SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 01.10.2009

Guten Tag,
"Your message could not be delivered to one or more recipients" ("Ihre
Nachricht konnte an mindestens einen Empfaenger nicht zugestellt
werden") - so oder aehnlich lauten die automatischen Fehlermeldungen,
wenn eine versendete E-Mail den Empfaenger nicht erreicht. Wie das
IT-Sicherheitsunternehmen Panda Security
[http://www.pandasecurity.com/germany/] nun berichtet, versenden Spammer
derzeit massiv gefaelschte Fehlermeldungen, um Nutzern Schadsoftware
unterzuschieben. Der Schadcode befindet sich dabei im Anhang der E-Mail,
in dem sich vermeintliche Details zu dem Fehler befinden sollen.
Anwender sollten bei solchen Meldungen daher stets ueberpruefen, ob sie
tatsaechlich eine E-Mail an den angegebenen Adressaten verschickt haben.
Mehr Infos dazu sowie weitere aktuelle Meldungen rund um die Sicherheit
im Internet finden Sie wie immer in unserem BSI-Newsletter. Spannende
Lektuere und sichere Stunden im globalen Netz wuenscht Ihnen
Ihr BUERGER-CERT-Team

-----------------------------------------------------------------------

Die Themen dieses Newsletters:

1. Umgeleitet: Gefaelschte Firefox-Sicherheitswarnungen fuehren zu Scareware
2. Mitgelesen: Facebook plant Zugriff fuer Drittanbieter auf private Nachrichten von Nutzern
3. Frueh dran: Erste Weihnachts-Spam-Mails im Netz unterwegs
4. "Your message could not be delivered...": Gefaelschte E-Mail-Fehlermeldungen zur Schadsoftware-Verbreitung in Umlauf
5. Geschmacklos: Kriminelle nutzen Tod von Patrick Swayze zurVerbreitung von Scareware
6. Kein Spiel: Phishing-Angriffe auf Steam-Nutzer gestartet
7. Notloesung: Microsoft empfiehlt Workaround fuer Sicherheitsluecke in Windows Vista
8. Boese Videos: Schwachstellen im VLC Media Player beseitigt
9. Gefaehrliche Playlists: Apple veroeffentlicht Update fuer iTunes
10. Boesartige RSS-Feeds: Sicherheitsluecke in Lotus Notes entdeckt
11. Dauerinfiziert: Schadprogramme bleiben haeufig laengere Zeit aufComputern

-----------------------------------------------------------------------

1. STOERENFRIEDE: Gefaelschte Firefox-Sicherheitswarnungen fuehren zu Scareware

Umgeleitet
Kriminelle nutzen derzeit gefaelschte Firefox-Sicherheitswarnungen, um
nutzlose Antivirensoftware zu verbreiten. Dies meldet das IT-Unternehmen
G-Data [http://www.gdata.de]. Ein vorab auf dem Rechner installiertes
Trojanisches Pferd leitet saemtliche URL-Eingaben des Nutzers an
praeparierte Webseiten weiter. Dort wird dann die gefaelschte
Firefox-Sicherheitswarnung eingeblendet, die den Nutzer darueber
informiert, dass die aufgerufene Webseite moeglicherweise Schadcode
enthaelt. Ihm wird geraten, eine aktuelle Virenschutzloesung zu
installieren. Klickt der Nutzer auf den Button "Get Security Software"
wird er auf eine Webseite geleitet, auf der ihm falsche
Antivirensoftware zum Kauf angeboten wird. Anwender sollten Software
generell nur ueber die Original-Herstellerseiten beziehen. Ausserdem
raet das Buerger-CERT dazu, regelmaessig Sicherheitsupdates fuer die
eingesetzte Software und das Betriebssystem einzuspielen. Nuetzliche
Tipps zum sicheren Patch-Management gibt es auf der
BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/BSIFB/DE/ITSicherheit/SchuetzenAberWie/PatchManagement/patchmanagement_node.html].


2. STOERENFRIEDE: Facebook plant Zugriff fuer Drittanbieter auf private Nachrichten von Nutzern

Mitgelesen
Wie die IT-News-Seite The Register [http://www.theregister.co.uk]
berichtet, planen die Betreiber des sozialen Netzwerkes Facebook,
bestimmten Anwendungen erweiterte Zugriffsrechte auf Nachrichten von
Nutzern zu gewaehren. Damit wuerden Nutzer dieser Anwendungen der
Software erlauben, die Inhalte ihrer Nachrichten zu durchleuchten. Da
die Anwendungen von Drittanbietern stammen, waeren diese dann
theoretisch in der Lage, private Nachrichten einzusehen. Laut Facebook
koennen die Anwendungen von Nutzern etwa dazu verwendet werden,
jederzeit auf dem Desktop Facebook-Nachrichten zu empfangen. Nutzer
sollten generell bei zusaetzlichen Anwendungen fuer soziale Netzwerke
oder Browser Plug-ins vorsichtig sein, da diese auch von nicht
vertrauenswuerdigen Drittanbietern stammen koennen. Ausserdem wird
Anwendern geraten, nicht zu viele private Informationen in sozialen
Netzwerken preiszugeben.


