.
Anmeldung | Registrieren | Hilfe

.NET-Blogs Archiv September 2013

DNUG Braunschweig - Für Entwickler: Neues in Windows 8.1 und Windows Azure

30.09.2013 12:57:00 | Lars Keller

Wir haben Geburtstag! Die DNUG Braunschweig wird 7 Jahre alt und dies wollen wir mit einem besonderem Event feiern.

Damit wir wissen mit wie vielen Teilnehmern wir zu rechnen haben, ist eine Anmeldung unter keller[at]dotnet-braunschweig.de erforderlich.

ACHTUNG: Dieses User Group Treffen findet NICHT im Restaurant Zucker statt. Wir treffen uns in den Räumen der
H&D International Group
August-Horch-Str. 1
38518 Gifhorn
Im Parkhaus auf dem Betriebsgelände von H&D stehen ausreichend Parkplätze zu Verfügung. Für den kleinen Hunger stehen Brötchen und Suppe bereit. Vielen Dank an H&D für die Bereitstellung des Raums und für das Sponsoring der Speisen und Getränke.

Wir freuen uns Euch bei diesem Treffen gleich zwei Vorträge von Microsoft Evangelisten präsentieren zu können:

Neues in Windows 8.1 für Entwickler

In Windows 8.1 gibt es jede Menge neuer APIs und Controls zu entdecken. Manche davon sind eigentlich schon seit 8.0 überfällig, manche sind nette Erweiterungen oder Spielerein und einige bergen das Potential eine wirklich einzigartige User Experience auf Windows 8.1 zu ermöglichen. Im Rahmen dieser Session gehen wir die Highlights in Windows 8.1 für Entwickler durch und programmieren ein paar der neuen APIs an.

Daniel Meixner ist Technical Evangelist bei Microsoft Deutschland und beschäftigt sich mit Windows und Windows Phone App Entwicklung und wann immer es möglich ist mit der Integration der Kinect für PC.

In seiner langjährigen Erfahrung in unterschiedlichen Rollen hat er das „Gute, Schlechte und Hässliche“ in der Softwareentwicklung zu genüge und aus unterschiedlichsten Blickwinkeln kennengelernt. Vor seiner Zeit bei Microsoft war er Consultant und Architekt für Application Lifecycle Management Lösungen im Enterprise Umfeld.

News-Update von Windows Azure: Was ist neu, was hat sich geändert?

Cloud Computing umfasst mittlerweile so viel mehr Dienste als nur die reine Ausführung von Software und virtuellen Maschinen. Doch welche Dienste stehen mir überhaupt zur Verfügung? Und für welches Szenario sind welche Dienste geeignet? Windows oder Linux? SQL Server oder MySQL? .NET oder PHP? Dies sind nur einige Buzz Words, doch am Ende haben Sie die Wahl! Dieser Vortrag richtet sich an Einsteiger und Fortgeschrittene, die wissen möchten, welche Möglichkeiten Windows Azure derzeit Entwicklern und IT Pros bietet. Nach diesem Vortrag sind Sie wieder auf dem aktuellen Stand und wissen, welche Dienste und Tools Sie bei Ihren Projekten unterstützen.

Peter Kirchner ist Technical Evangelist bei der Microsoft Deutschland GmbH und beschäftigt sich primär mit den Themen Cloud Computing und Windows 8 Entwicklung. In den letzten Jahren hat sich Peter Kirchner mit verschiedensten Technologien für Entwickler beschäftigt, wobei Themen wie Anwendungskompatibilität für Windows-Anwendungen, Windows Azure und die technische Betreuung von Microsoft Partnern einen besonderen Fokus besaßen. Vor seinem Einstieg bei Microsoft im Jahr 2008 war Peter Kirchner im Bereich der SharePoint-Entwicklung und -Anpassung im Kundenprojektgeschäft tätig.

Folgen Sie ihm entweder in seinem Blog oder über Twitter, um über die jüngsten Aktivitäten informiert zu werden.

Mevade and Sefnit: Stealthy click fraud

26.09.2013 02:30:00 | Steffen Krause

​Recently Trojan:Win32/Mevade made news for being the first large botnet to use Tor to anonymize and hide its network traffic. Within a few weeks, starting mid-August, the number of directly connecting Tor users increased by almost 600 percent - from about 500,000 users per day to more than 3,000,000.

Last week we concluded, after further review, that Mevade and Sefnit are the same family and our detections for Mevade have now been moved to join the Sefnit family.

Win32/Sefnit is a well-known family which includes a component capable of performing click fraud. From our observations in the wild, this particular component disappeared near the end of 2011. In June 2013 we discovered a new click fraud component which we originally classified as Mevade.  

Despite its recent notoriety due to the Tor activity, there is still a bit of mystery around how the latest version of Sefnit is spreading and the monetization techniques it uses.

In this blog I’ll be going into a bit more detail on the new stealthy click fraud technique used and how it has contributed to Sefnit being largely undetected by AV vendors for the last couple of years. Additionally, we will discuss a few of the attack vectors used by the Sefnit authors to deliver the latest version of the malware.

Interestingly, TrendLabs now believe they have identified the online identities of the actors behind the threat.

An interconnected threat

The Sefnit threat is composed of multiple components dedicated to different tasks. Among the observed samples, we have identified three distinct components. Figure 1 illustrates what is known currently about how these components interconnect as well as their intended purpose. Figure 2 provides sample references.

