Aktualisierte Windows-ISO von Windows 10 (2016.2)

Die bisherigen Windows-Abbilder haben Update 1511 beinhaltet und nach Installation standen direkt die ersten Updates an. Dem hat Microsoft nun abgeholfen und alle Updates bis einschließlich Februar in die ISO integriert. Die aktualisierte Windows-ISO kann über MSDN/Technet bei aktivem Abonnement bezogen werden.

Windows_10_updated_february

Wer also über ein solches Abonnement verfügt, kann sich gerne die neue .iso herunterladen und spart sich zeitnah diverse Updates.

CTB-Locker befällt Websites

Mit zunehmender Verbreitung von sogenannten Crypto-Trojanern werden die Ziele auch immer breiter gefächert. Die neue Version des CTB-Lockers ( CTB-Locker ) befällt nun auch Websites.

Besser gesagt: Der Angriffsweg ist noch nicht ganz klar, es wird vermutet, dass der CTB-Locker (ein PHP-Script) auf Webserver, die eine Sicherheitslücke haben, geschleust wird. Der Quellcode des Trojaners sowie infizierte Seiten sind unter kernelmode.info ersichtlich.

Der CTB-Locker befällt den Webserver, verschlüsselt Dateien mit bestimmten Endungen und gibt ein Zeitlimit, bis zu diesem eine Summe in Bitcoins zur Entsperrung gezahlt werden muss. Ist eine Website befallen, sieht dies wie folgt aus:

ctb-locker

Bei Bedarf ist sogar ein Video eingebettet, in dem der Erwerb von Bitcoins beschrieben wird. Wenn an die entsprechende Website (z.B. http://hier-eine-testsi.te) eine Endung angegeben wird, kann man zum Test zwei beliebige Dateien kostenlos entschlüsseln. (im Beispiel: http://hier-eine-testsi.te/?page=freepage )

Die Dateiendungen, die umbenannt werden, sind folgende:

264 3g2 asf asx avi bik dash dat dvr flv h264 m2t m2ts 3dm 3ds 3gp 7z a3d aa aac ace adp ai amr ape apk apng arj asm asp aspx aws bas bat bbc blend bml bmp btm bzip2 c c4d cab cdr cfm cgi cgm clear clf cmd coff cpio cpp cpt cs csv dds deb dgn dicom dif dll djvu doc docx dta dvi dwg dxf edi elf emf eps exe fbx fig flac gif gpx gzip h ha hdr htm html iff ihtml phtml img inf iso jar java jpe jpeg jpg js jsp lav lha lib lwo lws lzo lzx m3d ma mac maf max mb md mdf mdl mds mhtml midi mkv ml mmf mng mod mov mp3 msi mxf nrg obj ods odt ogg out pas pcl pcx pdf pdn php pkg pl png pos prg prt ps psd py pz3 rar raw rb rib rpm rtf sai sd7 sdxf sgml sha shtml sldasm sldprt smc smil spr stdf stm stp svg swf sxc tar tex texinfo tga tgz tif tiff troff txt u3d unity uts vob vsm vue wav wif wire wlmp wma wmf wmv x x3d xhtml xls xlsx xmi xml xpm xz zip zoo m4v mp4 mpeg mpg mswmm mts ogv prproj rec rmvb tod tp ts webm 3ga aiff cda dvf gp4 gp5 logic m4a m4b m4p pcm snd sng uax wpl dib dng dt2 ico icon pic thm wbmp wdp webp arw cr2 crw dcr fpx mrw nef orf pcd ptx raf rw2 csh drw emz odg sda abr ani cdt fla icns mdi psb pzl sup vsdx 3D 3d dwfx lcf pro pts skp stl x_t eot otf ttc ttf woff aww chm cnt dbx docm dot dotm dotx epub ind indd key keynote mht mpp mpt odf ott oxps pages pmd pot potx pps ppsx ppt pptm pptx prn pub pwi rep sdd sdw shs snp sxw tpl vsd wpd wps wri xps 1st alx application eng log lrc lst nfo opml plist reg srt sub tbl text xsd xsl xslt azw azw3 cbr cbz fb2 iba ibooks lit mobi sdc xlsm accdb accdt mdb mpd one onepkg pst thmx big hi lng pak res sav save scn scx wotreplay wowpreplay g64 gb gba mbz n64 nds nes rom smd srm v64 ova ovf pvm vdi vhd vmdk vmem vmwarevm vmx ashx atom bc class crdownload css dlc download eml gdoc gsheet gslides json part partial rss torrent xap ldif msg vcf app com cpl gadget lnk scr tmp vbs bin drv ocx sys vxd 002 003 004 005 006 007 008 009 010 7zip a00 a01 a02 a03 a04 a05 air arc asec bar c00 c01 c02 c03 cso gz hqx inv ipa isz msu nbh rar r00 r01 r02 r03 r04 r05 r06 r07 r08 r09 r10 sis sisx sit sitd sitx tar.gz webarchive z01 z02 z03 z04 z05 bak bbb bkf bkp dbk gho ipd mdbackup nba nbf nbu nco old sbf sbu spb tib wbcat 000 ccd cue daa dao dmg mdx tao tc toast uif vcd crypt ipsw npf pkpass rem rsc gdb ofx qif db dbf fdb idx msmessagestore sdf sql sqlite wdb kml kmz map appx appxbundle blf dump evtx kext mui sfcache swp cnf contact deskthemepack ics ifo lrtemplate m3u m3u8 pls skn svp template theme themepack trm wba plugin safariextz xpi inc jad o rc scpt src cfg ini usr dmp ksd pfx ut adadownload cache temp 3dr cal dct dic gbk md5 prj ref upd upg

