Tag: panda

Panda USB Vaccine mit NTFS Unterstützung

08 Jul

usbvaccine1.5Das Microsoft Betriebssystem verwendet die Datei “Autorun.inf” um zu wissen welche austauschbaren Medien an den PC angeschlossen wurden. Die “Autorun.inf” ist eine Konfigurationsdatei, welche in der Regel in dem Root-Verzeichnis des Wechselmediums enthalten ist. Sie dient dazu das Medium automatisch zu starten sobald darauf zugegriffen wird.

Das Risiko hierbei ist, dass diese Datei von Malware ausgenutzt wird um automatisch eine bestimmte Datei/Aktion aufzurufen. Die besten Beispiele hierfür sind W32/Sality, W32/Virutas und auch der W32/Conficker-Wurm der sich nicht nur über das Netzwerk sondern auch über USB-Geräte verbreitet.

Auf Grund der großen Anzahl von Malware hat Panda im März 2009 in Zusammenarbeit mit Microsoft ein kostenfreies Tool namens Panda USB Vaccine für Sie entwickelt. Dieses deaktiviert den Autostart für USB Laufwerke etc. komplett und schützt damit den Rechner.

Das im März veröffentlichte Tool “USB VAccine.exe” wurde auf Grund des breiten Feedbacks in einigen Punkten aktualisiert bzw. ergänzt.

  • Unterstützung der “Impfung” von NTFS Datenträgern.
  • Die Ausführung von “USBVaccine.exe” ruft einen Installer auf, der die Konfiguration des Autostart-Verhaltens von USBVaccine beim Windows-Start möglich macht.
  • Konfigurationsoption, um das Tray-Icon zu verstecken.
  • Konfigurationsoption während des Setups um neue USB-Datenträger beim Anschluss an den Rechner zu impfen.
  • Fehler behoben, wenn USBVaccine unter Windows Vista beim Herunterfahren im Hintergrund lief.
  • Andere Fehler auf Grund von User-Feedback im Zusammenhang mit verschiedenen USB-Datenträgern behoben.

Mehr dazu…

 
0 Kommentare
 

Panda Security launcht “Panda Cloud Antivirus”

11 Mai

clip-image002Die Firma Panda Security hat vor einiger Zeit ihr neues (kostenloses) Produkt Panda Cloud Antivirus vorgestellt. Dabei handelt es sich um eine neuartige Technik Viren zu finden. Und zwar soll die Last des Scanns in eine Cloud, also eine Art Rechnerfarm ausgelagert werden. Dadurch läuft der Scan beim Client wesentlich schneller ab.

Es werden lokal auf dem System diverse Hashes und Keys zu jeder ausführbaren Datei gebildet, diese werden an die “Cloud” übertragen und dort verarbeitet. Diese sendet dann wiederrum das Ergebnis der Analyse an den Rechner zurück. Somit spart man enorm viel Rechenaufwand auf Seiten des Anwenders. Außerdem werden so die Scans tausender Kunden kumuliert und ausgewertet, dadurch soll eine bessere Scanleistung erreicht werden.

clip-image003

Ich selber habe die Software mal in einer VM gestestet und bin damit zufrieden. Hier nochmal ein Auszug aus der FAQ:

Wird Panda Cloud Antivirus auch nach der Beta-Phase kostenfrei bleiben?
Ja, definitiv. 100% kostenfrei.

Werden meine Dateien für den Scan an die Cloud gesendet?
Nein. Es werden grundsätzlich keine Dateien und keine persönlichen Informationen an die Cloud gesendet. Das heißt, nur PE-Dateien (.exe, .com, etc.) werden durch die Cloud geprüft. Nicht-PE-Dateien, wie zum Beispiel Bilder, Dokumente u.ä. werden von der Cloud nicht gescannt.

Was genau wird an die Cloud übertragen?
Für jede PE Datei, die in der Cloud überprüft wird, kreieren wir multiple, kryptographische Hashwerte. Darunter befindet sich die so genannte „reverse Signature“ der Datei. Sie ist in der Lage, mehrere ähnliche Dateien zu identifizieren. Die Resonanz aus der Cloud lautet entweder „Malware“, „Goodware“ oder „unbekannt“. Zusätzlich senden wir Meta-Daten der Dateien, damit sie in der Cloud ferngesteuert heuristisch gescannt werden. Dies sind die wesentlichen Verhaltensmerkmale und Charakteristika jeder Datei. Zusammenfassend also lässt sich sagen, dass weder Inhalte noch persönliche Informationen jemals an die Cloud gesendet werden.

Gerade bei der Verbreitung neuer Malware im Jahre 2008 sollte man sich einen guten Virenscanner zulegen, der Ansatz hier ist sicher ein Blick wert.

3459126190_3294e3330d

 
4 Kommentare
 

Trojaner grüßt zum Valentinstag [the same procedure as every year...]