The Sefnit malware structure

Figure 1: The Sefnit malware structure

 
 
Component
Sha1 Subset
Service Name
Updater and Installer Service
Trojan:Win32/Sefnit.AU
5451cfa12c9acfae6e91f7c13e4b946038bacef4
942860bedf408cc4c6a1831ef3744a3f9e68b375
Adobe Flash Player Update Service”
Click Fraud Service
Trojan:Win32/Sefnit.AS
014ace48897e81052b9552a5a7ab04d00a8e5227
04bb63c3c71b4d033f49434f59a9225d08b4ea70
05a8fb5e61aad8be003a0ab461b39a86767fda23
0e246f6b95a9fd2d2a0c905be87074f5aadc7be0
0f8be849f287cf705ebc0409527fd06670438470
21bfcc14ac5abc6cb8b6fc802038e66ac4e24686
2d10aaf57c45bde69d8f52e23bdabc10a192da20
5d28316acb73e06a5f4c00858b3bf095cfe6b2bf
72d705af606df58aaaec3cc271f46d3d2e4c0499
7c5091177ea375eb3d1a4c4a2bbd5eb07a4cc5cc
8528769281709abd231a46f13ffdfaaa13232336
89c28f7203f9db0762d1c64e42422a5d89c6a83f
a6b055df9ad3d374acaf2dfacded3ba88d20f5cd
a7a41a0c6998f83839c5c6b58840b62a28714b17
a81b04724ab71e4a71e939204e476bb762adc506
bf4151bece1d94d8304df46b2598c14214d9834e
c5af760e62f230ed0f55ff19d2c2215568e6a199
ccd1fa1bf48665270128700bc94043c5fec39984
Trusted Installer”
 
“Bluetooth LE Services Control Protocol”
Peer-to-peer File Seeding Service and More
Trojan:Win32/Sefnit.AT
Trojan:Win32/Sefnit.gen!D
1aba915c0f75432f788fa672a6c7798af5acc94e
5afaadfe20c4776d12001212dc579f5d3851852b
9378acb5a7b6368e07ac2953459be911a84686cc
9dbca75ff98d49bdd211a2a7c8cac506789d6d29
a1733ba81255104c91e916943bb96875bf39d4d9
a5dd1b1d6105a773d1bdbdf961d36be2bbc56de1
abbd69ddb25b1b95c944b8fdb9531963556ea666
b55051915a2cc1a58284679d7753b55cb11bd9b0
d149bb1c2a4767f538a3de4d72f0a5d21ae46165
d95eb268e489928ed3d4bad8f56c0aa9ba0f0160
e50aa43d2df250ec56c92b4efd8df83e440cb167
edc7a434f18424d73c1403a15ee417fbd59eea95
Windows Internet Name Service”
Software Bundlers
Trojan:Win32/Sefnit.AU
c5758309136cd1e7e804d2003dc5ca27ae743ac3
n/a
 
Figure 2: Known Trojan:Win32/Sefnit Components
 

Sefnit’s stealthy new click fraud methodology

The new Sefnit click fraud method is a departure from the method previously used back in 2011. This new, stealthier methodology is believed to be largely responsible for Sefnit being able to evade AV vendor detection during the last couple of years.

The old version of Sefnit relied on click hijacking for performing click fraud. When an infected user was browsing the internet and clicked on a search engine result (such as from Google), sometimes the clicks would be hijacked to travel through advertising agencies to a similar webpage as the intended destination. These clicks are generally considered quite high-value and are hard to detect from an anti-fraud perspective.

Although this is very stealthy from an advertising agency anti-fraud data analytics perspective, it is not stealthy for the user whose click was hijacked. If detection was missing, some observant users would realize they did not land at the intended website, investigate the cause, and submit samples to antimalware researchers for detection. As a result this always brought attention to the malware.

In 2011, the Sefnit authors were observed to have stopped releasing new versions of the component responsible for this click hijacking and consequently were later believed to no longer be active in the wild. At the end of June 2013, we rediscovered Sefnit using a new click fraud strategy.

The Sefnit click fraud component is now structured as a proxy service based on the open-source 3proxy project. The botnet of Sefnit-hosted proxies are used to relay HTTP traffic to pretend to click on advertisements.

In this way, the new version of Sefnit exhibits no clear visible user symptoms to bring attention to the botnet. This allowed them to evade attention from antimalware researchers for a couple years. The figure below illustrates how the hosted 3proxy servers are used to relay Internet traffic through the botnet clients to perform a fake advertisement click.

The Sefnit botnet uses the hosted 3proxy servers to redirect internet traffic and perform fake advertisement clicks

Figure 3: The Sefnit botnet uses the hosted 3proxy servers to redirect internet traffic and perform fake advertisement clicks

A recorded example of this click fraud path is shown below by using the legitimate affiliate search engine mywebsearch.com to simulate a search for "cat" and fake a click on an advertisement provided by Google to defraud the advertiser Groupon.

The landing page for this click fraud instance

Figure 4: The landing page for a click fraud instance

The end result is Groupon paying a small amount of money for this fake advertisement "click" to Google. Google takes a portion of the money and pays the rest out to the website hosting the advertisement – mywebsearch. The Sefnit authors likely signed up as an affiliate for mywebsearch, resulting in the Sefnit criminals then receiving a commission on the click.

Sefnit authors avoid raising red flags on their advertisement affiliate accounts by preceding each clickfraud incident with a large time-gap and simulated normal user Internet browsing behaviour.

From experience, the interval between click fraud incidents is once per multiple-day period or longer. If the trojan simulates fake advertisement clicks too quickly, the anti-fraud team within the advertising agency would be able to detect the fraud, cancel the payout to the affiliate, and return the money to the defrauded advertisers.

Delivery by File Scout

We have been able to identify some of the infection vectors for the new version of Sefnit. One of the prominent methods is an installer for an application called "File Scout." When this application is installed, it will also install Trojan:Win32/Sefnit silently in the background:

File Scout installer that silently installs Trojan:Win32/Sefnit as the same time

Figure 5:  File Scout installer that silently installs Trojan:Win32/Sefnit as the same time

The installed File Scout application is a tool that replaces the standard "Open with" dialog for unrecognized files with a new dialog:

File Scout replacement for the “Open With” dialog

Figure 6:  File Scout replacement for the "Open with" dialog

There is evidence suggesting that this File Scout application is developed by the Trojan:Win32/Sefnit developers. Specifically, it expects a similar format xml structure for the C&C-download and execute commands, both applications are distributed together, and the two applications were compiled 15 minutes apart with the same compiler.

Similarly, Trojan:Win32/Sefnit bears code similarity to some InstallBrain software bundler installers, such as the same string encryption algorithm and the same packer.

We have also seen Trojan:Win32/Sefnit spread through the eMule peer-to-peer file network.

Downloading and running files from any peer-to-peer network as well as downloading applications from untrusted sources puts you at a high risk of being infected by malware.

This latest version of Sefnit shows they are using multiple attack vectors, even going as far as writing their own bundler installers to achieve the maximum number of infections that make this type of clickfraud a financially viable exercise.

