SICHER o INFORMIERT vom 17.09.2009

SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 17.09.2009

-----------------------------------------------------------------------

Guten Tag,
Tauschboersen erfreuen sich zunehmender Beliebtheit. Anwender sollten
jedoch Vorsicht walten lassen, wenn sie Dateien aus einem solchen
Netzwerk herunterladen. Denn Kriminelle nutzen Tauschboersen vermehrt
zur Verbreitung von Schadcode. Besonders viel Schadcode sollen sich nach
Angaben des IT-Sicherheitsunternehmens G Data in Software-Raubkopien,
Kartenmaterial fuer Navigationsgeraete, Klingeltoenen, Videos und
Musikmitschnitten befinden. Von moeglichen Infektionen mit
Schadprogrammen abgesehen, drohen Nutzern ausserdem rechtliche
Konsequenzen, wenn etwa beim Up- oder Downloaden von Inhalten
Urheberrechte verletzt werden. Mehr Infos zum Thema Tauschboersen gibt
es auf der BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_136/ContentBSIFB/Aktuelles/Brennpunkt/tauschboersen.html].
Weitere aktuelle Meldungen rund um die Sicherheit im Internet finden
Sie wie immer in unserem BSI-Newsletter. Spannende Lektuere und sichere
Stunden im globalen Netz wuenscht Ihnen
Ihr BUERGER-CERT-Team

-----------------------------------------------------------------------

Die Themen dieses Newsletters:

1. Kostenpflichtig statt kostenfrei: Immer mehr Abzock-Webseiten im
Netz
2. Selbst gemacht: Falscher Virenscanner erstellt vermeintliche Schaddateien
3. Pinguin-Bot: Piratennetzwerk aus Linux-Servern aufgebaut
4. Abgehoert: Schadprogramm zeichnet VoIP-Gespraeche auf
5. Doppelt schaedlich: Schadsoftware massiv ueber Tauschboersen verbreitet
6. Teure Umfrage: Wahlplattform zockt Buerger ab
7. Unbefugter Nutzer: Wurm verbreitet sich ueber Luecke in Blog-Software
8. Schnell updaten!: Microsoft schliesst acht Sicherheitsluecken
9. Besserer Start: Microsoft optimiert USB-Autostart
10. Neues vom Fuchs: Mozilla aktualisiert Firefox
11. Manipulierte Filme: Apple beseitigt kritische Luecken in QuickTime
12. Wieder aktuell: Apple gibt iPhone OS 3.1 heraus
13. Rundumschlag: Updates fuer Mac OS X erschienen
14. Apfel-Update: Java-Update fuer Mac OS X veroeffentlicht
15. Nachzuegler: Sicherheitsluecke in SeaMonkey beseitigt
16. Nachholbedarf: Nur jeder Zweite weiss um Gefahren in Social Networks

-----------------------------------------------------------------------

1. STOERENFRIEDE: Immer mehr Abzock-Webseiten im Netz

Kostenpflichtig statt kostenfrei
Das Buerger-CERT warnt vor der zunehmenden Zahl betruegerischer
Internetauftritte. Immer haeufiger versuchen Betreiber fragwuerdiger
Webseiten, Anwender in die Abo-Falle zu locken. Dazu werden eigentlich
kostenlos verfuegbare Computeranwendungen verschiedener Hersteller wie
etwa Web-Browser, Antivirenprogramme oder Grafiksoftware zum
kostenpflichtigen Download angeboten. Vor dem Download wird man gebeten,
zur Registrierung seine persoenlichen Daten wie Name, Adresse und
Geburtsdatum anzugeben. Dass der Besucher mit der Eingabe seiner Daten
ein kostenpflichtiges Abo abschliesst, ist - wenn ueberhaupt - nur im
Kleingedruckten der Seite zu lesen. Das Buerger-CERT raet Anwendern
dazu, Software generell nur ueber die Original-Herstellerseiten
herunterzuladen. Ist man Opfer eines Abo-Betrugs geworden, wendet man
sich am besten umgehend an die naechste Verbraucherzentrale. Mehr Infos
zum Thema Kostenfallen sind auf der BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_134/sid_B7DF23BD4FE48B55FF4322B71178D4A9/BSIFB/DE/ITSicherheit/AbzockerUndSpione/Kostenfallen/kostenfallen_node.html]
zusammengestellt.

