Changelog:

IKARUS virus.utilities Version 1.0.203:

11. Februar 2010

• Größe des Lizenzfensters angepasst
• Größe des Aktivierungs-Code Fensters angepasst

• Option "-restorebadlist" zum guardxservice hinzugefügt
• Bugfix: „an IKARUS senden“

• Bugfix bzw. Reaktion auf das "10 Sekunden Deadlock-Problem" welches durch ein Microsoft Update verursacht wurde

• Partieller Download hinzugefügt
• Logging für den partiellen Download angepasst

Seit heute registrieren wir in unseren Scancentern eine neue Art von Spamwellen. Hierbei handelt es sich um E-Mails, die im Anhang den bereits bekannten Bredolab-Trojaner enthalten. Die beiden neuen Arten weisen folgende Betreffzeilen auf:

• updated account agreement
• Conflicker.B Infection Alert

Der Inhalt der E-Mails verleitet, wie üblich, den Anhang zu öffnen. Der Anhang enthält den Bredolab-Trojaner, der als Erstinfektor für weitere Malware dient. Der Trojaner lädt selbständig nach der Installation weitere Malware nach und führt diese aus.

Löschen Sie derartige E-Mails, ohne auf die Anhänge zu öffnen oder auf Links zu klicken!

Halten Sie ihren Virenscanner und das Betriebssystem up-to-date und starten Sie sicherheitshalber einen vollständigen Systemscan!

Zu unserem großen Bedauern kam es heute Vormittag bis ca. 11:30 zu Fehlalarmen in unseren Systemen.
Der Grund ist darin zu finden, dass wir gestern intern einen neuen Server in unseren Fail-Test eingebaut haben, wobei sich aber ein Fehler eingeschlichen hat, der nicht sofort entdeckt wurde.

Sofort nach bekannt werden des Fehlers, haben wir ein neues Update erstellt, in welchem die Fehlalarme ausgebaut wurden. Das Erstellen des Updates dauerte etwas über eine halbe Stunde.

Sollten Sie in die Quarantäne verschobene Dateien gelöscht haben, können Sie diese durch den Befehl „Zurück verschieben“(Button unter dem Quarantäne Fenster) wieder herstellen.
Das neue Update bereinigt auch die Einträge in der Quarantäne.

IKARUS security.manager Kunden könnten vor dem Problem stehen, dass der Updateprozess guardxup.exe aus dem ISMx Verzeichnis auch als Fehlalarm erkannt wird und daher ein Update fehl schlägt.
In so einem Fall geben Sie bitte die guardxup.exe in den IKARUS virus.utilities frei und führen danach ein Update am ISMx durch.

Wir möchten uns nochmals ausdrücklich für die entstandenen Unannehmlichkeiten entschuldigen!

Gerade eben hat uns eine neue Malwarekampagne erreicht.

Betreff: Congratulations!
Anhang: winner.exe

Die neu aufgetretene Methode enthält eine Meldung, dass der Benutzer bei einem Gewinnspiel gewonnen hat. Das ist sehr verdächtig, wenn man an dem angegebenen Gewinnspiel wissentlich gar nicht teilgenommen hat! Der Anhang mit dem Namen "winner.exe" enthält wiederum einen ähnlichen Trojaner, wie die im unteren Newseintrag beschriebenen Malwarekampagnen.

Aufgrund der kürzlich rasanten Entwicklung ist in naher Zukunft mit mehreren neuen Malwarekampagnen zu rechnen!

Löschen Sie derartige E-Mails, ohne auf die Anhänge zu öffnen oder auf Links zu klicken!

Halten Sie ihren Virenscanner up-to-date und starten Sie sicherheitshalber einen vollständigen Systemscan!

In den letzten Tagen haben wir einen Anstieg von neuen Spamwellen registriert.

Hierbei handelt es sich um bereits bekannte Methoden, den Nutzer dazu zu verleiten, das Attachment zu öffnen. Folgende Methoden konnten wir identifizieren:

• Update for Microsoft Outlook / Outlook Express (KBxxxxxxx)
• DHL Pakete
• e-cards

Wie in weiter unten stehenden Newseinträgen bereits erklärt handelt es sich dabei um Falschmeldungen. Diese suggerieren dem Benutzer, dass ein Update für Software, Informationen zu einem DHL-Paket oder eine elektronische Grußkarte im Anhang enthalten sei. Derjenige, der das Attachment öffnet und die Datei mit .exe-Endung ausführt, installiert damit einen Trojaner auf seinem Computer.

Softwarehersteller (und schon gar nicht so große, wie Microsoft) versenden KEINE Updates per E-Mail. Sie verfügen über Updatemechanismen in ihrer Software, die auf nicht deaktiviert werden sollten.

DHL und andere Paketdienste versenden keine E-Mails an Kunden, wenn diese nicht erwartet werden.

Bei elektronischen Grußkarten gestaltet sich die Ausscheidung offensichtlich böser Anhänge schwieriger. Dabei ist darauf zu achten, dass jemand von einer ihm/ihr unbekannten Person keine Grußkarten geschickt bekommt! Der Text des E-Mails ist ebenfalls ein guter Anhaltspunkt. Sollte der Stil des Textes nicht zu der im Absender angegebenen bekannten Person passen, dann ist das Mail bereits verdächtig.

Halten Sie ihren Virenscanner UND ihr Betriebssystem up-to-date und starten Sie sicherheitshalber einen vollständigen Systemscan!

Das neue Jahr fängt mit einer schwerwiegenden Schwachstelle im Microsoft Internet Explorer ab der Version 5 bis hin zur Version 8 an!

Diese Sicherheitslücke im Internet Explorer ermöglicht die Ausführung von Schadcode von einer kompromittierten Webseite aus. Das Ausnutzen einer weitläufig verbreiteten Sicherheitslücke hat bekanntlich häufig einen Zweck: das automatisierte Verbreiten von Malware!

Der Ablauf gestaltet sich folgend:

1. Der unbedarfte Nutzer wird auf eine gehackte oder manipulierte Webseite gelockt
2. Ein Exploit für die auszunützende Sicherheitslücke wird geladen und ausgeführt
3. Der Exploit lädt Malware nach und verankert sie im System

Anfällige Systeme
Prinzipiell sind ALLE Windows Systeme, auf denen Internet Explorer zum Surfen benutzt wird anfällig für die beschriebene Sicherheitslücke. Die einzigen Systeme, die Microsoft als teilweise geschützt ausweist sind alle Systeme mit Internet Explorer in der Version 8 und einem der folgenden Betriebsysteme:

• Windows XP mit Service Pack 3
• Windows Vista mit Service Pack 1 oder Service Pack 2
• Windows 7

Diese Aussage beruht auf der Tatsache, dass in diesen Betriebssystemen für den IE8 die Data Execution Prevention (DEP oder Datenausführungsverhinderung) in der Standardeinstellung aktiviert ist.
Für IE7 ist dei DEP nicht automatisch aktiviert und es ist theoretisch auch möglich die aktuelle Schwachstelle auf einem Windows XP System mit IE7 auszunutzen. Dies ist im 3. weiterführenden Link nachzulesen.

Schutz vor der Lücke
Der wichtigste Schritt zum Eigenschutz ist es, sein Betriebssystem so aktuell wie möglich zu halten!
Da es derzeit leider noch keinen Termin für einen Patch gibt, der dieses Problem behebt, ist es NOCH nicht möglich sich mit einem Update zu schützen. Trotzdem gibt es die Möglichkeit sich vor einer Infektion zu schützen:

1. auf IE8 updaten
2. die DEP aktivieren (falls nicht standardmäßig aktiviert)
3. Virenschutz vollständig updaten und Systemüberwachung aktivieren

mögliche Probleme mit DEP
Die Data Execution Prevention ist eine Technik, die erst ab bestimmten CPU Typen besteht. Das bedeutet, dass die DEP von der CPU in Form einer speziellen Registereinstellung unterstützt werden muss (XD oder NX Bit). Außerdem wird DEP erst ab Windows XP SP2, und Windows Server 2003 SP1 und Windows Vista unterstützt.

Exploit
Der Exploit Exploit.Win32.Comele nützt die Sicherheitslücke aus. Hierbei handelt es sich um verschlüsselten Java Script Code. Bei Ausführung dieses Codes im Browser wird die Schwachstelle genutzt, um weitere Malware nachzuladen und auszuführen. Bisher sind zwei Trojaner bekannt, die nachgeladen werden: Trojan.Win32.Hydraq und Trojan.Win32.Roarur.
Bei beiden Trojanern handelt es sich um Malware, um ein Botnetz aufzubauen.

Ein Auftreten neuer Malware und eines ähnlichen Exploits ist sehr wahrscheinlich, da für bekannte und weit verbreitete Exploit-Toolkits bereits Plugins zum Eigenbau eines Exploits bestehen!