The authors have adapted their click fraud mechanisms in a way that takes user interaction out of the picture while maintaining the effectiveness. This removal of the user-interaction reliance in the click fraud methodology was a large factor in the Sefnit authors being able to stay out of the security-researchers' radars over the last couple of years.

Microsoft is working towards thwarting this type of crime as we describe in another blog, "Another way Microsoft is disrupting the malware ecosystem." The more computers we can protect, the less financially viable this type of malware becomes.

We will continue to monitor the family and keep detection in place to limit further fraud by the criminals.

Geoff McDonald

MMPC

 

End of support for Java SE 6

24.09.2013 23:20:00 | Steffen Krause

​If you’re running Java SE 6, we have some news for you: Oracle stopped providing public updates to it after February 2013.

Enterprise customers will still have access to long term help through their support channels.

For everyone else, you should upgrade to Java SE 7 and remove Java SE 6 - remember Java doesn’t remove older versions by default. 

Malware exploiting vulnerabilities in Java isn’t new. We’ve written about Java vulnerabilities on this blog before. In fact, since July this year Exploit:Java/CVE-2013-2465 has been making the rounds and targeting Java SE 6.

Oracle has done a great job of releasing Java updates to patch these vulnerabilities.

However, Java SE 6 is about seven years old, and Java SE 7 was released more than two years ago. This means it’s time to think about alternatives for the aging version.

While we’re talking about end-of-support software - technical assistance for Windows XP will no longer be available from April 8, 2014.

This includes the updates that help protect your PC against security risks and malware. It’s a good time to think about installing Windows 8 on your PC.

 

Google bestätigt: “Wir versuchen SSL Verschlüsselung auf alle User auszuweiten”

24.09.2013 06:57:11 | Stephan Walcher

Als im Oktober 2011 Google anfing aus Sicherheitsgründen eingeloggte User über SSL Verschlüsslung laufen zu lassen, hatten einige es schon vermutet, das war nur der Anfang. In den letzten Monaten ist der Anteil der Keyword not-provided in den USA extrem angestiegen, besonders gut anhand der Website http://www.notprovidedcount.com/ zu erkennen. Wie man gut erkennen kann, hat […]

The post Google bestätigt: “Wir versuchen SSL Verschlüsselung auf alle User auszuweiten” appeared first on Prometeo.

Visual Studio Evolution - der deutsche Visual Studio Launch 2013

23.09.2013 11:08:49 | Christian Binder

Die Visual Studio Evolution geht in die zweite Runde und ist quasi der deutsche Visual Studio 2013 Launch. Durch die nun schnelleren Release Zyklen wollen wir die Plattform näher am Markt entwickeln, Feedback der Community besser einfließen lassen können und die neuen Markttrends zeitnah zur Verfügung stellen. Die  Evolution ist diesem notwendigen Trend geschuldet und ist hierbei die ideale Plattform, sich an einem Tag kompakt zu informieren und auszutauschen.

image

Primär fokussiert die Evolution die .NET Community, die sich mit der Entwicklung von Desktop Applikationen, Apps, Services und Websites beschäftigt und erlaubt aber auch Einblicke in heterogene Szenarien und Trends, die durch Visual Studio immer besser unterstützt werden.

Die erste Keynote von Steve Fox, Director Modern Application Center, befasst sich mit Modern Apps auf der Windows Plattform. Ein Thema, das wohl die meisten interessierten Entwickler für sich auch auf der Agenda haben. Und wenn nicht, lohnt sich ein Blick über den Zaun.

Die .NET Keynote mit Immo Landwerth, PM im .NET Base Class Library Team & Andrew Pardoe, Senior PM .NET CLR Team, die so komplementär das .NET Spektrum perfekt abdecken können und die neuesten .NET Trends aus Redmond aufzeigen.

Nicht zu vergessen die Closing Keynote von Ben Lower aus dem Kinect Team, die ich definitiv als “Horizonterweiternd” einstufe, und nicht nur für Kinect Experten zu empfehlen ist.

Für eine Schutzgebühr von 29 Euro sollte die Evolution auch für interessierte Hobbyisten und Studenten interessant sein. Ein Blick auf die Agenda lohnt .

Wie sehr achten die Deutschen auf die Sicherheit?

22.09.2013 18:23:00 | Mathias Gronau

Die Deutschen gelten als korrekt, diszipliniert, pünktlich und haben für jeden Fall eine passende Regelung. Doch wie eine Studie von B2B International und Kaspersky Lab zeigt [1], stimmt dieses Bild beim Thema Sicherheit im Internet nicht immer.   So haben lediglich 43 Prozent der deutschen Anwender ihr Android-Smartphone mit einer Security-App bestückt. Dies ist umso bedenklicher, da Android keinerlei Benutzerverwaltung kennt und das Betriebssystem daher allen Angriffen schutzlos ausgesetzt ist Beim Thema Verschlüsselung sind die Deutschen zwar plattformübergreifend Europameister, dennoch setzen nur 27,8 Prozent der deutschen mobilen Nutzer Verschlüsselung ein. Europaweit nutzen lediglich 18,7 Prozent Verschlüsselung im mobilen Bereich.   An Hotspots sind die Deutschen eher zurückhaltend: Nur 38 Prozent der Laptop-User nutzen öffentliche WLAN-Netze. Hier ist Spanien mit 65 Prozent top. Gut hinsichtlich der Sicherheit ist, dass sich die Deutschen mit ihren Smartphones eher selten über Hotspots mit dem Internet verbinden. Nur 58 Prozent loggen sich an Hotspots mit dem Smartphone ein, während das im Vergleich 89 Prozent der Spanier tun. Leider unterscheidet die Studie an dieser Stelle nicht zwischen den unterschiedlichen Betriebssystemen. Da die verschiedenen Betriebssysteme sich in den Sicherheitslevels deutlich unterscheiden, sind diese Zahlen recht nutzlos.   Im Fall eines Smartphone- oder Tablet-Verlusts ergreifen die Deutschen schnell die Initiative. So versuchen 52 Prozent das Gerät zu orten – das ist der Spitzenwert in Europa. Außerdem löscht fast ein Viertel (23 Prozent) der Befragten die Daten auf dem Smartphone oder Tablet über eine Remoteverbindung, um Datendiebstahl zu vermeiden. Mit 21 Prozent aktivieren die Deutschen mit Vorliebe eingebaute Kameras, um Diebe zu entlarven. Diese sogenannte “Fahndungsfoto-Funktion” ist beispielsweise in Security-Apps wie Kaspersky Internet Security for Android enthalten. In Großbritannien, Frankreich und Italien tut das so gut wie kein Anwender.   Auch mit Passwörtern wissen die Deutschen der Umfrage zufolge umzugehen: Nur 3 Prozent nutzen ein und dasselbe Passwort für alle Online-Accounts, so sicherheitsbewusst sind nur noch die Briten. Mit 37 Prozent haben die Deutschen auch den höchsten Anteil an Usern, die für jeden Online-Account ein eigenes Passwort verwenden. Die Schattenseite: Viele deutsche Nutzer verwenden für ihre zahlreichen Passwörter eher unsichere Aufbewahrungsmethoden, etwa Passwort-Safes in Browsern oder sie werden einfach auf dem Smartphone gesichert.   Obwohl die Deutschen insgesamt beim Thema Sicherheit nicht schlecht dastehen, finden es 21 Prozent schwer, die unterschiedlichen Internet-Security-Lösungen auf ihren PCs, Smartphones oder Tablets zu verwalten. Moderne IT-Sicherheitslösungen wie Kaspersky Internet Security – Multi-Device bietet einfach zu handhabenden Premium-Schutz für PCs, Macs und Android-Geräte [3]. Damit können sich Anwender in flexiblen Kombinationen unabhängig von der genutzten Plattform schützen.   Für die Umfrage wurden im Auftrag von Kaspersky Lab im Juni 2013 weltweit insgesamt 8.605 Nutzer aus 19 unterschiedlichen Ländern befragt, darunter auch 397 aus Deutschland. Der globale Studienbericht ist auf Englisch unter http://media.kaspersky.com/pdf/Kaspersky_Lab_B2C_Summary_2013_final_EN.pdf abrufbar.    