2. STOERENFRIEDE: Falscher Virenscanner erstellt vermeintliche Schaddateien

Selbst gemacht
Dass Kriminelle versuchen, sich mithilfe gefaelschter Antivirensoftware
zu bereichern, ist nichts Neues. Sie denken sich jedoch immer neue Wege
aus, um ihre unnuetzen Produkte noch glaubwuerdiger erscheinen zu
lassen.
Ueber eine neue Masche von Internetkriminellen berichtet das
IT-Sicherheitsunternehmen Sophos [http://www.sophos.de]. Betrueger
setzen falsche Antivirenprogramme ein, die selbststaendig vermeintliche
Schaddateien auf dem Rechner des Opfers ablegen. Das angebliche
Antivirenprogramm erstellt waehrend seines vermeintlichen "Scans"
eigenhaendig Dateien, die verdaechtige Endungen wie .dll oder .bat im
Dateinamen tragen. Diese Dateitypen werden haeufig verwendet, um
Schadsoftware zu transportieren. Ist der Scan beendet, werden die gerade
angelegten Dateien vom betruegerischen Antivirenprogramm als
virenverseucht gemeldet. Anscheinend sollen damit mehr Nutzer ueberzeugt
werden, die - unnuetze - Vollversion des Programms zu kaufen. Bei den
erstellten Dateien handelt es sich um harmlose Dokumente, die vom Nutzer
einfach geloescht werden koennen. Mehr Infos zum Thema falsche
Antivirensoftware gibt es auf der BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_155/ContentBSIFB/ITSicherheit/AbzockerUndSpione/abzockeruspione.html].

3. STOERENFRIEDE: Piratennetzwerk aus Linux-Servern aufgebaut

Pinguin-Bot
Kriminelle gehen bei der Erstellung von Botnetze offensichtlich neue
Wege: Wie zahlreiche Quellen unter Berufung auf ein Blog des russischen
Internet-Spezialisten Denis Sinegubko
[http://blog.unmaskparasites.com/2009/09/11/dynamic-dns-and-botnet-of-zombie-web-servers/]
berichten, werden gekaperte Linux-Server dazu benutzt, Windows-Rechner
mit Schadprogrammen zu infizieren. Betroffene haben es schwer, zu
erkennen, ob sie bereits Teil des Botnetzes sind: Die Systeme zeigen
keine Auffaelligkeiten. Der einzige Hinweis besteht darin, dass auf dem
gekapperten Rechner der Webserver nginx auf Port 8080 auf Anfragen
lauscht.

4. STOERENFRIEDE: Schadprogramm zeichnet VoIP-Gespraeche auf

Abgehoert
Das IT-Sicherheitsunternehmen Symantec [http://www.symantec.de]
berichtet von einem neuartigen Trojanischen Pferd, das in der Lage ist,
Voice over IP-Gespraeche aufzuzeichnen. Das Schadprogramm klinkt sich in
Audiostreams ein, speichert diese als MP3-Dateien und leitet sie im
Anschluss an seine Programmierer weiter. Nach Aussage der Experten
wurden bislang keine konkreten Angriffe mit dem Schadprogramm
festgestellt, diese seien aber theoretisch moeglich. Anwendern wird
geraten, die Antivirensoftware sowie alle genutzte Software stets auf
dem aktuellen Stand zu halten und die Firewall zu aktivieren. Mehr Infos
zu Trojanischen Pferden stehen auf der BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_134/BSIFB/DE/ITSicherheit/VirenUndAndereTiere/TrojanischePferde/trojanischepferde_node.html] bereit.