Halten Sie ihren Virenscanner UND ihr Betriebssystem up-to-date und starten Sie sicherheitshalber einen vollständigen Systemscan!

Die beste Sicherheit erhalten sie derzeit ab Windows XP SP3 (auch Vista und Windows 7) in Verbindung mit IE8.

Weitere Informationen

1. Das Microsoft Security Advisory 979352 beschreibt die Sicherheitslücke ausführlich.
2. Dieser Microsoft Blog Eintrag beschreibt die DEP unter Windows Betriebssystemen in Bezug auf die aktuelle Schwachstelle.
3. Ein weiterer Microsoft Blog Eintrag beschäftigt sich mit der Risikoeinschätzung der aktuellen Schwachstelle.

Wir wünschen allen Kunden und Händlern einen guten Rutsch ins Jahr 2010.

Die Mitarbeiter der Firma IKARUS wünschen:

Alles Gute für 2010

Picture Copyright by Wladimier Arnhold - phoetic.de under creative commons licence

Aufgrund eines Fehlers im ISMx kann es bei SQL 2000 Servern zu unerwarteten Problemen gekommen sein. Dies wurde nun mit der Version 3.0.54 behoben.

Damit der Fehler bei Ihrem ISMx nicht mehr auftritt bitte einfach die Setup-Datei aus der Download-Sektion herunterladen und über die bestehende Installation installieren. Damit ist der Fehler behoben und der ISMx funtkioniert wieder tadellos.

Wir entschuldigen uns für die entstandenen Ausfallzeiten und wünschen weiterhin eine Virenfreie Zeit.

Ab sofort stehen neue Version von IKARUS virus.utilities (1.0.151), IKARUS security.manager (3.0.53) und unserem Auto-Update (1.0.85) zur Verfügung

Die Updates werden automatisch an alle VU und ISM Kunden verteilt, bzw können direkt in der Download-Sektion heruntergeladen werden.

Zu den wichtigsten Neuerungen zählen Volle Windows 7 Unterstützung, das Update wurde beschleunigt und ein partielles Update wurde eingebaut

Untenstehend finden Sie den gesamten Changelog der einzelnen Produkte.

IKARUS virus.utilities:

.) Windows 7 / Windows Server 2008 werden ab sofort unterstützt - Aktuelle Meldungen an das Windows 7 Action Center
.) Unicode Umstellung (Zur besseren Kompatibilität mit den verschieden Sprachen)
.) Activation Fenster - Land auswählbar, Tabreihenfolge angepasst
.) Quarantäne "an IKARUS senden" Funktion - sendet nun Rechnername und weitere Details mit
.) Volle FQDN Unterstützung in Verbindung mit ISMx
.) Sprache Polnisch hinzugefügt
.) Bugfix bei der E-Mailüberprüfung für Outlook-Express

IKARUS security.manager:
.) Windows 7 / Windows Server 2008 zur Betriebssystemauflistung hinzugefüt
.) Unicode implementiert (Kompatibilität mit den virus.utilities)
.) ISMX komplett auf FQDN umstellt (wenn in Active-Directory, ansonst Netbios Name)
.) Bugfixes bei gespeicherten Konfigurationen (Unicode umstellung, "<ismx>" Section)

Auto-Update:
.) Update-Algorythmus verbessert (Updatevorgang beschleunigt, Last vermindert)
.) Partielles Update hinzugefügt (Wenn der Download der VDB abbricht wird nicht mehr von neu angefangen sondern der Download fortgesetzt)
.) Antispam Unterstützung eingebaut (Ist in den virus.utilities noch nicht verfügbar; Voraussichtlich Q1 2010;
.) Patchvorgang in tmp-directory verschoben (Möglichkeit von defekten VDBs verringert)
.) ISMx Bugfix (Probleme beim Download und Patchvorgang behoben)
.) Absturzprobleme behoben
.) Logs beim erstellen der Support-Info



Sollte es widererwarten bei dem Update zu den neuen Versionen oder beim täglichen Betrieb zu Problemen kommen, können sie sich natürlich gerne an unseren Support wenden.

Nicht nur Facebook Benutzer bekommen zur Zeit unseriöse E-Mails, sondern auch MySpace Accountinhaber. Es ist zudem zu befürchten, daß auch andere soziale Netzwerke in Zukunft Ziel solcher Malware Kampagnen werden dürften.

Betreff: MySpace Password Reset Confirmation

Hello,
Because of the measures taken to provide safety to our clients, your password has been changed. You can find your new password in attached document.

Thanks,
The MySpace Team

Löschen Sie derartige E-Mails, ohne auf den Anhang zu klicken!

Halten Sie ihren Virenscanner up-to-date und starten Sie sicherheitshalber einen vollständigen Systemscan!

Seit den heutigen frühen Morgenstunden wird in unseren Scancentern eine neue gefährliche Malware-Kampagne registriert.

Hierbei handelt es sich um E-Mails, die das Zurücksetzen von Facebook Passwörtern suggerieren. Der Inhalt enthält sinngemäß die Botschaft, dass ein Passwort-Reset durchgeführt wurde und der Empfänger sein neues Passwort im angehängten Dokument erfahren wird. Beim Öffnen des "Dokuments" installiert sich jedoch ein der Trojaner Bredolab, der von den DHL-Spam-Kampagnen (siehe weiter unten) bereits bekannt ist.

Da dies eine neue Kampagne ist, fallen leider sehr viele Benutzer auf den Trick herein und das Spam-Mail verbreitet sich rasend schnell! Seien Sie bitte vorsichtig und glauben Sie nicht jedem E-Mail, das Sie erreicht. Anbieter von Online-Diensten senden Ihnen sehr selten unaufgefordert E-Mails! Diese seltenen E-Mails werden jedoch auch auf der Homepage angekündigt.

In diesem Fall eines ungewöhnlichen Passwort-Reset E-Mails versuchen Sie sich zuallererst in Ihren Account einzuloggen, BEVOR Sie irgendwelche Anhänge öffnen. Sollte Ihr Account dann wie gehabt weiter funktionieren, können Sie getrost dubiose E-Mails löschen.

Löschen Sie derartige E-Mails, ohne auf den Anhang zu klicken!

Halten Sie ihren Virenscanner up-to-date und starten Sie sicherheitshalber einen vollständigen Systemscan!

Betreff: Herzlichen Glückwunsch!!!Du bist ein Gewinner MC DONALD'S Prämiert WERBEARTIKEL 2009.

Herzlichen Glückwunsch:

"Dieser wird Ihnen mitteilen, dass offizielle Sie als den glücklichen Gewinnern des AWARD MC DONALD'S PRIZE PROMO 2009 von Two Million Seven Hundred Thousand Euros Only ( 2.700.000).

Dies ist die bekannte und beliebte Restaurant prämiert Förderung der Jahre weltweit in Paris FRANKREICH AWARD für die erste MC DONALD'S PRIZE Förderprogramm des Jahres. Die Namen und Anschriften der MC DONALD'S AWARD PREISTRÄGER von Ballot der MC DONALD'S Box für die Auswahl der drei glücklichen Gewinner nur ausgewählt.

Unter den Millionen von Namen und Anschrift nur drei Gewinner werden von den anderen als den glücklichen Gewinnern des AWARD MC DONALD'S PRIZE PROMO 2009 ausgewählt. Diese sind Ihre Gewinnchancen vertraulichen Codes (Secret): (Secret):
(PIN CODE: *10*91*82*88*10) (BATCH NO: MCD 24701)
Sie sind zu Ihrer vollsten Sprachgebrauch (Daten) unten ausfüllen und an unsere PARIS FRANKREICH Regionalkoordinator BARRISTER JACEG Jäger auf seine E-Mail-Adresse für die weitere Verarbeitung Ihrer Preis gewonnen.

A. FULL NAME:
B. POST HAUS ADRESSE:
C. LAND:
D. BERUF:
E. Mobile Number:
F. TELEFON:
G. FAX NUMBER: :
H. GESCHLECHT
I. ALTER:
J. MARITAL STATUS

CONTACT THE PARIS FRANCE AGENT.
Barr. Jaceg Hunter “Esq”
Tele: +33669160780
Email: barr.jaceghuntersesq@googlemail.com

Madam Theresa Akawola
(MC Donald Award Prize Director)

Löschen Sie derartige E-Mails ohne auf die Links zu klicken!

Aktualisieren Sie ihren Virenscanner und starten sie sicherheitshalber einen vollständigen Systemscan!

Gefährliche E-Mails mit falschem Inhalt lassen derzeit auhorchen:

Shipping Confirmation For Order N.7029

Hello!

Thank you for shopping at our internet store!
We have successfully received your payment.

Your order has been shipped to your billing address.
You have ordered "Samsung GO N310-13G".

You can find your tracking number in attached to the e-mail document.
Please print the label to get your package.