“Ausprägungen des TDD” aka “Die Triangulations-Baby-Step-Holzkeule”

18.09.2013 22:46:22 | Hendrik Loesch

Ich gebe gern zu, dass ich mich am Anfang eher schwer mit TDD getan habe. Der Grund dafür war, dass die Lehren die ich aus Büchern und Dojos zog, so gar nicht in meinen Entwickleralltag passen wollten. Kleine Umsetzungsschritte die nicht selten durch sinnlos scheinende Zwischenaktionen geprägt waren, haben mich fast zur Weißglut getrieben. Wenn […]

Save the Date : Visual Studio ALM Days 2014

12.09.2013 19:49:24 | Christian Binder

Die Visual Studio ALM Days 2014 finden vom 24.-26. Februar 2014 im Van der Falk Hotel in Düsseldorf statt. Wir haben also den Veranstalltungsort gewechselt und 2013 ausgelassen. Auf den Visual Studio ALM Days 2014 werden wir wieder die neusten Trends in den Bereichen ALM und Development aufgreifen. Besonders freut mich, dass wieder Brian Harry - General Manager Team Foundation Server und Sam Guckenheimer - Product Owner of Microsoft Visual Studio product line aus der Microsoft Developer Division dabei sein werden. Brian und Sam sind maßgeblich an der Agilen Transformation der Developer Division beteiligt. Beide werden wieder über die aktuellen Trends im Microsoft Development berichten und stehen dann in der offenen Q&A wie auch 2012 für Fragen zur Verfügung. Der Call for Papers ist schon offen. Einreichungen über die Veranstalltungsseite unter www.alm-days.de oder direkt an mich.

Wer diesen Herbst eine Konferenz zum Thema ALM im Süddeutschen Raum sucht, dem sei die Teamconf zu empfehlen. Aufgrund einiger Nachfragen sei erwähnt, dass es sich hier aber nicht um die Folgeveranstalltung der Visual Studio ALM Days 2012 handelt.

MSRT September 2013 - Win32/Simda

10.09.2013 18:00:00 | Steffen Krause

 

This month’s Microsoft Malicious Software Removal Tool (MSRT) release includes one new malware family – the high-volume banking trojan Win32/Simda.
 
Simda is a multi-component malware family that includes trojan, backdoor, password-stealing, downloader and file-infector variants. It is very rare for a single malware family to possess all of these characteristics; Alureon and Sirefef are among the few families also in this category.

Simda was first seen in mid-2009 with samples detected as Backdoor:Win32/Simda.A. This variant allows a remote user to connect to an infected machine and perform various malicious actions, such as stealing user credentials and taking screen grabs.

At the same time, the backdoor component drops a malicious DLL that is injected into Windows processes to gather user information. The DLL is detected as PWS:Win32/Simda.A.

The backdoor variant can exploit the following vulnerabilities to gain elevated privileges to perform more restrictive behaviors, such as Windows process injection (such as into Winlogon.exe, Explorer.exe):

It may also gain admin privileges by trying to brute-force the administrator password with a dictionary attack. Once it gets access, it gathers user information such as user names and passwords, logs keystrokes, and takes screen grabs.

The backdoor connects to its command and control server to report infection and download a configuration file. Once connected, a remote attacker can collect the stolen information and run other commands.

Like other top threats, we’ve also seen Simda use exploit kits and social engineering as attack vectors. For instance, it can disguise itself as a Flash update or be delivered as a PDF or Java exploit.

Simda targets e-banking systems

Simda has recently evolved from a typical password stealer to a banker trojan targeting mostly Russian and European banks.

Our telemetry in Figure 1 shows Russia topped the chart of infected countries from January to August 2013.

It is followed by the United States, Brazil, Turkey, and Canada.

 

igure 1: Simda threat report

Figure 1: Simda threat report (January-August 2013)

Win32/Simda hooks several APIs from Windows DLLs and third-party libraries for various purposes, including keylogging and gathering a user’s sensitive information related to a number of e-banking systems, including:

  • AGAVA

  • ALPHA

  • BS-CLIENT

  • BSS/BSSS

  • CC

  • COLV

  • CRAIF

  • FAKTURA

  • IBANK

  • INIST

  • INTER-PRO

  • ISB

  • KBP

  • RAIFF

  • RFK

  • RSTYLE

  • SBER

  • VEFK

  • VTB24

A complete hooked API list is available in the Win32/Simda family description.