3. STOERENFRIEDE: Erste Weihnachts-Spam-Mails im Netz unterwegs

Frueh dran
Alle Jahre wieder nutzen Kriminelle das Weihnachtsfest als Aufhaenger
fuer ihre Spam-Mails. In diesem Jahr sind sie besonders frueh dran, wie
das IT-Sicherheitsunternehmen Silicon [http://www.silicon.de] berichtet.
Die Spam-Mails tragen Betreffzeilen wie "xmas is right here"
("Weihnachten ist schon da"). In den Nachrichten sind Links zu dubiosen
Online-Shops oder virenverseuchten Webseiten angegeben. Anwender sollten
die Mails umgehend loeschen und den Antivirenschutz stets auf dem
aktuellen Stand halten. Generelle Infos zum Thema Spam gibt es auf der
BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/BSIFB/DE/ITSicherheit/AbzockerUndSpione/Spam/spam_node.html].


4. STOERENFRIEDE: Gefaelschte E-Mail-Fehlermeldungen zur Schadsoftware-Verbreitung in Umlauf

"Your message could not be delivered..."
Wie das IT-Sicherheitsunternehmen Panda Security
[http://www.pandasecurity.com/germany/] meldet, versenden Betrueger
derzeit massiv gefaelschte E-Mail-Fehlermeldungen. Die gefaelschten
"Non-Delivery-Reports" sehen den echten Meldungen, die Nutzer ueber
Zustellungsschwierigkeiten von E-Mails informieren, taeuschend aehnlich.
In der angehaengten Datei sollen sich laut E-Mail-Text weitere
Informationen befinden. Oeffnet der Empfaenger jedoch den Anhang,
installieren sich Schadprogramme auf dem Rechner. Nutzer sollten bei
solchen Fehlermeldungen generell ueberpruefen, ob sie ueberhaupt jemals
eine E-Mail an die angegebene Adresse geschickt haben. Ausserdem raet
das Buerger-CERT dazu, die Antivirensoftware regelmaessig auf den
aktuellen Stand zu bringen.


5. STOERENFRIEDE: Kriminelle nutzen Tod von Patrick Swayze zur Verbreitung von Scareware

Geschmacklos
Wie so oft nutzen Kriminelle auch derzeit wieder ein aktuelles
Ereignis, um Schadsoftware im Netz zu verbreiten. Darueber berichtet das
IT-Sicherheitsunternehmen F-Secure [http://www.f-secure.com]. Wer bei
Google nach Informationen zum Tod von Patrick Swayze sucht, bekommt als
Suchergebnis unter anderem Links zu "News Reports" angezeigt. Besucht
man diese "News Report"-Webseiten, erscheint zunaechst ein
Pop-up-Fenster, das den Nutzer ueber eine vermeintliche Vireninfektion
seines Rechners informiert. Kurz darauf wird ein gefaelschtes Bild der
typischen "Windows-Arbeitsplatz"-Ansicht sowie weitere Meldungen
eingeblendet, die den Anwender auf vermeintlich gefundene Viren
hinweisen. Jede Mausbewegung innerhalb des Bildes fuehrt dazu, dass ein
falsches Antivirenprogramm, so genannte "Scareware", heruntergeladen
wird. Ebenfalls mithilfe von Google-Suchergebnissen verbreitet werden
vermeintliche Videos von der Beerdigung Patrick Swayzes. Klickt ein
Nutzer auf das angebliche Video, wird ebenfalls eine falsche
Antivirenloesung auf dem PC des Nutzers installiert. Mehr Infos zu
gefaelschten Antivirenprogrammen gibt es auf der BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/BSIFB/DE/ITSicherheit/AbzockerUndSpione/FalscheAntivirensoftware/falscheantivirensoftware_node.html].


6. STOERENFRIEDE: Phishing-Angriffe auf Steam-Nutzer gestartet

Kein Spiel
Datenfischer haben es derzeit auf Nutzer der Spiele-Plattform Steam
abgesehen. Darueber berichtet die Webseite Gameswelt.de
[http://www.gameswelt.de]. Kriminelle versenden gefaelschte
Steam-E-Mails, in denen Anwender dazu aufgefordert werden, ihr
Benutzerkonto zu ueberpruefen. Man habe Grund zu der Annahme, dass sich
jemand anderes in den Account des Nutzers eingeloggt habe. Daher solle
man dem angegebenen Link folgen, um dort seine Zugangsdaten zu
verifizieren. Komme man der Aufforderung nicht innerhalb von 48 Stunden
nach, wuerde der Account gesperrt. Klickt der Nutzer auf den angegebenen
Link, wird er auf eine gefaelschte Steam-Webseite geleitet. Gibt er dort
seine Log-in-Daten ein, landen diese direkt bei den Betruegern.
Empfaenger der E-Mail sollten diese umgehend loeschen. Ausserdem raet
das Buerger-CERT dazu, beim Anklicken von Links in E-Mails generell
Vorsicht walten zu lassen. Mehr Infos rund um das Thema Phishing gibt es
auf der BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/BSIFB/DE/Themen/Phishing/phishing_node.html].