We hope you enjoy your order!

Cdw.com
Customer Service.

Löschen Sie derartige E-Mails ohne das Mail oder den Anhang zu öffnen! Aktualisieren Sie ihren Virenscanner und starten sie sicherheitshalber einen vollständigen Systemscan.

IKARUS Security Software nimmt heuer vom 27.10. bis 30.10. an der Softool in Moskau teil, welche die größte IT- und Kommunikationstechnologie-Messe Russlands ist und heuer bereits zum 20. Mal stattfindet.

IKARUS ist durch den Moskauer Distributor „Murava“ mit Geschäftsführer Kirill Sokolowsky vertreten. Beide Seiten sind davon überzeugt, dass die Teilnahme an diesem Event zur Bekanntheitssteigerung unseres Unternehmens in Russland führen wird.

Beinahe wöchentlich erreichen uns nun Spamwellen mit Trojaner-Anhängen. In der großen Welle der letzten Tage wurden die beiden Trojaner Bredolab und Oficla verteilt.

Das E-Mail der Spamversender ist diesmal auffällig einheitlich gehalten. Sämtlich registrierten E-Mails sind angebliche Benachrichtigungen des Paketversender UPS. Sobald der unbedarfte Anwender den Anhang des E-Mails öffnet, wird sein PC Teil eines Botnetzes und versendet weiter Spam. Darüber hinaus werden weitere Trojaner/Viren nachgeladen und der PC des Opfers weiter kompromittiert.

Hinweis: UPS, DHL und andere Paketversender verfügen über Online-Tracking auf deren Webseiten. Diese Firmen versenden niemals unaufgefordert eMails mit Attachments an Kunden.

Löschen Sie derartige E-Mails ohne das Mail oder den Anhang zu öffnen!
Aktualisieren Sie ihren Virenscanner und starten sie sicherheitshalber einen vollständigen Systemscan.

In der letzten Woche erreichten uns täglich mehrere tausend Spam-Mails mit Betreffzeilen wie:

• Western Union transfer is available for withdrawl
• Shipping confirmation for order XXXXX
• DHL Tracking Number XXXXXXXX

Die Absender sind stets legitim aussehende Namen, die jedoch von den Spamversendern zufällig erstellt werden.

Wie auch schon in der Newsmeldung unterhalb handelt es sich bei den Anhängen um Bredolab-Trojaner, die den befallenen PC in das Spamnetzwerk integrieren und Daten ausspionieren können.

Löschen Sie derartige E-Mails ohne das Mail oder den Anhang zu öffnen!
Aktualisieren Sie ihren Virenscanner und starten sie sicherheitshalber einen vollständigen Systemscan.

Über das letzte Wochenende wurden in unseren Scancentern mehrere tausend Outbreak E-Mails registriert worden. Diese Outbreaks sind den vor knapp zwei Wochen berichteten sehr ähnlich. Hierbei handelt es sich wieder um E-Mails mit vorgetäuschten UPS- und DHL-Inhalten. Die Opfer sollen den Anhang mit angeblichen Informationen zu Lieferproblemen oder generell Informationen zu Paketsendungen öffnen, welcher einen Trojaner der Familie Bredolab enthält.

Hinweis: UPS, DHL und andere Paketversender verfügen über Online-Tracking auf deren Webseiten. Diese Firmen versenden niemals unaufgefordert eMails mit Attachments an Kunden.

Löschen Sie derartige E-Mails ohne das Mail oder den Anhang zu öffnen!
Aktualisieren Sie ihren Virenscanner und starten sie sicherheitshalber einen vollständigen Systemscan.

Hier der Link zum ausführlichen Test: PCSL Test Juli 2009

In den letzten Stunden sind in unseren Scancentern mehrere tausend E-Mails mit gefährlichen Anhängen registriert worden. Es handelt sich hierbei um E-Mails mit vorgetäuschten UPS-Inhalten. Die Opfer sollen den Anhang mit angeblichem Inhalt zu UPS-Paketen öffnen, welcher einen Trojaner der Familie Bredolab enthält.

Löschen Sie derartige E-Mails ohne das Mail oder den Anhang zu öffnen!
Aktualisieren Sie ihren Virenscanner und starten sie sicherheitshalber einen vollständigen Systemscan.

Heute registrierten wir in unserem Scancenter einen sprunghaften Anstieg an gefährlichen E-Mails. Neben altbekannten Vertretern, die auf eine versendete Grußkarte (e-card) hinweisen ist nun auch eine neue Strategie der Spam-Versender aufgetreten.

Angeblich befindet sich im E-Mail-Anhang (client_update.exe) ein wichtiges Update für installierte Software. Der Empfänger wird aufgefordert das Update umgehend zu installieren. Im Anhang befindet sich jedoch ein Trojaner! Die Software, für die angebliche Updates versendet wurden:

• Microsoft Outlook
• Outlook Express
• TheBat
• ...

Die E-Mails, die auf eine Grußkarte im Anhang hinweisen enthalten ebenfalls bösartige Software! Die dort angehängte Datei hat den Namen: ecard.exe

Die Absender scheinen in beiden Fällen legitime Namen von Privatpersonen zu sein. Hauptsächlich sind es aber englische Namen.

Löschen Sie derartige E-Mails ohne das Mail oder den Anhang zu öffnen!
Aktualisieren Sie ihren Virenscanner und starten sie sicherheitshalber einen vollständigen Systemscan.

Hier der Link zum Test für weitere Details: PCSL Test 2009/05

Die Version 3.0.51 des ISMx steht ab heute per Autoupdate und Download für alle Kunden zur Verfügung

Folgende neue Features wurden eingebaut: Limit für Diff-Files bei VDBs von 5 auf 20 erhöht, Unterstützung für Anitspam-Modul eingebaut, FQDN unterstüzung für Active-Diretcory eingebaut.

Weiters wurde ein Bug im Mailversand gefixed, es wurden Veränderungen an den gespeicherten Konfigurationen durchgeführt, sowie die Updateprozedur komplett überarbeitet.

Als hilfreiches Feature wurde nun die Funktion unter "Datei -> ISMx Server updaten" eingebaut um ein Update des ISMx Servers händisch anstoßen zu können.

Untenstehend finden Sie den gesamten Changelog seit Version 3.0.46.

20.05.2009
.) bugfix: client kommunikation

18.05.2009
.) bugfix: Mail „Keine gültige ISMx Signaturdatenbank gefunden“ bei service start

13.05.2009
.) fqdn für “ismx-eintrag” bei verwaltung und nichtverwaltung beachtet

12.05.2009
.) bugfix: ismx section nicht in gespeicherten konfigurationen mitspeichern

07.05.2009
.) bugfix: gespeicherte konfigurationen - filesize

07.05.2009
.) bugfix: gespeicherte konfigurationen (scans, filesize)
.) ismx verteilt als ismxhost-eintrag immer den fqdn, wenn vorhanden

06.05.2009
.) bugfix: scan einfügen in gespeicherten konfigurationen gefixed
.) starten des ismx update mit Tastendruck auf F6

05.05.2009
.) bugfix: gespeicherte konfigurationen - scan hinzufügen; absturz behoben
.) FQDN integration (ISMx gibt seinen FQDN an VU Clients weiter, wenn vorhanden)

04.05.2009
.) bugfix: worker threads wiederverwendung erlaubt

30.03.2009
.) exceptionhandler zu “update hosts” worker hinzugefügt - Absturz des ISMx bei zu vielen Clientanfragen behoben

27.03.2009
.) bugfix: beim laden der aktuellen versionen durch den ismx-dienst

26. 03 2009
.) bugfix: antispam update

25.03.2009
.) languagefiles: beschreibungstext von neuem menüpunkt hinzugefügt

25.03.2009
.) bugfix: autoupdate: aufruf korrigiert

25.03.2009
.) auslesen der antispamversionnumber und sdbbuildnumber/-date

20.03.2009
.) update prozess auf eigenen thread umgestellt (überschneidung von client und ismx updates verhindert)
.) „Datei -> ISMx Server updaten“ hinzugefügt

26.02.2009
.) diffcount für vdbs von 5 auf 20 gesetzt
.) bugfix: binarydiffs werden an vu weitergegeben

11.02.2009
.) bugfix: ehlo msg in e-mailversand hinzugefügt (Exchange Server Bug)

10.02.2009
.) debuglogs für dienststart hinzugefügt

10.02.2009
.) zusätzliche Logeinträge

06.02.2009
.) bugfix: fehlermeldungen bei e-mailversand gefixed



Sollte es widererwarten bei dem Update zur neuen Version oder beim täglichen Betrieb zu Problemen kommen, können sie sich natürlich gerne an unseren Support wenden.