31 Jan

Während Unternehmen derzeit einen Downadup/Conficker-Angriff befürchten, sollten Privatanwender ihre Valentinsgrüße gründlich überprüfen: Seit Jahren ist der Valentinstag ein idealer “Deckmantel”, unter dem es Online-Kriminellen gelingt, tausende von Computern zu infizieren. In diesem Jahr konnte Panda Security schon jetzt eine neue Variante des Trojaners Waledac entlarven, die sich in den Links von vermeintlichen Valentinsgrüßen versteckt.
Waledac.C dringt entweder über Sicherheitslücken in Datei-Formaten oder Programme in den PC. Um diese Lücken ausnutzen zu können, benötigt er die Intervention des Users, das heißt das Öffnen von Dateien und Emails oder den Besuch einer schädlichen Webseite. Bei einer Infektion reduziert Waledac.C den Sicherheitslevel des Computers. Dies geschieht zum Beispiel, indem er die Sicherheitseinstellungen des Internet Explorers manipuliert. Anhand des verringerten Sicherheitslevels kann der angegriffene PC identifiziert und für weitere, schädliche Prozesse genutzt werden. In diesem Fall versendet sich der Trojaner selbst via Emails, deren Betreffzeilen sich dem Thema Liebe widmen. Öffnet der Empfänger die Mail, findet er einen der folgenden Links:

image3

Klickt der Empfänger auf diesen Link, lädt sich automatisch die infizierte Datei herunter. Auch deren Bezeichnung enthält das Thema Liebe in irgendeiner Form. Die Dateien haben alle eine Größe von ungefähr 390 KB:

image21

 
9 Kommentare
 

3,2 Milliarden Dollar Verlust durch Phishing

16 Nov

Banker Trojaner, Keylogger und heimtückische Phishing-Methoden: Wie Panda Security vor kurzem berichtete, sind 30 % aller neuen Bedrohungen speziell auf den Identitätsdiebstahl ausgerichtet. Gartner zufolge verzeichneten allein die USA im vergangenen Jahr 3,2 Milliarden Dollar Verlust durch Phishing-Angriffe. Im Hinblick auf die drastisch gestiegenen Angriffe im zweiten Halbjahr befürchten Experten diesem Jahr erheblich schwerwiegendere Ausmaße.

Vom zweiten zum dritten Quartal dieses Jahres stellte Panda einen Malware-Anstieg von fast 70% fest, führend war dabei die Kategorie der profitabelsten Exemplare, nämlich der Trojaner. Dazu trugen maßgeblich die starken Einbrüche des Finanzmarktes bei. Laut Panda zeigte die Malware-Entwicklung bei fallenden Börsenkursen überproportionale Zuwachsraten. Weil man die Menschen in Krisenzeiten generell schneller verunsichern kann, wurden abverlangte Daten leichtsinnig veröffentlicht, um weitere Krisen abzuwehren. So waren fast alle der in dieser Zeit programmierten Malware-Exemplare speziell für den Datendiebstahl konzipiert.

 
0 Kommentare
 

Barack Obama verseucht Posteingänge

10 Nov

Unmittelbar nach Bekanntgabe der Wahlergebnisse von Barack Obama missbrauchten Cyberkriminelle den designierten Präsidenten schon als „Malware-Schleuder“. Barack und die Wahl dienen derzeit als Köder gefährlicher Spam-Mails, deren schädliche Inhalte speziell auf Datendiebstahl ausgerichtet sind.

Eine dieser Mails scheint auf den ersten Blick von einer peruanischen Online-Zeitung zu stammen. Der spanische Inhalt fasst die Ergebnisse der US-Wahl zusammen und versucht die Empfänger zu animieren, ein an die latein-amerikanische Gemeinde adressiertes Video zu öffnen. Die Datei mit dem Namen BarackObama.exe wurde als Banker-Trojaner Banker.LNN identifiziert. Wird die schädliche Datei herunter geladen, verändert der Trojaner die Host-File des jeweiligen Computers und lenkt die http-Verbindung direkt auf eine originalgetreue Seite der größten peruanischen Bank. Dort wird er künftig sämtliche (Trans-)Aktionen überwachen und vertrauliche Daten stehlen.

Eine weitere Mail dieses Spam-Angriffs trägt den Betreff, Barack Obama sei der 44. und gleichzeitig der erste afro-amerikanische Präsident der Vereinigten Staaten. Sie beinhaltet einen Link zu einer Fälschung der America.gov-Webseite. Darüber hinaus versucht auch sie, den Empfänger zu animieren, sich ein Video anzuschauen. Dieses Video erfordert ein Adobe-Flash-Update (adobe_flash9.exe), das die Malware in den Computer integriert. Diese setzt sich aus dem Trojaner Trj/Spyforms.BQ und dem Rootkit Rootkit/Spyforms.BR zusammen, der die schädliche Komponente verstecken soll. Der Schädling ist darauf konzipiert, Netzwerk-Traffic zu kontrollieren und Passwörter von ftp-, icq-, pop3-, imap-Verbindungen und ähnlichen zu stehlen.

Panda rät alle Usern zu großer Vorsicht bei der Durchsicht ihres Email-Postfachs. Eingänge mit Betreffzeilen der genannten oder ähnlichen Inhalte sollten keinesfalls geöffnet und direkt entfernt werden, um sich vor einem folgenschweren Identitätsdiebstahl zu schützen.

 
4 Kommentare