Traffic manipulation

As well as blocking access to some security websites, Win32/Simda is also known to inject its own malicious JavaScript into a webpage by replacing the reference to “google-analytics” with its own code.

It can also modify the search engine of a user’s browser to its own liking, for example to “findgala.com”.

Figure 2: Simda code replacing a browser’s search engine.

Figure 2: Simda code replacing a browser’s search engine.

Win32/Simda is a classic example of a complex malware threat. It has several components with specific behavior that, when working together, pose a significant threat to the security community and especially to individual computer users.

This malware family has been able to find ways to exist and operate for a long time. From a typical backdoor and password stealing malware to a complex botnet and banking trojan, it’s clear that Simda’s authors have shown they are attempting to adapt to changing security measures.

We’ve targeted it in the September release of MSRT to ensure our users are protected from this banking trojan.

Our Win32/Simda family description has more technical details about this threat.  

SHA-1s:

9d4a73ede108c6df628fa93c75a275671ab2ac6a 
970008499c9915bf2c693eb614b9f5ea501436e9
d92275455c9acbe5d3b58c06a45c1206c9cf97c3

Rex Plantado

MMPC

Die IFA 2013 – eine kleine Presseschau

09.09.2013 09:56:21 | Mathias Gronau

Die IFA hat sich in den letzten Jahren kräftig gewandelt. War sie in den ersten Jahren eine reine Radioausstellung, kamen später andere Haushaltsgeräte hinzu. In den letzten Jahren erweiterte sich das Themenspektrum mehr und mehr hin zu Mobiltelefonen und IT-Geräten für Consumer. Die IFA 2013 ist nun bereits zur Hälfte vorbei – Zeit für eine kurze Presseschau. Die taz sorgt sich vor allem um dem Datenschutz: “Auf die Schlagwörter Datenschutz, Internetsicherheit und Überwachung antwortet die junge Frau im Info-Häuschen der Internationalen Funkausstellung (IFA) verdutzt: „Einen Stand oder Vorträge? Ich suche mal eben auf Google.“ Denn in ihrem System findet sie leider gar nichts.” OK, IT-Sicherheit & Co. sind auf jeden Fall wichtige Themen, aber auf einer Gerätemesse ist das Thema wohl doch recht verfehlt. Aber die Redaktion der taz, deren Arbeit ich sonst sehr schätze, lieg bei IT-Themen ja grundsätzlich vollkommen daneben. Alles was nicht von Apple kommt, ist für die taz halt das Böse in Person. Die Computerwoche stellt das Ultra HD-Fernsehen in den Mittelpunkt: “Die großen Hersteller von TV-Geräten haben das Thema Ultra-HD zu einem zentralen Trend der IFA in Berlin erklärt. Neue große Fernseher sollen das Bild mit Hilfe der Technologie fast noch schärfer als die Wirklichkeit aussehen lassen. Die Gerätehersteller erhoffen sich großes Interesse bei den Zuschauern, denn zuletzt war das Geschäft um ein Viertel eingebrochen. Die neue Technologie soll es nun richten.” Erstaunlich finde ich die Suchergebnisse auf www.pcwelt.de. Die Suche nach “IFA” ergab keine Treffer, aber im PCWELT-Preisvergleich wurden immerhin drei Zeitschriften über den Nutzfahrzeugbau in der DDR angezeigt. Auch was schönes. Heise.de zeigt sich in seinem IFA-Spzial vom neuen Tablet PC von Panasonic beindruckt: “Wer braucht 4K-Auflösung auf dem Tablet und wer zahlt dafür 4500 Euro? Laut Panasonic “Kreative”. Im Rahmen der IFA hat der japanische Hersteller das 20-Tablet UT-MB5 mit einer Auflösung von 3840 × 2560 gezeigt. Es geisterte zwar schon länger als Ankündigung herum, in der Hand hatte es bislang aber kaum jemand. Nicht nur mit der Auflösung stellt Panasonic einen Rekord auf, auch der Preis von 4500 Euro dürfte ein Alleinstellungsmerkmal sein. Laut Hersteller soll sich das Gerät vor allem an professionelle Kreative richten – also beispielsweise Zeichner, Grafiker, Architekten und Ingenieure, die mit Bauplänen und CAD-Plänen zu tun haben.” Die Redakteure der Wirtschaftswoche zeigen sich von der Verbindung von Smartphone und HiFi beeindruckt: “Smartphone-Revolution hat den Hifi-Markt voll erfasst. Für immer mehr Verbraucher ist das Telefon zum zentralen Musik-Gerät geworden – nicht nur unterwegs, sondern auch zu Hause. Der Trend sorgt für einen Umbruch in der Heimelektronik: Lautsprecher, mit denen man Musik direkt vom Handy hören kann, sind auf dem Vormarsch. Damit öffnet sich auch die Tür für neue Anbieter, die das Geschäft der etablierten Platzhirsche aufmischen wollen.” Die FAZ stellt (sicherlich nicht unberechtigt) die Frage nach dem Sinn der vollkommenen Vernetzung: “Smart wird jetzt nicht nur (und wieder einmal) das Fernsehgerät mit Internetanbindung. Smart wird auch die Armbanduhr. Die diesjährige IFA verbindet alles mit allem. Aber nicht alles ist sinnvoll.” Die Hamburger Morgenpost staunt über die Vielseitigkeit der […]

