Köln, 25. Oktober 2005 - Die Websense Security Labs weisen in einer Eilmeldung auf einen besonders dreisten Angriff aus dem Web hin: Unbemerkt von Benutzern verschlüsselt ein Trojaner Dateien auf der Festplatte. Kurz danach werden Anwender per E-Mail zum Kauf eines Tools aufgefordert, mit dem sie ihre lokalen Dateien wieder entschlüsseln können.
Bislang hat Websense Attacken ermittelt, bei denen Surfer mit russischer Windows-Version betroffen waren. Bereits im Frühjahr dieses Jahres warnte Websense vor einer ähnlichen Attacke. Details zum ersten Trojaner-Angriff dieser Art finden sich unter: http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=194
In seinen Security Labs beobachtet Websense, ein internationaler Experte für Internet-Sicherheit, pro Tag zirka 60 Millionen Websites und analysiert, wie sich neue Bedrohungen aus dem Internet verhalten und auswirken.
Der gesamte Sicherheitshinweis der Websense Security Labs im Wortlaut:
Websense(r) Security LabsT has received reports of a new attack that attempts to extort money from users by encoding files on their machines, and then requesting payment for a decoder tool. The attack dynamics are very similar to the original discovery we reported on May 23, 2005 : http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=194.
This attack appears to only be attacking Russian speakers and was first reported on Kaspersky's research blog:http://www.viruslist.com/en/weblog. Several vendors are calling the two pieces of malcode (JuNy.A and JuNy.B). Upon infection, the application searches on the machine or any mapped drives for more than 100 file types by extension.
The malicious code modifies the following registry items:
Added to HKEY_LOCAL_MACHINE:
SOFTWARE\Classes\EventSystem.EventSystem\PrivateData
SOFTWARE\Classes\EventSystem.EventSystem\PrivateData\FXXXXBytes
Important values added:
HKEY_LOCAL_MACHINE:
SOFTWARE\Classes\EventSystem.EventSystem\PrivateData\FXXXXBytes\XXXXBytes
SOFTWARE\Classes\EventSystem.EventSystem\PrivateData\FXXXXBytes\XXXXCount
SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Kernel Manager
Modified values:
HKEY_LOCAL_MACHINE:
SOFTWARE\Classes\exefile\shell\open\command\
Like the encoder previously reported, the attacker requests that end-users send money in order to receive their data back. Also, like the former attack, the requested amount is $200. The code also displays two messages on the screen with instructions for contacting an email account in order to get the files back, and includes a list of files that it encoded.
Screenshots are available at the web site (note: these were taken using a US/English version of Windows). Assuming that you are using the Russian version, the messages would appear in the native language.
Screenshots with translations included within full alert.
For additional details and information on how to detect and prevent this type of attack: http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=320
Websense Security Labs discovers and investigates today's advanced internet threats and publishes its findings enabling organizations to best protect employee computing environments from increasingly sophisticated and dangerous internet threats.
To unsubscribe: http://www.websensesecuritylabs.com/unsubscribe
FAQs: http://www.websensesecuritylabs.com/about/
Download a free 30 day trial: http://www.websense.com/downloads/SecurityLabs/
Dieser Sicherheitshinweis kann auch unter wwww.pr-com.de abgerufen werden.
Websense (Nasdaq: WBSN) mit Hauptsitz in San Diego, Kalifornien, ist der weltweit führende Anbieter von Softwarelösungen für das umfassende Management von Internetzugängen und Applikationen am Arbeitsplatz (Employee Internet Management = EIM). Mit der Websense Software können Unternehmen die Nutzung vorhandener Ressourcen optimieren und gleichzeitig hoch wirksame Maßnahmen zur Abwehr der ständig zunehmenden Bedrohungen aus dem Internet wie Viren, Spyware und bösartigem Code (Mobile Malicious Code), importiert durch unkontrollierte Nutzung von Instant Messaging und P2P-Anwendungen, ergreifen. Durch die Festlegung und Kontrolle klarer Richtlinien am Internet-Gateway, auf Netzwerkebene und an den einzelnen Arbeitsplätzen schafft die Websense Software die Voraussetzungen für eine sichere, effektive Nutzung der Infrastruktur, der vorhandenen Netzwerkbandbreite, für mehr rechtliche Sicherheit bei potenziellem Missbrauch und eine erhöhte Produktivität. Websense wird weltweit in mehr als 24.000 Unternehmen genutzt, die insgesamt über 21,6 Millionen Lizenzen einsetzen. In Deutschland sitzt Websense in Köln. Weitere Informationen: www.websense.de
Pressekontakte:
Websense Deutschland GmbH
Michael Kretschmer
Regional Director Central Europe
Kaiser-Wilhelm-Ring 27-29
D-50672 Köln
Tel. +49-2221-5694460
Fax +49-2221-5694354
mailto:mkretschmer@websense.com
www.websense.de
PR-COM GmbH
Manuela Schwaiger
Account Manager
Sonnenstraße 25
D-80331 München
Tel. +49-89-59997-801
Fax: +49-89-59997-999
mailto:manuela.schwaiger@pr-com.de
www.pr-com.de
X