 

Um einer Infektion zu entkommen, wird empfohlen, sämtliche CMS auf dem aktuellen Stand zu halten, die Sicherheit eigener Skripte zu überprüfen und auch Webserver wie Apache, nginx, sowie den Server an sich abzusichern.

Linux Mint ISO’s kompromittiert

Wie im Post auf dem Linux Mint-Blog zu lesen ist, sind die .iso-Dateien des 20.2. mit modifizierten Versionen ausgetauscht worden, beziehungsweise der Link auf der Website zeigte auf diese. Ferner wurde das Forum ebenso gehackt und die User gebeten, ihr Passwort zu ändern.

Was ist genau betroffen?

Primär Linux Mint 17.3 Cinnamon Edition.

Eine Möglichkeit, ein eventuelles Image zu kontrollieren, ob eine Kompromittierung vorliegt ist der Befehl „md5sum yourimage.iso“. Hierbei muss an Stelle von yourimage natürlich der Name der entsprechenden Datei eingegeben werden.

Korrekte Summen wären:

6e7f7e03500747c6c3bfece2c9c8394f  linuxmint-17.3-cinnamon-32bit.iso
e71a2aad8b58605e906dbea444dc4983  linuxmint-17.3-cinnamon-64bit.iso
30fef1aa1134c5f3778c77c4417f7238  linuxmint-17.3-cinnamon-nocodecs-32bit.iso
3406350a87c201cdca0927b1bc7c2ccd  linuxmint-17.3-cinnamon-nocodecs-64bit.iso
df38af96e99726bb0a1ef3e5cd47563d  linuxmint-17.3-cinnamon-oem-64bit.iso

Wenn in einem eventuell kompromittierten Image in die Live-Session gebootet wird, kann dort die Datei /var/lib/man.cy vorliegen. Wenn dem so ist, ist das Image infiziert.

Die Täter? Hierzu schreibt Clem folgendes:

Who did that?

The hacked ISOs are hosted on 5.104.175.212 and the backdoor connects to absentvodka.com.

Both lead to Sofia, Bulgaria, and the name of 3 people over there. We don’t know their roles in this, but if we ask for an investigation, this is where it will start.

What we don’t know is the motivation behind this attack. If more efforts are made to attack our project and if the goal is to hurt us, we’ll get in touch with authorities and security firms to confront the people behind this.

Was tun, wenn infiziert? Rechner formatieren, Passwörter aller Webseiten – sofern denn welche besucht worden sind – ändern.

Forum-Benutzer bei Linux Mint? Dringend alle Passwörter, die „baugleich“ oder ähnlich sind ändern. Von Seiten Linux Mint wird empfohlen, mit dem Mailpasswort zu beginnen.

Warum Linux Mint?

Ich denke, mit zunehmender Akzeptanz von Linux, werden Desktop-Distributionen als Angriffsziel immer attraktiver. In diesem Fall wurde nicht Linux selbst, sondern der Verteilmechanismus und das Forum von Linux Mint angegriffen. Linux Mint ist eine einsteigertaugliche Linux-Distribution, weshalb die Opfer somit im Schnitt wohl weniger versiert sind. Wer unterschiedliche Passwörter für alle/viele Dienste verwendet, ist hier gut gefahren. Ansonsten sei dies erneut nahegelegt. Augen auf im Internetverkehr!