Intel auf der IFA

06.09.2013 10:28:03 | Mathias Gronau

Auf der IFA darf selbstverständlich auch Intel nicht fehlen. Im Mittelpunkt von Intels Messauftritt auf der IFA 2013 (Halle 2.2, Stand 101) stehen die Geräte auf der Basis der vierten Generation der Intel Core Prozessoren, die nach Angaben des Unternehmens das ‚Personal Computing’ komplett neu definieren. Systeme mit der vierten Generation der Intel Core Prozessoren bieten bei 2 in 1 Modellen, Ultrabooks, Notebooks und Desktop PCs angenehm lange Akkulaufzeiten und eine kraftvolle Grafik. Intel zeigt auf der IFA über 110 außergewöhnliche Ultrabook™ und 2 in 1 Gerätedesigns verschiedener Hersteller in einem riesigen Showcase. Während der Intel IFA-Pressekonferenz erklärte Adam King, Director Notebook Product Marketing, Intel Corporation, die Vorzüge der vierten Generation der Intel Core Prozessoren, die die Leistungskraft eines PCs mit der Mobilität eines Tablets kombinieren und so die neue Kategorie der 2 in 1 Geräte antreiben. Christian Morales, Vice President, General Manager, EMEA, Intel Corporation, hob während der Keynote insbesondere das Wachstum im mobilen Segment heraus und verwies in diesem Zusammenhang auf Intels kommendes 22nm-Quad-Core-SoC (Codename “Bay Trail”). Auf der energieeffizienten und hochleistungsfähigen Silvermont-Mikroarchitektur basierend bietet diese kommende Generation der 22nm-Technik von Intel für Tablets, Notebooks, Einsteiger 2 in 1 und All-in-One-Geräte eine perfekte Kombination aus Leistung, Funktionen und Akkulaufzeit. Morales sagt, das kommende 22nm-Quad-Core-SoC wird die Grundlage für ausgesprochen schlanke Geräte sein, die mehr als acht Stunden. Akkulaufzeit und wochenlange Standby-Zeiten mitbringen. Unterstützt werden dabei sowohl Android als auch Windows 8.1. Die 22nm-Architektur von Silvermont bietet Top-Leistung und ermöglicht Intel-Plattformen ganz neue Funktionen und Fähigkeiten. Zudem ging Morales auf die innovative 4G-LTE-Multimode-Lösung Intel® XMM™ 7160 ein, eine der weltweit kleinsten und energieeffizientesten3 Multimode-LTE-Lösungen. Sie beherrscht auch das weltweite LTE-Roaming in nur einer Version des Produkts.   Darüber hinaus erläuterte Morales Intels Vorstellungen, wie das Unternehmen das Leben der Menschen verbessern kann, und erklärte, wie Entwickler und Mitarbeiter von Intel in enger Zusammenarbeit Produkte und Techniken entwickeln, die Leben und Arbeit erleichtern und optimieren.   2-in-1 Geräte auf Intel® Architektur Basis: Innovativ und wandelbar Intel erwartet rund 50 2 in1 Gerätedesigns im kommenden Jahr mit Intel Core Prozessoren der vierten Generation sowie der 22nm Silvermont Mikroarchitektur; über 20 Designs zeigt Intel auf der IFA. Wie Adam King während der Pressekonferenz erklärte, erfüllt Intel mit der vierten Generation der Intel Core Prozessoren die zwei Jahre zuvor geschilderte Vision, das Personal Computing neu zu definieren. Diese mündete industrieweit in einer signifikanten Weiterentwicklung von dünnen, leichten, energieeffizienten und Touch-fähigen Geräten. Die vierte Generation der Intel Core Prozessoren wurden von Grund auf mit Blick auf flache Ultrabook-Modelle und das neue Zeitalter des 2 in 1 Computings entworfen.   Lange Akkulaufzeit und hervorragende Grafik Eine der essentiellsten Neuerungen der Ultrabook und 2 in 1 Modelle auf Basis der Intel Core Prozessoren der vierten Generation ist die ausgesprochen lange Akkulaufzeit. Einige der während der IFA angekündigten Geräte bieten eine Akkulaufzeit von mehr als neun Stunden. Die Laufzeit ist im Vergleich zur Vorgängergeneration bei aktiver Arbeitslast um 50 Prozent höher – dies ist der größte generationenübergreifende Zuwachs in der Geschichte des Unternehmens. Die integrierte Intel® Iris™ Grafik […]

jqGrid und "unrecognized expression # tbody:first"

05.09.2013 07:29:00 | Martin Hey

In einem Projekt habe ich das jQuery-Plugin jqGrid eingesetzt, um Daten tabellarisch darzustellen. Allerdings überraschte mich das jqGrid beim Versuch, die Zeilen nach einer Spalte zu sortieren damit, dass sämtliche per JavaScript hinzugefügten Zeilen wieder entfernt wurden und sich ansonsten nicht viel tat.

Ein kurzer Blick in die Konsole zeigte, dass bei der Aktion ein Fehler geworfen wurde: unrecognized expression # tbody:first irgendwo in den Tiefen von jQuery.

Dass jQuery selbst mit hoher Wahrscheinlichkeit nicht das Problem sein kann, zeigt die Erfahrung.

Problem ist folgendes: Da ich mehrere dieser Grids auf einer Seite verwende udn diese auch noch dynamisch erzeugt werden, habe ich darauf verzichtet, meinen zugrunde liegenden Table-Elementen eine Id zu verpassen. Das Plugin aber benötigt sowohl für die Tabelle selbst als auch für die Zeilen jeweils Ids. Häufig kann man im Plugin-JavaScript Aktionen wie diese hier finden:

$("#"+$.jgrid.jqID(ts.p.id)+" tbody:first")

für den Zugriff auf die Tabelle und

$("#"+$.jgrid.jqID(t.p.id)+" tbody:first tr#"+$.jgrid.jqID(sr))

für den Zugriff auf gewisse Zeilen.

Lösung ist also, sich für jede Tabelle eine nach Möglichkeit eindeutige Id auszudenken und diese dann zu setzen.

jqGrid und "unrecognized expression # tbody:first"

05.09.2013 07:29:00 | Martin Hey

In einem Projekt habe ich das jQuery-Plugin jqGrid eingesetzt, um Daten tabellarisch darzustellen. Allerdings überraschte mich das jqGrid beim Versuch, die Zeilen nach einer Spalte zu sortieren damit, dass sämtliche per JavaScript hinzugefügten Zeilen wieder entfernt wurden und sich ansonsten nicht viel tat.

Ein kurzer Blick in die Konsole zeigte, dass bei der Aktion ein Fehler geworfen wurde: unrecognized expression # tbody:first irgendwo in den Tiefen von jQuery.

Dass jQuery selbst mit hoher Wahrscheinlichkeit nicht das Problem sein kann, zeigt die Erfahrung.

Problem ist folgendes: Da ich mehrere dieser Grids auf einer Seite verwende udn diese auch noch dynamisch erzeugt werden, habe ich darauf verzichtet, meinen zugrunde liegenden Table-Elementen eine Id zu verpassen. Das Plugin aber benötigt sowohl für die Tabelle selbst als auch für die Zeilen jeweils Ids. Häufig kann man im Plugin-JavaScript Aktionen wie diese hier finden:

$("#"+$.jgrid.jqID(ts.p.id)+" tbody:first")

für den Zugriff auf die Tabelle und

$("#"+$.jgrid.jqID(t.p.id)+" tbody:first tr#"+$.jgrid.jqID(sr))

für den Zugriff auf gewisse Zeilen.

