wildlife

Archive for September, 2010

Kaspersky Lab und Microsoft schließen gemeinsam neue Zero-Day-Sicherheitslücke von Stuxnet

// September 16th, 2010 // No Comments » // IT, Kaspersky, Security

Kaspersky Lab hat eine Zero-Day-Sicherheitslücke in Microsoft Windows gefunden und diese in Zusammenarbeit mit Microsoft erfolgreich geschlossen. Der in den letzten Wochen berühmt-berüchtigt gewordene Wurm Stuxnet (Worm.Win32.Stuxnet) ist ursprünglich ein Industriespionage-Tool. Er wurde entwickelt, um Zugang zum Siemens WinCC-Betriebssystem zu erlangen, das für Datensammlung und Produktionsüberwachung zuständig ist.

Seit seinem ersten Auftauchen im Juli 2010 haben IT-Sicherheitsexperten Stuxnet in seiner Vorgehensweise und seinen Einsatzmöglichkeiten genau analysiert. Hierbei konnten sie feststellen, dass Stuxnet nicht nur, wie anfangs beobachtet, LNK- und PIF-Dateien befällt, sondern zusätzlich vier weitere Sicherheitslücken in Windows nutzt. Ein derartiges Beispiel ist MS08-067: Diese Lücke wurde Anfang 2009 schon von dem berüchtigten Wurm Kido (Conficker) genutzt. Die anderen drei Sicherheitslücken waren zunächst noch unbekannt und bestehen in der aktuellen Version von Windows.

(more...)

Tool zur Anzeige der Systemzeit mit Pause-Funktion

// September 15th, 2010 // No Comments » // IT

Beim Debugging von Anwendungen (insbesondere beim 'laggen' also dem kurzen 'Hängen') benötigt man oft den genauen Zeitpunkt des Problems, um in der Masse der Informationen eines Logs den richtigen Eintrag zu finden. Die ins Betriebssystem eingebaute Uhrzeit ist hier meist zu ungenau.

Daher habe ich ein kleines Tool geschrieben, welches fortlaufend die exakte Systemzeit (inkl. Millisekunden) anzeigt. Dieses lässt man einfach parallel zum Logger / Debugger (z.B. Process Monitor) laufen und drückt im Moment, in welchem das Problem auftritt, die Tastenkombination STRG+0 (Null auf dem Numpad). Die angezeigte Systemzeit wird damit eingefroren. Nun kann man in Ruhe im dem aufgezeichneten Log die Stelle suchen, zu welcher das Problem auftrat.


(more...)

Tool zum Erstellen von Remoteinstallation-IDs für die Installation des Kaspersky Network Agents

// September 14th, 2010 // 1 Comment » // IT, Kaspersky

Das Kaspersky Administration Kit 8 bietet die Möglichkeit bei der Remoteinstallation des Network Agents eine Gruppe anzugeben, in welche der Client nach der Installation automatisch verschoben wird. Dieses Paket kann dann entweder über einen Installationstask aus dem Administration Kit oder über ein autonomes Installationspaket verteilt werden. Viele Unternehmen nutzen jedoch die Möglichkeit, Anwendungen über MSI Pakete zu installieren.

Hierfür bietet das MSI-Paket für den Network Agent einen Parameter RI_ID, über welchen die ID angegeben werden. Bei der ersten Verbindung des Network Agents wird diese mit den Verschieberegeln des Administration Kit abgeglichen und der Client in die korrekte Gruppe verschoben.

Da es in großen Umgebungen nicht praktikabel ist, für jede Erstellung einer solchen ID ein autonomes Installationspaket anzulegen, habe ich ein Tool geschrieben, welches dem Administrator die Arbeit abnimmt. Nach dem Start des Tools müssen die Daten angegeben werden, die für die Verbindung zum SQL-Server erforderlich sind.

(more...)