In den letzten Tagen wurden in unseren Scancentern hunderte Spam-Mails mit Titeln wie:

• "Western Union Transfer MTCN: <nummer>" im Betreff
• MTCN_INVOICE.exe oder MTCN_<nummer>.exe im Anhang
• Die verschiedenen Anhänge haben Excel-Symbole

Öffnen Sie diese Anhänge auf keinen Fall. In den meisten Fällen versteckt sich dahinter ein Waledac-Trojaner. Bevor Sie E-Mail Anhänge (vor allem von unbekannten Absendern) öffnen, sollten Sie diese mit einem aktuellen Virenschutzprogramm überprüfen.

Seien Sie bei E-Mails, die nicht erwartete Anhänge enthalten stets vorsichtig. Halten Sie ihren Virenschutz aktuell und starten Sie regelmäßige Systemscans.

Microsoft meldete am 29. April die Fertigstellung des Service Pack 2 (SP2) für seine Produkte Windows Vista und Windows Server 2008. Das SP2 inkludiert nicht nur alle Hotfixes und Security Updates seit der Veröffentlichung des Service Pack 1, sondern wird auch einige neue Funktionen, wie z.B. die Unterstützung von Bluetooth 2.1, liefern.

Schon einen Tag zuvor informierte Microsoft seine Kunden im Artikel KB 969707 darüber, dass mit der Installation des SP2 die Funktionalitäten einiger Softwareprogramme eingeschränkt wird bzw. das Ausführen der Application seitens Microsoft gänzlich blockiert wird.

Als Kunde der IKARUS Security Software Produkte haben sie die Gewissheit, dass die Produkte* aus unserem Hause auch nach der Installation des SP2 für Windows Vista und Windows Server 2008 zu 100% funktionstüchtig sind. Dies garantiert Ihnen auch weiterhin einen sicheren und bestens geschützten Aufenthalt im World Wide Web.

* Von unseren Experten getestet und für 100% kompatibel erklärt:

Windows Server 2008 Service Pack 2:
IKARUS virus.utilities ab Version 1.0.97 + IKARUS security.manager ab Version 3.0.47

Windows Vista Service Pack 2:
IKARUS virus.utilities ab Version 1.0.97

Der in unserem Analyse-Labor entstandene Conficker-Report ist nun öffentlich verfügbar!

Der Report steht hier als PDF Download zur Verfügung.

Die Programmierer des Conficker-Wurms lassen mit einer neuen Variante (Microsoft nennt sie Conficker.D) aufhorchen. Die auffälligste Änderung betrifft jenen Algorithmus, der es dem Wurm ermöglicht mit Domains in Kontakt zu treten und danach Befehle zu empfangen bzw. Code nach zu laden.

Konnten in früheren Versionen bis zu 250 Domains täglich kontaktiert werden, so soll die aktuellste Conficker-Version bis zu 50.000 Domains pro Tag bewerkstelligen. Dies soll gewährleisten, dass jene Domains, über die der Wurm tatsächlich möglichen Schadcode nachlädt, nur sehr schwer gefunden werden kann bzw. präventiv kaum mehr Domains sinnvoll gesperrt werden können.

Mit den IKARUS virus.utilities, sowie selbstverständlich auch mit allen anderen IKARUS-Produkten, sind Sie auf der sicheren Seite und auch gegen diese Conficker-Variante bestens geschützt!

Im März wurde der Distributionsvertrag zwischen IKARUS Security Software Gmbh und OOO Murava aus Moskau abgeschlossen. Wir freuen uns auf eine erfolgreiche Kooperation mit einem weiteren Partner, der ab nun zuständig für den Vertrieb unserer Produkte in der Russischen Föderation ist.

В марте был подписан договор о дистрибьюторстве между IKARUS Security Software Gmbh и ООО Мурава из Москвы. Мы рады были найти дальнейшего дистрибьютора, который будет продавать наши продукти по Российской Федерации и уверены в успешном партнерстве.

In der letzten Nacht sind innerhalb weniger Stunden einige hundert E-Mails mit folgenden Auffälligkeiten von unseren Scancentern registriert worden.

• "DHL Tracking Number" im Betreff
• DHL_Help.exe im Anhang
• Anhang hat die MD5 Summe 469585cf90d45d43566aed92c21807ed
• Anhang hat Dateigröße 73728 Byte

DHL und andere Paketdienste versenden keine E-Mails an Kunden, wenn diese nicht erwartet werden.

Löschen Sie derartige E-Mails ohne das Mail oder den Anhang zu öffnen!
Aktualisieren Sie ihren Virenscanner und starten sie sicherheitshalber einen vollständigen Systemscan.

Die Version 1.0.97 der IKARUS virus.utilities steht ab sofort per Autoupdate für alle IKARUS Kunden zur Verfügung. Der Download wird in Kürze bereit gestellt.

Was ist neu in Version 1.0.97:

- Conficker Wurm wird erkannt und entfernt. Zusätzlich wird verhindert, daß eine Neuinfektion stattfindet. Achtung: Neustart erforderlich !!!

- Das Setup ist mit der Betaversion von Windows 7 kompatibel

- Geschwindigkeitsoptimierung der Quarantäne

- Die Behandlung von NTFS-Streams wurde überarbeitet

- Volle Kontrolle über versteckte Ordner und Dateien

Dieses Jahr präsentiert sich IKARUS mit seinem Partner SecureGUARD auf der weltweit bedeutendsten Veranstaltung für die Informations- und Kommunikationsindustrie – der CeBIT 2009!

Unter anderem wird der völlig neu entwickelte IKARUS security.proxy für Microsofts Internet Security & Acceleration Server 2006 präsentiert, welcher, neben vielen anderen Ausprägungen, als Komplettlösung auf SecureGUARD Appliances verfügbar ist.

Besuchen Sie uns auf der CeBIT 2009 in Halle 11, Stand B04, wo Ihnen SecureGUARD mit seinen Experten für Gespräche zur Verfügung steht.

Hier finden Sie Informationsmaterial zum IKARUS security.proxy:

Ikarus security.proxy MS ISA Server auf SecureGuard - Deutsch
Ikarus security.proxy auf SecureGuard - Deutsch
Ikarus security.proxy MS ISA Server auf SecureGuard - Englisch
Ikarus security.proxy auf SecureGuard - Englisch

Derzeit ist eine neue Variante des File-Infectors Virut im Umlauf. Sie verbreitet sich schnell und infiziert EXE-Dateien. Da der Virus speicherresident ist, sollte der Rechner nach einem vollständigen Systemscan mit einhergehender Bereinigung des Systems neu gestartet werden.

Aktualisieren Sie ihren Virenscanner und starten sie sicherheitshalber einen vollständigen Systemscan.

Das Wiener Wirtschaftsförderungsinstitut (WIFI) setzt ab sofort auf die AntiVirus-Software-Lösung der IKARUS Security Software GmbH.
In Tests der IT-Abteilung des WIFI Wien konnte sich IKARUS gegen namhafte Mitbewerber durchsetzen. IKARUS ist der einzige österreichische Hersteller, der ein Top-Produkt auf dem Sicherheitsmarkt weltweit anbietet.
Die Software zeichnet sich durch einfache Installation mittels Remote Administrations Tool ISM (IKARUS security.manager) und das Verwenden des MS Active Directory aus. Neben der einfachen Installation ist auch die Ressourcenauslastung sehr gering, bestätigt man beim WIFI Wien.
IKARUS freut sich, dass mit dem WIFI Wien ein weiteres renommiertes österreichisches Unternehmen auf eine Lösung aus Österreich vertraut.

Nach fast einjähriger Weiterentwicklungszeit freut es uns den ISMx ab sofort in einer neuen und fast komplett überarbeiteten Version zur Verfügung stellen zu können.

Zu den neuen Features zählen unter anderem der Multilanguage Support, die neuen Statusicons in der Baumansicht (Details im Handbuch Punkt 5), intergrierte Unterstützung von Nativ-Ldap, die Suche nach Computern und viele weitere neue Features.