7. SCHUTZMASSNAHMEN: Microsoft empfiehlt Workaround fuer Sicherheitsluecke in Windows Vista

Notloesung
Eine Schwachstelle in Windows Vista und Windows Server 2008 ermoeglicht
Angreifern, beliebigen Code auf fremde Rechner zu schleusen und
auszufuehren. Der Fehler steckt in der Implementierung des so genannten
Server-Message Block-Protokolls Version 2, das unter anderem Datei- und
Druckdienste im Netzwerk regelt. Einen Patch gibt es bislang nicht.
Microsoft empfiehlt, SMB2 abzuschalten, bis die Schwachstelle beseitigt
ist. Microsoft stellt dazu einen Workaround zur Verfuegung, mit dem man
die Funktion mit einem Klick abschalten
[http://go.microsoft.com/?linkid=9683379] und mit einem weiteren wieder
einschalten [http://go.microsoft.com/?linkid=9685006] kann. Anwender
sollten bis zur Verfuegbarkeit eines Patches den Workaround nutzen.


8. SCHUTZMASSNAHMEN: Schwachstellen im VLC Media Player beseitigt

Boese Videos
Verschiedene Sicherheitsluecken im VLC Media Player ermoeglichten
Angreifern bislang, mithilfe von praeparierten MP4-, ASF- oder
AVI-Videodateien Schadcode auszufuehren. Betroffen sind alle Versionen
des Players vor Version 1.0.2. Der Hersteller VideoLAN hat eine
aktualisierte Fassung des Players veroeffentlicht. Anwender sollten die
fehlerbereinigte Version 1.0.2 schnellstmoeglich installieren. Sie steht
auf der VideoLAN-Seite [http://www.videolan.org/vlc/] zum Download
bereit.


9. SCHUTZMASSNAHMEN: Apple veroeffentlicht Update fuer iTunes

Gefaehrliche Playlists
Apple hat eine Sicherheitsluecke in seinem
Multimedia-Verwaltungsprogramm iTunes geschlossen. Die Schwachstelle
ermoeglichte Angreifern bislang, Schadsoftware im Kontext der Anwendung
zu starten. Dazu genuegte das Oeffnen einer manipulierten Playlist im
PLS-Format. Das Buerger-CERT raet allen Nutzern von iTunes die
fehlerbereinigte Version 9.9.1 umgehend einzuspielen. Dies geschieht am
einfachsten ueber die integrierte Update-Funktion oder ueber einen
Besuch der Apple-Download-Seite [http://www.apple.com/itunes/download/].


10. SCHUTZMASSNAHMEN: Sicherheitsluecke in Lotus Notes entdeckt

Boesartige RSS-Feeds
Eine Schwachstelle in Lotus Notes ermoeglicht Angreifern mithilfe von
manipulierten RSS-Feeds, Schadcode in ein System zu schleusen. Darueber
berichtet die IT-News-Seite Heise [http://www.heise.de]. RSS-Feeds sind
eine Art Nachrichtenticker, die abonniert werden koennen und die den
Nutzer mit aktuellen Meldungen versorgen. Stoesst der in Lotus Notes
eingebaute RSS-Feed-Reader in einem Feed (Nachricht) auf
JavaScript-Code, fuehrt er diesen automatisch aus. Somit koennen etwa
Daten ausspioniert oder Schadcode auf dem Rechner installiert werden.
Der Fehler soll sich in Lotus Notes 8.x befinden. Ein Patch ist bislang
nur auf Anfrage beim IBM-Support zu bekommen. Die fehlerbereinigte
Version 8.5.1 soll im Oktober erscheinen. Nutzer sollten so lange auf
den Einsatz von RSS-Feeds verzichten.


11. PRISMA: Schadprogramme bleiben haeufig laengere Zeit auf Computern

Dauerinfiziert
Eine aktuelle Untersuchung des IT-Sicherheitsunternehmens Trend Micro
[http://www.trendmicro.com] zeigt, dass viele mit Schadcode infizierte
PCs auch ueber einen laengeren Zeitraum infiziert bleiben. Untersucht
wurden 100 Millionen IP-Adressen, deren zugehoerige PCs Infektionen mit
Schadsoftware aufwiesen. Die Haelfte der Rechner ist nach Angabe der
Experten mindestens 300 Tage lang infiziert. 80 Prozent der PCs sollen
mindestens einen Monat lang Schadcode beherbergen. Drei Viertel der
untersuchten IP-Adressen konnten Privatnutzern zugeordnet werden, ein
Viertel Nutzern in Unternehmen. Wie man seinen Rechner am besten vor
Angriffen schuetzt, verraet die BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/BSIFB/DE/ITSicherheit/SchuetzenAberWie/WelchenSchutz/welchenschutz_node.html].



-----------------------------------------------------------------------

Dieser Newsletter ist ein kostenloses Service-Angebot des Buerger-CERT.
Er erscheint im Abstand von 14 Tagen. Die Informationen werden vom
Bundesamt fuer Sicherheit in der Informationstechnik,
http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und
aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die
Vollstaendigkeit und Richtigkeit nicht uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den
Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de .