17. März 2008

Zur Aktualität von Virenscannern

Category: Hacking,Internet — Christian @ 22:58

Das File iPIX-install.exe ist übrigens mal wieder ein interessantes Beispiel dafür wie wichtig die Aktualität von Virenscannern ist. Erster Versuch auf meinem Privatrechner:

Suchengine: V7.06.00.73, 01.03.2008
Virendefinitionsdatei: V7.00.03.31, 14.03.2008

Leider kein Virus gefunden.

Also … Update!

Suchengine: V7.06.00.73, 01.03.2008 = die gleiche Version wie vorher
Virendefinitionsdatei: V7.00.03.33, 16.03.2008 = nur 0.00.00.02 höher

Und das Ergebnis:

Jetzt wird das Schadprogramm erkannt.

Ich weiß nicht, wie lange dieser Spam schon verschickt wird, aber bisher war meine Erfahrung mit Avira dem Hersteller von Antivir, dass recht flott reagiert wird. Gut möglich also, dass dieses Schadprogramm erst zwischen 14. und 16. März im Internet aufgetaucht ist. Im Grunde ist ein tägliches Update inzwischen zu selten, eigentlich müsste man Virenpattern zumindest in Unternehmen stündlich aktualisieren.

Lustiger Trick im Browser

Category: Hacking,Internet — Christian @ 18:35

Ich weiß nicht so recht, wie ich den folgenden Trick einordnen soll. Social Engineering? Spoofing? Von beidem etwas?

Per Spam kam der Link auf folgende (absichtlich nicht verlinkte) chinesische Webseite: http://www.financial-manager.cn/aes/

Man sieht, das in der Mitte offensichtlich ein Plugin fehlt, um Grafiken oder Filme oder so anzuzeigen. Das fand ich jetzt nicht besonders ungewöhnlich. Insbesondere weigere ich mich standhaft, den Apple QuickTime Schrott zu installieren. Die Software ist sowas von eklig, die Integration egal in welchen Browser funktioniert hinten und vorne nicht so wie ich das gerne hätte und QuickTime will dann alle Medien abspielen, die die Dreckssoftware gar nichts angeht. Von den vielen Bugs und Sicherheitslücken will ich gar nicht reden. Weil mich natürlich interessiert, welches Plugin in diesem Fall fehlt, habe ich todesmutig draufgeklickt (man weiß ja schließlich nie, was sich auf so chinesischen Webseiten verbirgt):

Sehr witzig, das ist gar kein Firefox-Plugin. Das Plugin-Symbol wird im HTML-Quelltext als billige GIF-Grafik angezeigt. Beim Klick auf die Grafik wird dann ein normales EXE-File nachgeladen. Und was sagt Virustotal dazu?

Ui, ein böser Trojaner-Downloader. Also im Grunde genau das, was man so von einer chinesischen Webseite erwarten würde.

Trotzdem finde ich die Idee clever. Auf den ersten Blick dürften sich die meisten unbedarften User täuschen lassen. Das Puzzle-Symbol für ein Plugin ist dem User bekannt und symbolisiert einen vertrauenswürdigen Download. Wenn sich dahinter ein EXE verbirgt, kann man dem Anwender eigentlich auch keinen Vorwurf machen, das blöde QuickTime lässt sich ja auch nicht direkt über den Browser installieren.

Ingram Micro ArchITecture 2008

Category: Hacking,Work — Christian @ 14:06

Am 09. April findet die diesjährige Ausgabe der Ingram Micro ArchITecture (hier die komplette Agenda, PDF, 1,4 MB) wie jedes Jahr in Neuss statt. Mein diesjähriger Titel:

Hacking Reloaded: Fiese Tricks im Firmennetz
Wie Sie ihren Systemadministrator zur Verzweiflung treiben

Dabei geht es um Software wie Cain & Abel, Spoofing und Sniffing, um Trojaner und andere Schadprogramme und welche Möglichkeiten man als Mitarbeiter im Unternehmensnetz so hat, um diversen Unsinn anzustellen, möglichst natürlich ohne das 11. Gebot (laß Dich nicht erwischen) zu verletzen.

Es lohnt sich natürlich nicht nur wegen meines Vortrags zu kommen. Matthias Leu erklärt beispielsweise was man mit UTM machen kann und welche Vor- und Nachteile man damit eingeht. Das wird garantiert einer der starken Vorträge die sich auch in Argumentationen bei Kunden gut verarbeiten lassen.

Anmeldung zur Teilnahme (beschränkt auf Fachhändler) über die Reseller-Seite von Ingram Micro.