Einen kompletten Changelog haben wir hier für Sie angeführt:

23.01.2009
.) Bugfix: Fenster: gespeicherte Konfigurationen: Breite der Listview angepasst;
.) Bugfix: Fenster: Clients anzeigen: Label hat Text überdeckt;
.) Bugfix: root(Alles) Kontextmenü und "Einstellungen erben" Checkbox deaktiviert;
.) Bugfix: Baumansicht Statusanzeige von Gruppen und Rechnern;
.) „Gruppe verwalten“ Dialog: Text angepasst, Möglichkeit zum abbrechen hinzugefügt;
.) Legende für Statussymbole im Hanbuch hinzugefügt (Punkt 5);

22.01.2009
.) Bugfix: Baumansicht;
.) Bugfix: Absturz bei zu langen Logzeilen;

21.01.2009
.) Bugfix: Update des Einstellungsfester nach „Gruppe verwalten“;

20.01.2009
.) Bugfix: Status des Baumes wird richtig angezeigt und gespeichert;

22.12.2008
.) Bugfix: Konfiguration importieren -> Dateiname fehlerhaft eingelesen;
.) Bugfix: Icon aktualisierung bei Vererbung ein/ausgeschalten;
.) Konfiguration umbenennen hinzugefügt;

18.12.2008
.) Baumansicht: Setzen des richtigen Status bei Refresh;

16.12.2008
.) Default Attribute von “cn” auf “uid” geändert für Nativ-Ldap;

14.12.2008
.) Nativ-Ldap Support für Samba Active-Directory hinzugefügt;

25.11.2008
.) Bugfix: Suche nach Rechnern;
.) Bugfix: „Scans“ in den gespeicherten Konfigurationen löschen;

24.11.2008
.) Bugfix: Ungültige OS-Versionsinformation von Guardx wird ignoriert;

22.11.2008
.) Bugfix: Aktionen beim Konfiguration speichern;
.) Bugfix: Ungültige Zugriffe auf die Datenbank verhindert;
.) Bugfix: Memoryleak beim laden des Lizenzschlüssels;

07.11.2008
.) Bugfix: „changepassword“-Dialog -> Focus ist nun in der Eingabetextbox und nicht mehr am Button;
.) T_BINARY und T_VIRUS werden nur mit Statistikdsaten befüllt wenn der Computer vom ISMx verwaltet wird;
.) Bugfix: Mehrfacheinträge in der Statistikdatenbank behoben;

27.10.2008
.) Bugfix: Nach dem ersten Anlegen der Datenbank werden die Hostinfos nun angezeigt;

15.10.2008
.) Bugfix: Datenbankstatements;

14.10.2008
.) Bugfix: Datenbank T_HOSTINFO;
.) Bugfix: Passwort ändern;

13.10.2008
.) Bugfix: ISMx stürtzt bei "Computer verwalten" nicht mehr ab;

29.09.2008
.) Bugfix: Datenbank und Thread-Bugs;
.) Überarbeitung des Handbuchs: Neue Screenshots;

17.09.2008
.) Neue Tabellen T_VIRUS, T_BINARY für Statistiken hinzugefügt;
.) Überprüfung der Statistiktabellen auf veraltete Statistikdaten: Einträge älter als 3 Wochen werden gelöscht;

02.09.2008:
.) Bevor ein Computer in die Verwaltung aufgenommen werden kann, wird überprüft ob er bereits von einem anderem ISMx verwaltet wird; Wenn Ja, wird ein Hinweis ausgeben;
.) Fenster: gespeicherte Konfigurationen: Defaultbutton „Bearbeiten“ statt „OK“;
.) Bugfix: Anzeigebug in der Baumansicht behoben: Nach Neustart der Gui wurden nicht die richtigen Einstellungen im Infofenster angezeigt;

25.08.2008:
.) Nach Änderung des „ismxshare“ in den Grundeinstellungen wird überprüft, ob es erreichbar und für den ISMx beschreibbar ist und die Dateien hineinkopiert;
.) Konfigurationsnamen können nicht mehr doppelt vorkommen;
.) Nach dem bearbeiten einer Konfiguration wird der Focus wieder auf die zuletzt gewählte Konfiguration gesetzt;

02.07.2008:
.) Hanbuch auf Englisch hinzugefügt;

01.07.2008:
.) Multilanguage Support hinzugefügt (Deutsch, Englisch);

09.04.2008
.) Baumansicht Icons geändert;

25.03.2008
.) Suche nach Computern mit F3 und “Strg+F”;

12.03.2008
.) Status des geöffneten Baumes wird gespeichert;

11.03.2008
.) VU Installation: Wenn ismxstartup Dienst nicht remote Installiert werden kann, wir die ismxstartup.exe auf den Computer kopiert und von dort gestartet;
.) Bugfix bei Namensgebung der Konfigurationen;

04.03.2008
.) Suche nach Computern implementiert;

27.02.2008
.) Client: Lizenzen werden bei jedem Updateversuch abgeglichen;
.) Lizenz wird sofort nach dem einspielen neu verteilt;
.) Bugfix bei der Verteilung der Lizenz;
.) Email-Absenderadresse definierbar;
.) Authentifizierung für Mails definierbar;
.) Bugfix beim speichern der Konfigurationen;



Sollte es widererwarten bei dem Update zur neuen Version oder beim täglichen Betrieb zu Problemen kommen, können sie sich natürlich gerne an unseren Support wenden.

- Patch KB958644 von Microsoft einspielen (schließt die Sicherheitslücke im Betriebssystem)

- Patch KB950582 von Microsoft einspielen (wichtig zur Deaktivierung der Autorun Funktion)

- Autrun deaktivieren (mittels Registrierungsschlüssel)

- Microsoft Removal Tool KB890830 ausführen und den Computer scannen (findet und entfernt den "Conficker" Wurm)

- Virenschutz immer auf aktuellstem Stand halten

Generell wird empfohlen das System mit dem Microsoft Removal Tool (wird 14-tägig upgedated) trotz eingespielter Patches zu scannen.

Nähere Infos: Tool zum Entfernen bösartiger Software

Beschreibung:

Die im November von Microsoft gefundene und gepatchte Schwachstelle im RPC-Dienst von Microsoft Windows wird aktiv von Schadsoftware ausgenutzt. Innerhalb eines LANs nutzt der Wurm dann auch andere Methoden zur Weiterverbreitung.

Auf diese Art wurden in der letzten Woche die IT mehrerer grösserer österreichischer Organisationen lahmgelegt.

CERT.at bittet um erhöhte Vorsicht, auch wenn der Patch zu MS08-067 eingespielt wurde.

Hintergrund:

Microsoft hatte schon im initialen Advisory im Oktober darauf hingewiesen, dass diese Schwachstelle das Potential hat, von einem Wurm zur Verbreitung genutzt zu werden. Es ist daher kein Fehlverhalten von Benutzern nötig, damit der Wurm weitere PCs infiziert.

Die aktuell im Umlauf befindlichen Würmer kombinieren die Ausnutzung von MS08-067 mit traditionellen Fortpflanzungstechniken wie das Durchprobieren von Passwörtern oder das Ablegen von Kopien in Shares. Darüber hinaus verbreitet sich dieser Wurm über die automatische Ausführung von AutoRun-Informationen auf Wechseldatenträgern.

Diese Kombination von Verbreitungsmethoden hat dazu geführt, dass es der Wurm geschafft hat, sich auch in geschützten Umgebungen auszubreiten. Dazu ist es nur nötig, dass ein einziges infiziertes System innerhalb des LANs aktiv wird.

Eine reine Sicherung der Netzwerkgrenzen ist daher nicht genug, wenn Laptops oder alternative Netzzugänge (UMTS, WLAN, ...) Löcher in diesen Verteidigungsring brechen.

Lesen sie hier mehr über die Angriffsvektoren des Wurms.

Schaden:

Der Wurmcode selber enthält (nach den bislang bekannten Information) keine Schadfunktion, er lädt aber aus dem Internet Programme nach und startet diese. Schadfunktion (z.B. Keylogger, Spamversand, ...) können daher nicht ausgeschlossen werden.

Als Seiteneffekt der Fortpflanzungsversuche kann es auch zu gesperrten Accounts (wegen des Passwortratens) und hoher Last auf den internen Servern kommen.

Empfehlungen:

* Aktualisieren Sie Ihre Windows-Installationen, insb. sollte MS08-067 eingespielt sein.

* Überprüfen Sie den Stand Ihrer Antiviren-Software. Insbesondere ist es wichtig, dass auch das RAM gescannt wird, da bei der Ausbreitung per RPC Dienst der Wurm gar nicht auf die Platte geschrieben wird.

* Sorgen sie für nicht-triviale Passwörter.

* Achten Sie darauf, dass mobile Geräte (z.B. Laptops) nicht den Wurm in Ihr Netz tragen.

* Erhöhtes Monitoring Ihres Netzes, etwa:

- Beachten Sie die Namensauflösungen der Clients: der Wurm fragt bestimmte Domains ab.
- Beachten Sie Meldungen zu fehlgeschlagenen Logins
- Beobachten Sie ihrer Proxy-Logs: die nachgeladene Software kommt derzeit von bekannten Domainnamen.

Weitere Informationen zum Thema:

Derzeit findet eine groß angelegte Phishing Aktion auf Raiffeisen Konten statt.
Das besondere an dieser Phishing Welle ist, dass direkt nach dem Einloggen eine Abfrage nach einer MTAN (mobile TAN) kommt. MTANs werden per SMS zugesandt und dienen, wie normale TANs auch, dem Freischalten von Transaktionen auf dem Konto.
Die Phisher versuchen wohl, die "gephishten" Kontodaten sofort für eine Überweisung einzusetzen.