5. STOERENFRIEDE: Schadsoftware massiv ueber Tauschboersen verbreitet

Doppelt schaedlich
Kriminelle nutzen derzeit vermehrt Peer-to-Peer-Tauschboersen, um
Schadsoftware zu verbreiten. Dies meldet das IT-Sicherheitsunternehmen
G-Data [http://www.gdata.de]. Der Anteil infizierter Dateien auf den
Tauschplattformen hat sich demnach fast verdreifacht. Mit einem Anteil
von ueber 90 Prozent liegt die Tauschboerse Torrentreactor, bei der
Verteilung von Schaddateien weit vorne. Besonders viel Schadcode soll
sich in Software-Raubkopien, Kartenmaterial fuer Navigationsgeraete,
Klingeltoenen, Videos und Musikmitschnitten befinden. Nutzer sollten
beim Up- und Download von Dateien aus derartigen Netzwerken besonders
vorsichtig sein, da sie ihren Rechner nicht nur mit Schadsoftware
infizieren, sondern auch Urheberrechte verletzen koennen - wenn sie etwa
Raubkopien herunterladen oder anderen zur Verfuegung stellen. Mehr Infos
zum Thema Tauschboersen gibt es auf der BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/cln_136/ContentBSIFB/Aktuelles/Brennpunkt/tauschboersen.html].

6. STOERENFRIEDE: Wahlplattform zockt Buerger ab

Teure Umfrage
Der Wahlkampf fuer die bevorstehende Bundestagswahl wird von
Internetbetruegern dazu missbraucht, politisch Interessierte abzuzocken.
Dabei kopieren sie jene Webdienste, ueber die man Parteiprogramme auf
Uebereinstimmungen mit den eigenen Vorstellungen vergleichen kann.
Serioese Online-Portale wie Wahl-O-Mat bieten diese Leistung kostenfrei
an. Gar nicht ehrenwert sind allerdings die Ziele von Trittbrettfahrern,
die gegen teures Geld dieselbe Leistung erbringen. Die Webplattform
Computerbetrug.de [http://www.computerbetrug.de] warnt etwa vor dem
Portal wahlinfo2009.de, das Nutzern zwischen den zu beantwortenden
Fragen ein Anmeldeformular unterjubelt. Wer dieses leichtfertig
ausfuellt, vielleicht weil er die Plattform mit Wahl-O-Mat verwechselt,
ist rasch 60 Euro los. Das Buerger-CERT empfiehlt generell,
Anmeldeformulare und aehnliche Erklaerungen genau zu lesen und im
Zweifelsfall nicht auszufuellen.

7. STOERENFRIEDE: Wurm verbreitet sich ueber Luecke in Blog-Software

Unbefugter Nutzer
Wie die IT-News-Seite ZDNet [http://www.zdnet.de] meldet, kursiert
derzeit ein Wurm im Netz, der Schadsoftware ueber WordPress-Blogs
verbreitet. WordPress ist eine freie Software, mit der sich eigene
Weblogs erstellen und verwalten lassen. Der Wurm legt zunaechst einen
neuen Nutzer mit Administratorrechten an. Anschliessend nutzt er eine
Schwachstelle in aelteren Versionen von WordPress, um Blogeintraege mit
Schadcode zu versehen. Dazu nutzt er die so genannten Permalinks, d.h.
innerhalb des Blogs verwendete Links, die auf andere Beitraege
verweisen. Blogger, die WordPress nutzen, sollten die Software umgehend
auf die Version 2.8.4 aktualisieren. Sie steht auf der WordPress-Seite
[http://wordpress-deutschland.org/] zur Installation bereit. Besucher
von Blogs sollten beim Anklicken von internen Blog-Links vorsichtig sein
und ihre Antivirensoftware stets auf dem aktuellen Stand halten.

