Nach sechs MonatenWindows-Lücke BlueKeep erstmals in freier Wildbahn ausgenutzt
dj
4.11.2019
Die im Mai entdeckte schwere Windows-Sicherheitslücke BlueKeep wurde nun erstmals von Hackern in freier Wildbahn ausgenutzt.
Im Mai wurde eine schwere Sicherheitslücke für Windows entdeckt. Durch BlueKeep könnte aus der Ferne Schadcode auf einem Computer ausgeführt werden, Malware könnte also eingeschleust und gleich aktiviert werden. Als Reaktion veröffentlichte Microsoft ein ausserplanmässiges Sicherheitsupdate, selbst für die Uralt-Windows-Versionen XP und Vista, obwohl der Support für diese schon vor langer Zeit offiziell eingestellt wurde.
Damals war kein Angriff bekannt, der BlueKeep auch in der Praxis ausnutzte. Das hat sich nun geändert. Die Sicherheitsforscher Kevin Beaumont und Marcus Hutchins haben erstmals eine Infektion durch eine Malware entdeckt, die sich die BlueKeep-Lücke zu Nutzen machte.
Die Infektion wurde mittels eines Honeypot-Netzwerkes entdeckt. Bei Honeypots werden auf Computern absichtlich nicht mit Sicherheitsupdates ausgestattet und dann ans Internet angeschlossen, um neue Malware einfangen und sie dann analysieren zu können.
Es fängt harmlos an
Die erste BlueKeep-Malware ist eher harmlos. Es handelte sich um einen Crypto-Miner, der mittels der Rechenkraft des infizierten Computers für den Angreifer Krypto-Währungen erzeugt. Dennoch könnte die Crypto-Miner natürlich auch erstmal als eine Art Test für die Hacker dienen und bei der nächsten Angriffswelle durch deutlich schädlichere Software wie Ransomware oder Trojaner ersetzt werden.
Denn trotz des seit knapp sechs Monaten verfügbaren Sicherheitsupdates gehen Schätzungen von knapp 700’000 Computern weltweit aus, die noch anfällig für BlueKeep sind. Das Perfide an BlueKeep ist, dass sich Schadsoftware zumindest theoretisch direkt von Computer zu Computer übertragen könnte. Diese «Feature» wurde aber bisher noch nicht in der Praxis beobachtet.
Mit Winja lassen sich selbst obskure Viren und Malware identifizieren. Denn die kostenlose Windows-App kann gleichzeitig bis zu 73 verschiedene Virenscanner nutzen.
Bild: iStock
Diese Optionen hat man beim Start von Winja. Die «Additional Tools» unten rechts werden erst abrufbar, wenn man die App mit Administratorrechten neustartet. Das geht mit Klick auf das unterste Symbol in der linken Spalte.
Bild: dj
Zunächst zu «Download und Scan». Wenn man im Netz eine verdächtigte Datei entdeckt, sie aber nicht herunterladen will, kann das Winja übernehmen. Einfach den Download-Link hier kopieren und die App überprüft die Datei ohne Gefahr einer versehentlichen Infektion.
Bild: dj
Auch Dateien, die sich bereits auf dem Rechner befinden, können natürlich untersucht werden, durch «Browse for File». Winja kann aber keinen klassischen Virenscanner ersetzen, verdächtigte Dateien müssen manuell ausgewählt werden.
Bild: dj
Oh, oh! Hier gab es offenbar einen Treffer. Durch Klick auf «More on Virustotal» bekommt man mehr Informationen.
Bild: dj
Nun öffnet sich ein Browser-Fenster mit den Ergebnissen von Virustotal. Die Seite zeigt, welche Virenscanner die Datei für verdächtig halten und unter welchem Namen der Virus in deren jeweiligen Datenbank gespeichert ist.
Bild: dj
Hier zeigt sich auch der Vorteil der Nutzung von Winja/Virustotal. Denn nicht jeder Virenscanner hat die Gefährlichkeit der Datei bemerkt.
Bild: dj
Mit dem «Quick Process Scan» kann man schnell checken, ob eine Malware gerade aktiv ist.
Bild: dj
Hier scheint alles in Ordnung zu sein.
Bild: dj
Eine noch tiefere Analyse lässt sich durchführen, wenn man Winja wie zuvor beschrieben mit Administratorrechten startet und die «Additional Tools» öffnet.
Bild: dj
Hier lässt sich jeder einzelne Prozess und Unterprozess überprüfen.
Bild: dj
Ausserdem lassen sich die Autostart-Programme überprüfen, bei denen sich Viren auch gerne einmisten.
Wie sexy meine KI-Freundin ist und wie schnell ich trotzdem Schluss machte
Eine Freundin kann man sich neuerdings auch ganz einfach digital zulegen. Doch für wen eignet sich die KI-Freundin und was sind die Tücken?
30.11.2023
Lockanrufe auf Whatsapp: Konsumenschützer warnen vor Rückrufen
Aktuell häufen sich Warnungen vor sogenannten Ping-Calls, besonders auf WhatsApp. Doch was steckt eigentlich dahinter? Anruferinnen und Anrufer aus verschiedenen Ländern wie Indien, dem Iran oder Mexiko lassen Ihr Handy einmal klingeln und legen dann auf. Ziel ist es, zu einem Rückruf zu verleiten, warnt die Verbraucherzentrale Rheinland-Pfalz.
Hinter diesen Anrufen verbergen sich oft Betrugsversuche. Die Maschen sind vielfältig – von der Aufforderung, sensible Daten preiszugeben, bis hin zu Geldforderungen oder dem Versuch, Ihren WhatsApp-Account zu übernehmen.
Betroffene erkennen Ping-Calls an den Ländervorwahlen etwa für Indien (+91), den Iran (+98) oder Mexiko (+52). In keinem Fall sollte man die unbekannten Nummern zurückrufen.
Verbraucherschützerinnen und -schützer raten Betroffenen dazu, Anrufe von Unbekannt einfach in der App zu blockieren. Das klappt in den Whatsapp-Einstellungen. Danach werden nur noch Anrufe von eingespeicherten Kontakten durchgelassen.
22.02.2024
Elternabend – Das erste Smartphone für mein Kind
Das Smartphone ist für Kinder und Jugendliche ein unverzichtbarer Begleiter. Doch es birgt auch Gefahren wie Cybermobbing, Sucht und der Zugang zu unangemessenem Inhalt. Medienpädagogen diskutieren mit dem Publikum über Chancen und Risiken.
15.11.2023
Wie sexy meine KI-Freundin ist und wie schnell ich trotzdem Schluss machte
Lockanrufe auf Whatsapp: Konsumenschützer warnen vor Rückrufen