Gerade in Zeiten, in denen die Wirtschaftskrise die Kurse kräftig nach unten drückt, drängt sich folgender Gedanke auf: Würden Viren, Trojaner & Co als Index an den Börsen vertreten sein - könnten deren Aktionäre auf ein äußerst erfolgreiches Jahr zurück- und eine blühende Zukunft vorausschauen.

Das Jahr 2008 hat geradezu eine Explosion neuer Schädlinge mit sich gebracht - über 11 Millionen "neuer" Files, die potentiell als schädlich bzw. gefährlich eingestuft werden mussten. Alleine nackte Zahlen sprechen dabei Bände - mussten im Jahr 2007 noch knappe 8.800 Malware Codes pro Tag neu registriert werden, vervierfachte sich dieser Wert im abgelaufenem Jahr beinahe. Rund 31.000 neue Viren sind dabei der stolze Tagesdurchschnitt.



Absolute Spitzenreiter dabei sind Trojaner bzw. Trojaner-ähnliche Codes. Der Trend zu mehrstufigen Infektionsverfahren bringt für eine einzelne Attacke mittlerweile schon eine ganze Reihe an unterschiedlichen Modulen mit sich. Bestand ein Trojaner früher zumeist aus 2 Komponenten (einem Master und einem Slave) sind mittlerweile eine Vielzahl unterschiedlichster Programmteile involviert – der „Gewinner“ der im vergangenen Jahr von IKARUS Security analysierten Trojanersysteme brachte es dabei immerhin auf stolze 34 Komponenten - was den Trend hin zu komplexen Trojaner-Systemen eindrucksvoll unterstreicht.



Die vielschichtige Motivlage und das "erschließen" immer neuer "Geschäftsfelder" beschert uns auch für das neue Jahr eine ungebrochene Flut an Malwareteilen und Komponenten. Eine genaue Analyse einzelner Systeme wird dabei immer öfter nur mehr anlassbezogen durchgeführt, was das erstellen eines Big-Pictures beinahe unmöglich macht.

Klar im Trend sind auch die Spezialisierung von Attacken. Weg von „unintelligenten“ Massenattacken a la Loveletter, Sobig und Co. hin zu kleineren „überschaubaren“ Angriffen mit Lokalkolorit. „Exploitbasierend“ – also Angriffe unter Ausnutzung von Sicherheitslücken – stehen dabei hoch im Kurs – zumal derartige Attacken keine „direkte Userinteraktion“ mehr benötigen und die Chance auf Entdeckung des Angriffes entsprechend verringert.

Immer bessere Tarnfunktionen bzw. die stark zunehmende Kombination von Trojanercode mit Rootkits bzw. genereller Rootkitfunktion lassen auch auf immer „nachhaltigere Bewirtschaftung“ von infizierten Systemen schließen. Etwa durch Informations- („keyword-searcher“) und Identitätsdiebstahl. Mit „Mebroot“ wurde 2008 dabei ein leistungsfähiges „Bootkit“ auf den Markt geworfen, mit dem es möglich ist, jeden beliebigen Code fast unauffindbar auf Festplatten zu verstecken.

Neben PCs sind im vergangenen Jahr verstärkt Web- und MailServer ins Visier der Angreifer geraten. Auf Cross-Site Skripting und SQL-Injektion basierende Attacken haben dabei ebenso rasant zugenommen, wie auf DNS-Cache-Poisoning basierende Angriffe – letztendlich aber alle mit dem Zweck Trojaner-Code auf potentiellen Besucher-Systemen auszubringen. „Geknackte“ Mailserver hingegen eignen sich wieder sehr gut dafür, Spamfilter anderer Nutzer zu unterlaufen.

In überschaubaren Grenzen hielt sich bis heute hingegen die Entwicklung von Trojanern für Handys. Daran ändern auch die fleißigen Werbeversuche der Antivirenindustrie nichts. Knappe 450 „Handyviren“ wurden überhaupt erst registriert und die Mehrheit davon funktioniert nur unter Laborbedingungen – keinen einzigen Fall wo ein Handy von einem Virus infiziert worden wäre, konnte IKARUS Security in Österreich registrieren.

Spam konnte trotz kurzfristiger Erfolge in der Eindämmung (einer der führenden Hostingpartner für Spammer wurde vom Netz genommen) nicht nachhaltig reduziert werden – das Gesamtaufkommen an Spammails liegt in Österreich durchschnittlich immer noch über 90% - spannend dabei, dass rund 8% dieser Mails mittlerweile ausschließlich URL´s transportieren, die für eine weiterführenden Viren/Trojanerattacke genutzt werden.

Wir dürfen gespannt sein, was 2009 bringen wird!

Wir wünschen einen vergnüglichen Jahreswechsel und ein glückliches, gesundes und erfolgreiches 2009!

Ihr Team von IKARUS Security Software

IKARUS virus utilities T3
Detection number in the static testing A=2048
Detection number in the dynamic testing B=3
Malware-List sample number C=2057
False positive number D=4
Final Score = 99.01

Hier der Link zum Test für weitere Details: PCSL Test 2008/12

Ein Add-On für den Browser Firefox enthält in Wirklichkeit Code zum abfischen von Bankdaten. Der Trojaner tritt mit dem Ansurfen von bestimmten Webseiten in Aktion und schreibt sich die Logindaten mit. Diese werden dann gesammelt an einen russischen Server weitergeschickt, wo sich ein neuer Verfüger der Daten erfreut. Gephishte Seiten sind hauptsächlich Banken aus verschiedensten Ländern, aber auch andere Homepages mit Masken, wie *online.co.uk*. Nutzer der Treuhand-Dienstleistungen von PayPal sind ebenfalls gefährdet und sollten ihren Computer auf Malware untersuchen!

Die Trojaner-Erweiterung tarnt sich als "Greasemonkey". Diese legitim verfügbare Erweiterung hilft Anwendern bei der Verbesserung eigener Webseiten mit Hilfe von JavaScript.

Nutzer des Firefox Webbrowsers sollten ihre Add-Ons überprüfen und auf alle Fälle mit einer aktualisierten Version ihres Virenschutzes den Computer nach dem Beenden des Browsers auf Malware scannen.

Gestern erreichte uns ein neuer Outbreak. Die Mails werden in deutscher Sprache versendet und handeln von der Sperrung einer Mail Adresse. Der Betreff ist variabel, enthält aber immer die Adresse des Empfängers der Mail (unten mit abc@xyz.at angegeben):

• Die E-Mail Adresse abc@xyz.at wird gesperrt
• Sperrung der E-Mail abc@xyz.at
• Ihre E-Mail Adresse abc@xyz.at wird gesperrt
• Sperrung Ihrer E-Mail abc@xyz.at

Der Absender der Mail ist zufällig aus einer Liste von Vor- und Nachnamen ausgewählt und erscheint authentisch. Erst die Mail Adresse des Absenders besteht aus einer Buchstabenkombination, die nichts mit dem angegebenen Namen zu tun hat.
Im Inhalt der Mail wird der Empfänger über die Sperrung seiner Mail Adresse wegen Missbrauch informiert. Der Grund hierfür seien xx Beschwerden, die wegen Spamversand eingegangen wären. Die Mail schließt mit dem Hinweis, dass Detailinformationen im Anhang zu finden sind.
Die Namen der in ZIP Archiven verpackten Anhänge, ihre Größe in Byte und ihre MD5 Summen:

Bitte updaten Sie Ihren Virenschutz und löschen Sie derartige Emails!

Heute hat uns eine neue Welle von Trojaner-Mails erreicht. Hierbei handelt es sich um Mails, die in englischer Sprache versendet werden. Der Betreff ist sehr variabel und enthält Namen verschiedener Fluglinien. Der Betreff spielt eine erfolgte Buchung vor und deutet an, dass sich das Ticket im eMail befindet. Folgende Schlüsselwörter sind bisher aufgetreten:

• Airlines
• Ticket
• flight
• N{6-stellige Zahl}
• Alaska Airlines
• AirTran Airlines
• Continental Airlines
• Delta Air Lines
• Frontier Airlines
• Hawaiian Airlines
• JetBlue Airways
• Midwest Airlines
• ...

Die Mails haben als Absender immer die auch im Betreff angegebene Fluglinie.
Im Text der eMail bedankt sich die Fluglinie für den Kauf des Tickets über ihr Onlineangebot. Dazu wird ein Loginname und das dazugehörige Passwort angegeben. Der Hinweis auf eine Kreditkartenbelastung über mehrere hundert Euro (meist über € 400) wird mit einem Rabatthinweis komplettiert. Abschließend soll der Empfänger das Attachment öffnen, um die Rechnung einsehen und das Ticket ausdrucken zu können. Das Attachment hat den Namen air-ticket.doc .exe.

Die MD5 Summe der mitgeschickten Datei ist 4627d61ed9b7a6f1c12899935d6b75f3 und die Größe beträgt 36352 Bytes.