8. SCHUTZMASSNAHMEN: Microsoft schliesst acht Sicherheitsluecken

Schnell updaten!
Microsoft hat mit fuenf Sicherheitsupdates insgesamt acht
Schwachstellen in Windows geschlossen. Betroffen sind unter anderem der
Internet Explorer und die Programmbibliotheken fuer das
Windows-Media-Format WMF. Die Sicherheitsluecken konnten bislang
mithilfe von manipulierten Webseiten, Dokumenten, bestimmten
Mediendateien und E-Mails dazu genutzt werden, um Schadsoftware auf
fremden Rechnern zu starten oder die jeweilige Anwendung zum Absturz zu
bringen. Anwender sollten die Updates wie immer umgehend einspielen.
Dies kann ueber die automatische Update-Funktion oder einen Besuch der
Windows-Update-Seite [http://update.microsoft.com/microsoftupdate/]
geschehen.

9. SCHUTZMASSNAHMEN: Microsoft optimiert USB-Autostart

Besserer Start
Beim Anschluss externer Geraete ueber USB-Verbindungen besteht generell
die Gefahr, sich mit Schadsoftware zu infizieren. Dieses Risiko daemmt
Microsoft fuer seine Betriebssysteme XP und Vista nun ein. Durch eine
Modifikation der Vorgaenge beim Autostart wird eine Infektion mit
Wuermern ueber USB-Geraete weitgehend verhindert. Die entsprechenden
Updates stehen auf der Webseite von Microsoft
[http://support.microsoft.com/kb/971029] unter der Kennung KB971029 zum
Download bereit. In der neuen Version Windows 7 war dieses Feature schon
von Anfang an enthalten.

10. SCHUTZMASSNAHMEN: Mozilla aktualisiert Firefox

Neues vom Fuchs
Mozilla hat die Firefox-Versionen 3.0.14 und 3.5.3 veroeffentlicht. In
den aktualisierten Fassungen wurden verschiedene Sicherheitsluecken
beseitigt. Die Schwachstellen ermoeglichten Angreifern bislang,
beliebigen Schadcode einzuschleusen - zum Beispiel ueber eine
praeparierte Webseite. Eine neue Funktion hat die aktuelle
Firefox-Version auch zu bieten: Sie warnt den Nutzer beim Start, wenn
auf dessen Rechner eine veraltete Flash-Version installiert ist. Eine
kuerzlich veroeffentliche Studie hat gezeigt, dass rund 80 Prozent der
Anwender unsichere Flash-Versionen nutzen. Anwender sollten die neue
Firefox-Version 3.0.14 bzw. 3.5.3 umgehend einspielen. Sie stehen auf
der Mozilla-Seite [http://www.mozilla-europe.org/de] zur Installation
bereit oder koennen ueber das automatische Update bezogen werden.

11. SCHUTZMASSNAHMEN: Apple beseitigt kritische Luecken in QuickTime

Manipulierte Filme
Apple hat ein Update fuer seinen Medienspieler QuickTime herausgegeben,
das vier kritische Sicherheitsluecken schliesst. Diese ermoeglichten
Angreifern bislang, ueber praeparierte MPEG-4-, H.264- oder
FlixPix-Filmdateien Schadcode auf ein Opfersystem zu schleusen. Anwender
sollten die aktualisierte QuickTime-Version 7.6.4 fuer
Mac OS X v10.4.11, Mac OS X v10.5.8, Windows 7, Vista und XP SP3
schnellstmoeglich ueber die Apple-Download-Seite
[http://support.apple.com/downloads/] einspielen.

12. SCHUTZMASSNAHMEN: Apple gibt iPhone OS 3.1 heraus

Wieder aktuell
Apple hat iPhone OS 3.1 und iPhone OS 3.1.1 fuer seine
iPod-touch-Produkte veroeffentlicht. In den aktuellen Versionen wurden
einige Sicherheitsluecken beseitigt, ueber die Kriminelle mithilfe von
praeparierten Webseiten Schadcode auf die Geraete schleusen konnten.
Anwender sollten die aktualisierte Fassung umgehend herunterladen. Sie
steht auf der Apple-Seite
[http://www.apple.com/de/iphone/softwareupdate/] zur Installation
bereit.