Lösung ist also, sich für jede Tabelle eine nach Möglichkeit eindeutige Id auszudenken und diese dann zu setzen.

Wie eine Pressekonferenz (nicht) aussehen soll

04.09.2013 21:22:13 | Mathias Gronau

Heute war ich auf der IFA-Pressekonferenz von Sony. Ich muss sagen, dass ich von diesem Termin ziemlich enttäuscht war. Nein, nicht von den vorgestellten Produktneuheiten. Die waren durch die Bank wirklich innovativ. Auch nicht von den Speakern – Sony hatte wirklich hochkarätige Sprecher aufgefahren. Aber die Präsentation… Gefühlte zwei Dutzend Produkte wurden nacheinander vorgestellt. Nicht nur ich hatte einige Probleme, bis zum Ende aufmerksam zu bleiben. Dabei hätte Sony eigentlich eine gute Vorlage gehabt, die Pressekonferenz unterhaltsam zu gestalten, ohne dass dabei der Informationsgehalt verloren gegangen wäre. Auf der IFA 1963, also (fast) auf den Tag genau vor einem halben Jahrhundert, hat Sony ein Produkt vorgestellt, das das Leben von mindestens zwei Generationen verändert hat – den ersten Kassettenrecorder. Der Klang war nach heutigen Ansprüchen reichlich blechern und mit einer unverbindlichen Preisempfehlung von DM 299,00 war das Gerät auch nicht unbedingt billig. Aber für damals war der Klang vollkommen in Ordnung. Wenn ich mich an meinen Plattenspieler denke, den ich zu dieser Zeit hatte… Aus diesem Jubiläum hätte Sony wirklich etwas machen können. Wie klang Musik mit Sony vor 50 Jahren und wie klingt sie heute? Was gab es vor einem halben Jahrhundert für umgerechnet gut 150 Euro von Sony und was gibt es heute für den Preis? Oder noch besser: 300 DM war 1963 fast die Hälfte des monatlichen Durchschnittseinkommens in Deutschland (Quelle: Wikipedia). Was bietet Sony heute für ein halbes Monatseinkommen? Na ja, und so weiter. Auf diese Weise hätte Sony in der gleichen Zeit dieselbe Menge Informationen besser unter die Leute bringen können. Seriosität und Unterhaltung schließen sich schließlich einander nicht aus,

Stromreserve für unterwegs von Sony

04.09.2013 19:59:19 | Mathias Gronau

Sicher kennen Sie das auch: Der Akku des Smartphones ist (fast) leer und es ist keine Steckdose in der Nähe. Oder es geht Ihnen so wie mir heute: ich bin in Berlin auf der IFA und in der letzten Nacht ist mir das Netzteil abgeraucht. In einem solchen Fall hilft nur eines: eine Energiereserve zum Mitnehmen. Ich weiß, es gibt solche Geräte bereits von einigen Zubehörherstellern, aber das neue tragbare Ladegerät CP-V3 von Sony ist das erste Gerät von einem Markenhersteller. Es versorgt Smartphones und Tablets dank einer hohen Ausgangsleistung von 1,5 A laut Hersteller besonders schnell mit neuer Energie. Nutzer, die viel unterwegs sind, haben so immer eine zusätzliche Smartphone-Ladungsreserve im Gepäck. Das Gerät ist passend zum individuellen Stil in den Farbvarianten Weiß, Pastellblau und Purpur verfügbar. OK, mir persönlich wäre schwarz lieber, aber in diesem Fall kommt es ja nun wirklich nicht auf die Schönheit an. Wie Sie bereits auf dem Foto sehen können, ist das mobile Ladegerät Im Vergleich zu ähnlichen Produkten von Drittherstellern erheblich kleiner. Mit dem tragbaren Ladegerät CP-V3 haben Sie immer das nötige Back-up in der Tasche, um ihr Gerät leicht und schnell aufzuladen – ob Android, iPhone/iPad, Windows Phone/Windows Tablet oder Blackberry®. Wenn der Akku des Smartphones unterwegs zu Neige geht, sorgt das CP-V3 dafür, dass das Gerät schnell wieder Strom hat und Sie Telefonate führen, E-Mails und SMS schreiben oder das Internet nutzen können. Das ist gerade auf Reisen oder auch bei Notfällen im Alltag besonders nützlich. Das tragbare Ladegerät CP-V3 hat eine Kapazität von 2800 mAh und ist nach dem Auspacken sofort einsatzbereit. Mit seiner hohen Ausgangsleistung von 1,5 A kann es Smartphones und Tablets unterwegs besonders schnell aufladen. Und dank der von Sony entwickelten Lithium-Ionen-Polymer-Technologie verfügt das CP-V3 selbst nach 1.000 Ladevorgängen noch über 90 Prozent seiner ursprünglichen Kapazität.Das tragbare Ladegerät CP-V3 hat ein leichtes, extrem kompaktes Design: Es bringt nicht mehr als 84 g auf die Waage und ist nur 19 mm tief (38,8 mm x 99 mm x 19 mm). Stilbewusste Smartphone-Besitzer werden sich zudem darüber freuen, dass sie zwischen drei Farben wählen können: klassisches Weiß, Pastellblau und Purpur – ganz nach persönlicher Vorliebe.Das tragbare Ladegerät CP-V3 wird mit einem Micro-USB-Kabel geliefert, über das die meisten Mobilgeräte aufgeladen werden können. Fehlende Steckdosen stellen somit kein Problem mehr dar, denn das CP-V3 hat immer eine Extraladung bereit. Und es lässt sich auch selbst schnell und mühelos wieder mit Energie versorgen: entweder über den USB-Anschluss am Notebook oder Computer oder über ein Netzteil mit USB-Port (ein USB/AC-Adapter ist separat erhältlich). Die Unverbindliche Preisempfehlung des Ladegeräts CP-V3 von Sony beträgt 29,99 Euro. Es ist ab September 2013 im Handel verfügbar.