Bitte updaten Sie Ihren Virenschutz und löschen Sie derartige Emails!

So lautete das Motto der am 18.11.08 im Austria Center Vienna stattgefundenen Messe der Bundesbeschaffung GmbH (BBG) www.bbg.gv.at

Als Partner der BBG war auch das Vertriebsteam der IKARUS Security Software mit am Start.

Die Vorträge auf der gut besuchten Veranstaltung waren sehr informativ und glänzten durch kompetente Präsentatoren.

Der Run auf unseren Stand sowie die vielen interessierten Anfragen der Besucher verdeutlichte, dass IT Security auch für Nicht-IT- Unternehmen interessant ist und mehr und mehr an Bedeutung gewinnt.

Beim „interaktiven Gewinnspiel“ gab es natürlich auch Preise von IKARUS Security Software zu gewinnen. 10 GewinnerInnen können sich über IKARUS Shirts und eine Jahres- Lizenz der heiß begehrten virus.utilities freuen.

Heute hat uns eine neue Welle von Trojaner-Mails erreicht. Hierbei handelt es sich um Mails, die in englischer Sprache versendet werden. Der Betreff ist sehr variabel und enthält Firmennamen. Der Betreff weist auf einen Vertragsabschluss, Vertragsauflösung oder eine Kontoeröffnung hin. Folgende Schlüsselwörter sind bisher aufgetreten:

• Contract
• Account
• Berkshire Hathaway
• FedEx
• General Electric
• Google
• Johnson & Johnson
• Procter & Gamble
• Starbucks
• Toyota
• ...

Die Mails haben als Absender immer die auch im Betreff angegebene Firma.
Im Text der eMail wird der Empfänger über die von ihm gewünschte Abänderung des Vertrags informiert. Der Empfänger wird weiter gebeten sich mit den Einzelheiten des angehängten Vertrags vertraut zu machen. Das Attachment hat den Namen New_Contract.doc .exe und installiert einen Trojaner.

Die MD5 Summe der mitgeschickten Datei ist 1b43095f3c309101c757b83434362958 und die Größe beträgt 36352 Bytes.

Bitte updaten Sie Ihren Virenschutz und löschen Sie derartige E-Mails!

Gestern hat uns eine neue Welle der bereits bekannten UPS Trojaner-Mails erreicht. Hierbei handelt es sich um Mails die hauptsächlich in englischer, aber auch deutscher Sprache versendet werden. Der Betreff lautet meist
Your Tracking #[variable Nummer] und die Mails stammen vom Absender
United Postal Service Der Inhalt der Mails handelt von unzustellbaren Paketen. Im Anhang befindet sich dann eine EXE Datei
Invoice_UPS.exe mit einem Word Symbol. Das suggeriert zwar ein lesbares Dokument, jedoch wird beim Ausführen/Öffnen der Datei ein Trojaner installiert.

Die MD5 Summe der mitgeschickten Datei ist 68ab2a6801bbc18e727d8ac093c8087f.

Hinweis: UPS, FedEx und andere Paketversender verfügen über Online-Tracking auf deren Webseiten. Diese Firmen versenden niemals unaufgefordert eMails mit Attachments an Kunden.

---weiterlesen---
Die detaillierte Analyse des aktuellen Outbreaks finden Sie HIER.

Bitte updaten Sie Ihren Virenschutz und löschen Sie derartige E-Mails!

Wiedereinmal schafft es die IKARUS Security Software an den ersten Platz!

Den genauen Testbericht können Sie hier lesen:
Link: http://www.phishlabs.com/blog/archives/category/malware

Und wieder freuen wir uns über einen tollen Test-Bericht zu unserer Software.

Die PCSL Total Protection vergaben an uns den Excellent-Status für Ihre monatlich durchgeführten Tests von Security-Programmen. Unsere Erkennungsrate mit 99,95 % spricht hier eine ganz eindeutige Sprache und bestärkt uns darin, einen der besten Scanner zu haben.

Die ausführlichen Test-Resultate sehen Sie hier:
Link: http://www.pcsecuritylabs.net/news.php
Link: IKARUS(PCSL Total Protection Testing-2008 NO.11).pdf
Link: Summary Report(PCSL Total Protection Testing-2008 NO.11).pdf
Link: PC Security Labs Manual.pdf

Wie schon im vergangenen Jahr fand auch heuer wieder die it-plus Messe in Gmunden (OÖ) mit der Beteiligung von IKARUS Security Software GmbH statt. Unsere IKARUS-Virenexperten konnten vor Ort Privat- und Firmenkunden über aktuelle Bedrohungsbilder informieren und Produkte der österreichischen Anti-Viren-Software-Schmiede präsentieren.

Das große Interesse der vielen Besucher hat gezeigt, dass die Sicherheit am und im Computer nichts an Aktualität verloren hat. Unser überdurchschnittlich gut besuchter Messestand hat deutlich gemacht, dass das Bewusstsein, Spam- und Virenschutzlösungen einzusetzen, bei den Messebesuchern sehr ausgeprägt ist.

Den Beweis dafür lieferte auch ein voller Saal beim ersten Vortrag des Tages durch unseren Virenschutzexperten. Fünf Besucher durften sich jeweils über eine 1-Jahres-Lizenz für unseren Virenschutz freuen, die von IKARUS für das Messe-Gewinnspiel zur Verfügung gestellt worden ist.

Eine Suche nach "flash-player" auf google.at führt zu einem Link - www.flash-player-10.com - auf dem nur vorgeblich ein Flash-Player - in Wahrheit jedoch ein AdWare-Trojaner - installiert wird.

Dieser Link führt die Ergebnisse der Google-Suche dabei als aller Erster an !!

Da diese Website direkt über Google gefunden wird, empfehlen wir, entweder über die integrierte Autoupdate Version upzudaten, oder direkt die neueste Flashversion von der Adobe Website zu beziehen oder die vom CERT empfohlenen Links zu nutzen

Nähere Informationen in Kürze!

Glaubt man aktuellen Vergleichszahlen, so liegt die durchschnittliche Zahl an neuen Viren zwischen 20.000 und 30.000 pro Tag. Pro Monat reagieren die unterschiedlichsten Virenschutzsoftwarehersteller daher mit 100-600 Updates. Zahlenspielerei – möchte man meinen – aber doch nicht ganz unbeeindruckend. Und vor allem: bis vor einem Jahr noch ziemlich undenkbar. Was durch diese Zahlen nicht zum Ausdruck kommt, ist die Anzahl neuer Exploits – also Sicherheitslücken – die täglich neu entdeckt werden. Ebenso wenig auch nicht die Zahl jener neuen Technologien, die von Angreifern entwickelt werden, um jene Viren auch tatsächlich an den Mann respektive Frau zu bringen.

Den gesamten Text lesen Sie HIER.

London, 9. September 2008: Bereits zum zweiten Mal wurden die vom „Global Telecoms Business“ Magazin verliehenen Awards in fünf Kategorien vergeben.

In der Kategorie „Business Fixed and Mobile Service Innovation“ entschied sich die hochkarätige internationale Jury für die seit April 2008 am Markt befindliche Produktlösung A1 Internet Security.

Den gesamten Text lesen Sie HIER.

"Ikarus Security Software" nimmt im Herbst wieder an diversen Veranstaltungen teil. Hier sehen Sie einen Auszug aus dem Ikarus Herbstkalender:

26. September 2008, Linz, "TechTalk" von Mobilkom Austria - A1 InternetSecurity
Wie MobilkomAustria mit modernsten Sicherheitsstrategien ein surfen im sichersten Netz Österreichs ermöglicht !

1. Oktober, OVE Österreichischer Verband für Elektrotechnik
Ikarus Security Software Vortrag "Know your Enemy" - Entwicklung aktueller Bedrohungsbilder und Auswirkungen auf unsere IT-Gesellschaft"

21. Oktober 2008, Vienna Marriott Hotel, "Herbstkonferenz IT-SECURITY"
Achtung! Diese Veranstaltung ist nicht öffentlich!

Derzeit taucht vermehrt folgende eMail mit beigefügten Trojaner/Downloader in den Mailboxen auf:

Betreff:
Extract from the remained funds on your credit card (Visa, MC)

Mailtext:
Hello Dear Customer:
ID: bonkers

By your request we send you an extract of monetary operations on your credit card from 1/01/2008 to the 9/01/2008.

Extract is attached to this letter with data of your account. Download the attached file to get acquainted with an extract or to print it.

Faithfully yours
The manager of the Visa MasterCard credit card services
Sara Mcgill

-----------------------------------
If you think that it is a mistake. Please open an extract, and write to a department of the client support, having specified the number of an extract.

Wird die beigefügte Datei durch Doppelklick aktiviert so werden weitere Trojaner geladen.