13. SCHUTZMASSNAHMEN: Updates fuer Mac OS X erschienen

Rundumschlag
Fuer das erst kuerzlich erschienene Mac OS X 10.6 (Snow Leopard) wurde
von Apple nun bereits ein Update veroeffentlicht. Die erste Version
wurde mit einem verwundbaren Adobe-Flash-Modul ausgeliefert - die neue
Fassung 10.6.1 enthaelt jetzt eine Flash-Version, die auf dem aktuellen
Stand ist. Auch einige nicht sicherheitsrelevante Probleme wurden darin
beseitigt. Ausserdem hat Apple das Security Update 2009-005 fuer Mac OS
X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8 und Mac OS X
Server v10.5.8 bereit gestellt. Hier wurden insgesamt 33 Schwachstellen
behoben, ueber die sich zum Teil Schadsoftware einschleusen liess. Die
Updates sollten von Nutzern zuegig installiert werden. Sie sind ueber
die Apple-Download-Seite [http://support.apple.com/downloads/] zu
beziehen.

14. SCHUTZMASSNAHMEN: Java-Update fuer Mac OS X veroeffentlicht

Apfel-Update
Apple schliesst mit dem Java-Update 5 fuer Mac OS X 10.5 verschiedene
Sicherheitsluecken. Die Schwachstellen ermoeglichten Angreifern, ueber
den Browser Schadsoftware auf fremde Rechner zu schleusen. Anwender
sollten das Update-Paket umgehend einspielen. Dies kann ueber die
integrierte Aktualisierungsfunktion in OS X geschehen oder ueber den
direkten Download von der Apple-Webseite
[http://www.apple.com/downloads/macosx/apple/application_updates/javaformacosx105update5.html].

15. SCHUTZMASSNAHMEN: Sicherheitsluecke in SeaMonkey beseitigt

Nachzuegler
Nach Firefox und Thunderbird wird nun auch die Internet-Suite SeaMonkey
auf den aktuellen Stand gebracht. Eine Schwachstelle ermoeglichte
Angreifern bislang, SSL-Zertifikate zu manipulieren. Anwender sollten
die aktualisierte SeaMonkey-Fassung 1.1.18 schnellstmoeglich einspielen.
Sie steht auf der Projektseite [http://www.seamonkey-project.org/] zum
Download bereit.

16. PRISMA: Nur jeder Zweite weiss um Gefahren in Social Networks

Nachholbedarf
Die IT-Seite ZDNet-News berichtet von einer Umfrage des IT-Unternehmens
PC-Tools [http://www.pctools.com], in der 4.500 Computernutzer zum Thema
IT-Sicherheit befragt wurden. Demnach wissen nur etwa 50 Prozent der
Deutschen, dass sich ihre Rechner in sozialen Netzwerken mit
Schadsoftware infizieren koennen. 88 Prozent der Befragten vermuten,
dass E-Mails nach wie vor die groesste Schadsoftware-Quelle ist. Im
internationalen Vergleich schneiden die Deutschen jedoch beim Thema
Computersicherheit recht gut ab: So benutzen nur 16 Prozent der
Deutschen fuer alle Webseiten stets das gleiche Passwort, waehrend dies
35 Prozent der Briten und sogar 56 Prozent der Franzosen tun. In
Deutschland fuehren ausserdem nur rund fuenf Prozent der Befragten nie
Updates fuer ihre Sicherheitssoftware durch. In Frankreich sind es
dagegen sieben Prozent, in Grossbritannien etwa 33 Prozent.

-----------------------------------------------------------------------

Dieser Newsletter ist ein kostenloses Service-Angebot des Buerger-CERT.
Er erscheint im Abstand von 14 Tagen. Die Informationen werden vom
Bundesamt fuer Sicherheit in der Informationstechnik,
http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und
aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die
Vollstaendigkeit und Richtigkeit nicht uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den
Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de .