Microsoft-Technologien auf der IFA

04.09.2013 15:01:30 | Mathias Gronau

Traditionell hat Microsoft keinen eigenen Stand auf der IFA. Trotzdem ist das Unternehmen auch auf dieser Messe präsent – über sein Partner-Ökosystem. Auf den Ständen der Partner wird die neue Generation von Geräten auf Basis von Windows 8.1 das dominierende Thema sein. Mehr als 25 neue Geräte mit unterschiedlichen Formfaktoren werden in den kommenden Tagen vorgestellt und sollen pünktlich zum Weihnachtsgeschäft ausgeliefertwerden. Vom kompakten Tablet über ultraleichte Notebooks bis zu echten Business-Geräten für den professionellen Einsatz im Unternehmen, auf der IFA 2013 erwarten Messe-Besucher den größten Windows 8.1 Hardware-Aufschlag.Windows 8.1 ist die konsequente Weiterentwicklung von Windows 8. Es wird weltweit am 18. Oktober 2013 ausgeliefert und steht dann Windows 8 Nutzern als kostenloses Update über den Windows Store zur Verfügung. Neue Features von Windows 8.1 bieten Nutzern grenzenlose Personalisierungsmöglichkeiten, erweiterte Touch-Optimierung und neue Suchfunktionen. Darüber hinaus ist der Internet Explorer 11 Teil des Updates. Bereits am 27. August haben die Hardwarehersteller die finale Version von Windows 8.1 erhalten und können somit auf der IFA die neue Hardware-Generation mit dem Update präsentieren.Auf dem Stand der Deutschen Telekom in Halle 6.2 zeigt Microsoft, wie Windows 8.1 und Windows Phone 8 geräteübergreifend – egal ob Smartphone, Tablet oder PC – ein neues Nutzererlebnis schaffen. Vernetzte Szenarien mit Microsoft Surface und den Nokia Lumia Windows Phone Geräten bieten Messe-Besuchern ein durchgängiges Entertainment- und Computing-Erlebnis. Darüber hinaus präsentiert Microsoft gemeinsam mit Nokia auf dem Vodafone Stand in Halle 18/101 die neuesten Lumia-Geräte. Darunter unter anderem das Lumia 520 und die Flaggschiff-Geräte Lumia 925 und Lumia 1020, die mit ihrer herausragenden Fotoqualität Smartphone-Technologie und Fotografie intelligent und innovativ miteinander verbinden.

Edward Snowden erhält Whistleblower-Preis 2013

02.09.2013 18:09:16 | Mathias Gronau

Der diesjährige Whistleblowerpreis geht an den US-Amerikaner Edward J. Snowden. Er hat als Insider die massenhafte und verdachtsunabhängige Ausforschung und Speicherung von Kommunikationsdaten durch westliche Geheimdienste öffentlich gemacht. Mit dem Whistleblowerpreis werden Personen ausgezeichnet, die im öffentlichen Interesse schwerwiegende Missstände und gefährliche Entwicklungen für Mensch und Gesellschaft, Demokratie, Frieden und Umwelt aufdecken. Der Whistleblowerpreis wird seit 1999 alle zwei Jahre von der Vereinigung Deutscher Wissenschaftler (VDW e.V.) und der deutschen Sektion von IALANA International Association of Lawyers Against Nuclear Arms verliehen. Das Preisgeld beträgt 3.000 Euro. Zu den bisherigen Preisträgern gehören Rainer Moormann  (2011: Risiken des Kugelhaufenreaktors), Rudolf Schmenger/Frank Wehrheim (2009: Frankfurter Steuerfahnder) und Brigitte Heinisch (2007: Berliner Altenpflegerin). Erstmalig beteiligt sich in diesem Jahr die Antikorruptionsorganisation Transparency International Deutschland e.V. an der Preisverleihung. Die Enthüllungen von Edward J. Snowden machen es nach Ansicht der Jury möglich und unausweichlich, die Fakten- und Beweislage intensiv zu klären und auf gesicherter Tatsachengrundlage dann zu prüfen, ob und in welcher Hinsicht das durch Snowden aufgedeckte Vorgehen in- und ausländischer geheimdienstlicher Stellen geltendes Recht verletzt hat. In Deutschland sind nach jetzigem Kenntnisstand insbesondere der Art. 10 GG als Grundrecht auf Abwehr hoheitlicher Eingriffe und staatlichen Schutz verletzt sowie das G10-Gesetz (Anspruch auf Einhaltung der dort normierten Eingriffsvoraussetzungen). Edward Snowden hat mit der Weitergabe der Informationen trotz Kenntnis der aktuellen strafrechtlichen Verfolgung von Whistleblowern im Sicherheitsbereich schwerwiegende Nachteile für sich persönlich in Kauf genommen. Hartmut Grassl von der Vereinigung Deutscher Wissenschaftler: “Eine offene Gesellschaft braucht Zivilcourage und mutige Menschen wie Edward Snowden, damit Missstände aufgedeckt und unterbunden werden.” Otto Jäckel, Vorsitzender der Deutschen Sektion von IALANA: “Wer könnte berufener sein, dem bedrängten US-Bürger Asyl vor staatlicher politischer Verfolgung durch sein Heimatland, zumindest einen sicheren Aufenthaltsort anzubieten als Deutschland, das von den NSA-Ausspähaktionen offenbar besonders betroffen ist! Aber auch die EU insgesamt ist gefordert. Edward Snowden hat mit seinem Whistleblowing Deutschland und den anderen EU-Mitgliedsstaaten einen großen Dienst erwiesen. Deshalb sollten wir darum wetteifern, ihn aufzunehmen: Aus Überzeugung, aber auch aus Dankbarkeit.” Edda Müller, Vorsitzende von Transparency Deutschland: “Wir sind es Edward Snowden schuldig, dass seine mutigen Taten Konsequenzen haben. Die internationalen Verträge, welche die Souveränität Deutschlands einschränken, müssen geändert werden. Großbritannien als Mitgliedstaat der Europäischen Union muss in Brüssel sehr klar darlegen, wie es zu den Grundrechten der EU-Bürger steht. Darüber hinaus brauchen wir in Deutschland endlich ausreichenden Whistleblowerschutz durch entsprechende rechtliche Regelungen.”

Regeln | Impressum