Bitte updaten Sie Ihren Virenschutz und löschen Sie derartige Emails!

Seit Juli sind fast täglich angebliche Paketdienst-Mails (in Deutsch oder Englisch), mit einem Downloader (Zip/Rar-Datei mit integrierter EXE-Datei) in unseren Mailboxen die vortäuschen das dem/der Empfänger

1. ein Paket wegen Abwesenheit nicht zugestellt werden konnte.
2. aufgrund eine falschen Adresse nicht auffindbar ist.

Den gesamten Text lesen Sie HIER.

Ob Paris Hilton, Britney Spears oder Angelina Jolie, täglich rattern eMails mit vermeintlichen Videofilmchen in die Mailboxen und verleiten den Empfänger sich diese anzusehen.

Der Betreff lautet: Weekly NEWS oder BBC NEWS

Den gesamten Text lesen Sie HIER.

Wieder zeigen zwei unabhängige Tests von PC Security Labs und SRI International, dass die IKARUS virus.utilities hervorragend im Vergleich zu anderen Anti-Viren-Software-Herstellern abschneiden.

Die Test-Details können Sie einsehen unter:
- PC Security Labs Testing No.1 Report (20080703)
- SRI - Most Effective Antivirus Tools Against New Malware Binaries

Zusätzlich gibt es eine Zusammenfassung des Tests von PC Security Labs, welchen wir Ihnen hier zum Download anbieten können (pdf, 214kb).

Der Trojaner verbreitet sich mit Hilfe der folgenden Email:

Betreff:
Abbuchungserlaubnis
Abbuchungsvertrag
Der Vertrag
Bestellvertrag

Attachment:
Kostenauflistung.exe (Md5: 7e472329517dde73c40e7e02949a4790)

Unsere Updates ab Build 71019 enthalten bereits die notwendigen Signaturen um den Trojaner zu erkennen.

Bitte updaten Sie umgehend Ihren Virenschutz!

Da die URLs und der Download der zwei Dateien rasch gesperrt wurden kann der Trojaner keine Updates erhalten bzw. sich nicht melden damit Dritte auf den Rechner zugreifen können.

Updaten Sie bitte umgehend Ihren Virenschutz damit alle Dateien dieses Trojaners erkannt werden.

Den gesamten Text lesen Sie HIER.

„In den letzten Tagen sind vermehrt Webseiten aufgetaucht, die mit vermeintlichen Viren-/SpywareScannern „aggressiv“ auf vorgebliche Sicherheitslücken und Fake-Meldungen wie „Achtung kein Virenschutz vorhanden“ hinweisen und den Anwender zum Download eines Antivirus oder Antispyware-Tool auffordern., so Joe Pichlmayr, Geschäftsführer bei IKARUS Security Software. Der Gratis PC-Scanner fördert wenig überraschend dann auch schnell einen Virenfund zu Tage. Dieser ist jedoch nur vorgetäuscht und verschleiert die Tatsache, dass die eigentliche Viren- oder Spywareinfektion schon mit der Installation des „Gratis-Scanner-Tools“ erfolgt ist.

Den gesamten Text lesen Sie HIER.

Ab heute Abend ist per Autoupdate und Download von der Homepage die neue Version der IKARUS virus.utilities verfügbar.

Per Autoupdate ist die neue Version vorerst nur für VU Kunden verfügbar, in den nächsten Tagen wird die Version dann auch für ISM Kunden automatisch verteilt.

Folgende Änderungen und Neuerungen sind durchgeführt worden:

Setup:

.) Neue IKARUS Security Software GmbH CI übernommen -> Design und Namen wurden geändert
.) Lizensierung nun auf 3 Wegen möglich: Lizenzdatei, Aktivierungscode, Demo

virus.utilities:

.) Neue IKARUS Security Software GmbH CI übernommen -> Design und Namen wurden geändert
.) Aktivierungscodes über Lizenzfenster aktivierbar
.) Guardx-Dienst nun auch im abgesicherten Modus startbar
.) Erstellen von "vuvirus.zip" Bugs behoben (Zeitweise wurde eine 0 Byte vuvirus.zip erstellt)
.) Wenn VU durch einen ISM verwaltet ist, ist dies nun im Fensternamen ersichtlich
.) Direkter Upload aus der Quarantäne an Analyse-Labor möglich (anonym oder mit Mail Adresse)
.) Bei "Temp. Freigeben" wird ein Dialog bezüglich Dateiupload an Analyse-Labor angezeigt
.) Lizenzwarnfenster verfügt auch über die Möglichkeit einen Aktivierungscode freizuschalten
.) Exklusionen lesen nun auch entfernbare Laufwerke aus
.) Lizenzen können nun revoked (zurückgezogen) werden
.) Bugfixes bei der Anzeige der Zeiten (letztes Update, letzter Scan, usw.) in Kickoff und VU
.) Überarbeitetes Infofenster

Handbuch:

.) Neue VU Funktionen wurden beschrieben und erklärt
.) Handbücher sind nun im CHM Format in die VU integriert

Eine Weltneuheit präsentieren A1 und IKARUS Security Software ab 4. April 2008:

Die netzbasierte Sicherheitslösung fängt Viren, Trojaner und Spyware ab, bevor sie den Rechner erreichen und bietet somit Schutz sowohl im A1-Netz als auch am Computer. Damit sind A1 Kunden doppelt sicher im Internet unterwegs, während ihr Netzbetreiber das Sicherheitsmanagement gegen Internetviren für sie übernimmt.

A1 Internet Security kann ab EUR 3,- pro Monat aktiviert werden und ist bei einer 24 Monatsbindung in den ersten 3 Monaten gratis.

Ein Schnäppchen, wenn man bedenkt, dass laut jüngsten Studien amerikanischer Content Security Anbieter mittlerweile rund jede 2. Website in „maliziöse" Aktivitäten involviert ist.

Den gesamten Text lesen Sie HIER.

Heute Nacht wurden die Mailboxen der Österreicher mit einem vorgetäuschten Bildschirmschoner geflutet welcher "Angelina Jolie tits", "Angelina Jolie shows her breast" oder "Angelina Jolie shows her tits" zeigen sollte.

Wird die beigefügte Datei gestartet wurde ein Trojan.Downloader installiert der den Rechner zum versenden weiterer eMails für Dritte zugänglich macht.

Folgende Dateien legt der Trojan.Downloader an:

C:\WINDOWS\System32\WLCtrl32.dll
C:\WINDOWS\System32\drivers\Ijj85.sys

Weiters werden DNS-Abfragen auf folgende Domains gestartet:

ya.ru
login.live.com
accountservices.passport.net

In der Registry werden die folgenden Einträge verändert bzw. angelegt:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WLCtrl32
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ijj85.sys
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ijj85.sys
HKLM\SYSTEM\ControlSet002\Services\Ijj85

Attachment: "saver.scr".
MD5: b263857ea9af49517bb63297eb5f3ea0
Dateigröße: 11 KB

Bitte updaten Sie Ihren Virenschutz und löschen Sie derartige Emails!

Bitte updaten Sie Ihren Virenschutz!

Am Mittwoch den 13.03.2008 tauchte erstmals in den Mailboxen eine Spam-Email mit folgenden Text auf:

Betreff: Nachricht über eine radioaktive Kontamination in der Schweiz

Der Mailtext lautet:

Auf Internetforums erschienen Nachrichten über eine gewältige Explosion auf dem
Schweizer Atomkraftwerk um Genf herum, die nach den Worten von Augenzeugen am 12. März etwa um 15 Uhr
stattgefunden hatte.

Im Einzelnen machte eine Bürgerin dieser Stadt einen telefonischen Anruf und
teilte ihren Verwandten mit, dass in der Stadt der Strohm abgesperrt werde,
damit man keinen Menschen anrufen könnte.

Sie behauptet, dass es auf dem Atomkraftwerk wirklich eine Explosion gegeben habe,
und dabei eine sehr mächtige, und dass eine Strahlungswolke erstrecke sich jetzt.

In privaten Gesprächen wird diese Information von Amtsträgern inoffiziell bestätigt.

Außerdem legen die Ortsbewohner Fotos in seinen Blogs hinaus, auf denen Explosionsfolgen
und Körper der Beschädigten dargestellt sind.

LiveJournal Blog: http://www.[.....]-expret.cn/aes/

Der Link verweist auf eine Webseite auf der zur Installation der Datei "iPIX-install_de.exe" aufgefordert wird welche den PC zu einem Botnetz hinzufügt. Durch diese Infektion mit dem Trojaner wird der Rechner für Dritte fernsteuer- und an Spamer verkaufbar.

Datei: "iPIX-install_de.exe".
MD5: ed709375fd36dca13cfc078d6fa845c3 Dateigröße: 53 KB

Bitte updaten Sie Ihren Virenschutz und löschen Sie derartige Emails!