540 Millionen Infizierungsversuche weltweit

// September 14th, 2010 // No Comments » // IT, Kaspersky

Zeus verbreitet sich ohne das Ausnutzen von Schwachstellen über PDFs

Kaspersky Lab Malware-Report für das 2. Quartal 2010

Moskau/Ingolstadt, 14. September 2010 – Kaspersky Lab registrierte von April bis Juni des laufenden Jahres 540 Millionen Infizierungsversuche von Computern weltweit. Das beliebteste Angriffsziel waren Chinesische Nutzer mit 17,09 Prozent aller Attacken, gefolgt von Anwendern in Russland (11,36 Prozent) und Indien (9,30 Prozent). Deutschland liegt mit 2,65 Prozent auf dem sechsten Platz. Diese Zahlen gehen aus dem Malware-Report von Kaspersky Lab für das zweite Quartal 2010 hervor.

Bei der Verbreitung von Schadprogrammen setzten die Cyberkriminellen im zweiten Quartal 2010 vor allem auf Schwachstellen in Programmen: Kaspersky Lab identifizierte in diesem Zeitraum 8.540.223 Exploits. Führend sind nach wie vor Exploits, die Sicherheitslücken im Adobe Reader ausnutzen, allerdings ging ihr Anteil im Vergleich zum ersten Quartal stark zurück.

Ein Großteil der Malware-Attacken hing im zweiten Quartal 2010 mit Botnetzen zusammen. So entdeckte Kaspersky Lab Ende April eine neue Modifikation des bekannten Schadprogramms ZeuS, das es vor allem auf Zugangsdaten von Online-Banking-Kunden abgesehen hat. ZeuS wurde zudem zwischen April und Juni über PDF-Dateien verbreitet. Das Neue dabei: Die in die PDF-Dokumente integrierten ausführbaren Dateien können gestartet können, ohne Sicherheitslücken im Adobe Reader auszunutzen. Das Anklicken des PDF-Dokuments genügt zur Infizierung.

Der vollständige Malware-Report für das zweite Quartal 2010 ist unter http://www.viruslist.com/de verfügbar.

Is your Apple Mac feeling slow – Speed it up!

// September 8th, 2010 // 11 Comments » // IT

Ohne Kommentar :)

Naja, sicherheitshalber: Ich übernehme keinerlei Haftung für die Folgen der Ausführung des Befehls auf Linux, Unix oder Mac Geräten. ;)

Neue Version des NDIS Treibers für Kaspersky Anti-Virus für Windows Workstation MP4 – Teil 2

// September 3rd, 2010 // No Comments » // IT, Kaspersky

Dieses Tool führt ein Update des NDIS Treibers für Kaspersky Anti-Virus für Windows Workstation MP4 unter Windows 2000, XP, Vista, Win 7 auf die Version 6.5.0.4 (klim6.sys - Vista, Win 7) bzw. 6.5.0.7 (klim5.sys unter 2000, XP) durch.

Kaspersky Anti-Virus NDIS Filter ist ein Standard zur Einbindung von Netzwerkkarten. Der Mechanismus der Einbindung von Netzwerkkarten wird durch die Technologie NDIS Intermediate Driver (Technologiebeschreibung auf Englisch) realisiert. Diese Art von Einbetten ins System ist von Microsoft empfohlen und nur dieser Standard gewährleistet maximale Kompatibilität sowohl mit verschiedenen Versionen von Betriebssystemen, als auch mit anderen Anwendungen und Treibern. (via Kaspersky Knowledgebase)

Da es unter bestimmten Voraussetzungen doch zu Inkompatibilitäten mit anderen Netzwerkanwendungen kommen kann, wird der Treiber von Kaspersky kontinuierlich weiterentwickelt. Da es sich um einen Systemtreiber handelt, der nur aufwändig ausgetauscht werden kann, habe ich ein Tool geschrieben, welches den aktuell installierten Treiber beim nächsten Neustart tauscht. Eine Deaktivierung des Selbstschutzes oder von Kaspersky Anti-Virus für Windows Workstation MP4 ist nicht notwendig (sofern der Registry-Schlüssel HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager nicht von Kaspersky geschützt wird). Da Registrywerte gesetzt werden müssen, muss das Tool mit administrativen Rechten gestartet werden.

Ob die entsprechenden Registrywerte erfolgreich geschrieben wurden, kann mit meinem Tool Pendmoves Extended oder über die Log-Datei des NDIS-Changers unter %temp%\ndischanger.log überprüft werden.

(more...)

Newer Entries »