windows-PCs den Tor-Client, um mit seinem Mutterschiff zu kommunizieren. Da sich der untergejubelte Client nicht automatisch aktualisiert, handelt es sich stets um die völlig veraltete Version 0.2.3.25. Da diese bekannte Sicherheitslücken aufweist, sah sich Microsoft zum Handeln gezwungen und löschte die Software.

Das Löschen übernahmen zunächst Microsofts Security Essentials und seit November auch das beim Windows-Update automatisch ausgeführte Malicious Software Removal Tool. Microsoft empfiehlt Administratoren und fortgeschrittenen Anwendern, ihren Windows-PC zudem selbst auf einen möglicherweise unerwünschten Tor-Service zu testen. Dies kann man einfach mit dem Kommandozeilenbefehl sc query tor machen. Meldet das einen aktiven Dienst, den man nicht selbst installiert hat, kann man ihn mit sc delete tor abschalten.

Auch die Malware ChewBacca spricht mit ihrem Herrn und Gebieter über Tor. Anders als Sefnit hat es der Schädling nicht auf normale Windows-Rechner abgesehen, sondern auf Point-of-Sales-Terminales (PoS) wie etwa Kassensysteme. Nach der Infektion durchsucht er den Speicher nach Kreditkarteninformationen. Aber auch wer ganz bewusst Tor benutzt, kann Opfer von Datenklau werden – zum Beispiel wenn die sogenannten Exit Nodes, die dem Tor-Netzwerk ihre Internetverbindung spenden, ein falsches Spiel spielen: Forscher von der Karlstad University sind bei einer Analyse des Tor-Netzes auf 20 Exit-Nodes gestoßen, die verschlüsselte Verbindungen angreifen. (ju/rei)

Böser Zwilling von FileZilla

Der Virenschutz-Hersteller Avast hat manipulierte Versionen des FTP-Clients FileZilla entdeckt, welche die genutzten Zugangsdaten heimlich an einen deutschen Server übertragen. Die Fälschungen sind kaum vom Original zu unterscheiden und voll funktionsfähig.

Laut Avast werden die trojanisierten Ausgaben der FileZilla-Versionen 3.7.3 und 3.5.3 über Download-Seiten verbreitet, die optisch an die Herstellerseite angelehnt sind und auf gehackten Servern platziert wurden. Die verseuchten Fassungen geben sich Mühe, nicht aufzufallen: Sie unterscheiden sich nur in Details vom Original: Sie wurden etwa offenbar mit einer älteren Version von GnuTLS kompiliert, nämlich 2.8.6 statt 3.1.11. Dies zeigt FileZilla auch wahrheitsgemäß unter „Hilfe“, „Über…“ an. Dort findet sich bei der einen Fälschung zudem eine ältere SQLite-Version, bei der anderen Variante fehlt diese Angabe ganz. Die Spionagefunktionen wurden direkt in das Binary eingebaut. (rei)

Telekom-Mobilfunk begünstigt Datenklau

Mit einem Dienst für das „Automatische Einrichten“ eines komfortablen Hotspot-Logins wirft die Telekom die Telefonnummern ihrer Kunden den datenhungrigen Werbenetzen zum Fraß vor. Der Dienst gehört zu der iPhone-App „HotSpot Login“. Er liefert ihr auf Anfrage den Benutzernamen, die Telefonnummer und das Passwort des T-Mobile-Kunden. Allerdings ist diese Schnittstelle unzureichend abgesichert, wie der iOS-Experte Andreas Kurtz herausfand. Auch andere Apps können sie nutzen, um auf die vertraulichen Kundendaten zuzugreifen. Es ist dazu nicht einmal erforderlich, dass das Opfer die Login-App der Telekom installiert – oder auch nur von ihrer Existenz weiß.

Gegenüber c’t erklärte die Telekom, dass dieses Angriffsszenario „bisher rein theoretisch“ sei. Dennoch will man den Dienst nun überarbeiten und „wohl einige Funktionen vorübergehend deaktivieren“, erklärte ein Sprecher. Bislang liegen uns noch keine konkreten Informationen vor, was die Telekom jetzt ändern will. (ju)

Sicherheits-Notizen

Im Rahmen unserer Krypto-Kampagne zertifizieren wir ab sofort mittwochs zwischen 16:30 und 17:30 Uhr direkt im Verlagsgebäude Karl-Wiechert-Allee 10, Hannover, kostenlos Ihre mitgebrachten PGP-Schlüssel. Außerdem bieten wir diesen Service am 26. und 27. Februar zwischen 14 und 15 Uhr auch auf der Messe embedded world in Nürnberg an. Sie finden uns dort in Halle 5, Stand 5-474a. Bitte beachten Sie in beiden Fällen die über den c’t-Link abrufbaren Mitmachbedingungen.

In Adobe Flash klafft eine kritische Lücke, die von Cyber-Kriminellen bereits zum Einschleusen von Code missbraucht wird. Für Schutz sorgen die Versionen 12.0.0.44 und 11.7.700.261 für die Betriebssysteme Windows und Mac OS X sowie 11.2.202.336 für Linux. Betroffen sind alle älteren.

Artikel kostenlos herunterladen

weiterführende Links