SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 12.05.2010

-----------------------------------------------------------------------

Guten Tag,
"I love you!" - wer vor genau zehn Jahren eine E-Mail mit dieser
Betreffzeile oeffnete, lief Gefahr, der so genannten "Lovebug"- oder
"Loveletter"-Malware zum Opfer zu fallen. Damals verbreitete sich der
Wurm innerhalb weniger Stunden ueber die ganze Welt. Millionen von
Rechnern wurden infiziert. Denn oeffnete der Empfaenger das Dokument
"Loveletter for you" im Anhang der Mail, versendete sich die
Schadsoftware an saemtliche E-Mail-Kontakte des Nutzers. Der Wurm
loeschte auf den betroffenen Rechnern ausserdem Dateien mit bestimmten
Endungen, wie etwa .jpg oder .jpeg. Auch wenn der "Loveletter" heute
nicht mehr kursiert: Kriminelle lassen sich immer neue Taktiken
einfallen, um Schadsoftware zu verbreiten. Aktuelle Beispiele dazu
finden Sie wie immer in diesem Newsletter. Spannende Lektuere und
sichere Stunden im globalen Netz wuenscht Ihnen
Ihr BUERGER-CERT-Team

-----------------------------------------------------------------------

Die Themen dieses Newsletters:

1. Falsche Fotos: Neben Yahoo auch Skype von Wurmattacke betroffen
2. Chat-Spione: Erneut schwere Sicherheitsluecke bei Facebook
3. Gar nicht heiss: Wurm verbreitet sich ueber Facebook-Nachrichten
4. Fauler Apfel: Kritische Luecke in Apples Safari
5. Praeparierte PDFs: Wurm versteckt sich in PDF-Dokumenten
6. Tsunami-Trojaner: Betrueger versenden gefaelschte Katastrophenwarnungen
7. Nicht bezahlen!: Inkassobuero versendet dubiose Mahnungen
8. Absturzgefaehrdet: Opera schliesst Sicherheitsluecke
9. Gefaehrliche Bilddateien: Update fuer Photoshop CS4 veroeffentlicht
10. Falsche Liebesgruesse: "Loveletter-Wurm" wird zehn Jahre alt
11. Sammelwut: Wieder Datenleck bei SchuelerVZ

-----------------------------------------------------------------------

1. STOERENFRIEDE: Neben Yahoo auch Skype von Wurmattacke betroffen

Falsche Fotos
Es ist ein allgemeiner Trend, dass Wuermer sich heute verstaerkt ueber
Instant-Messaging-Programme verbreiten. Der neueste IM-Wurm mit dem
Namen W32.Skyhoo.Worm. nutzt dabei nicht nur - wie Vorgaenger - Yahoo,
sondern auch Skype, berichtet die IT-Sicherheitsseite ZDNet
[http://www.zdnet.de]. Er versteckt sich in angeblich von einer
vertrauten Person geschickten persoenlichen Nachricht wie "Does my new
hair style look good? bad? perfect?" ("Sieht meine neue Frisur gut aus?
Schlecht? Super?"). Wer der Aufforderung nachkommt, den angegebenen Link
oeffnet und sich die dort abgelegte ZIP-Datei herunter laedt, erhaelt
anstelle eines JPEG-Bildes einen Virus. Er versendet sich an die Yahoo-
oder Skype-Kontakte des Opfers. Ausserdem kann er sich vor Virenscannern
verstecken und Microsoft-Office-Dateien infizieren. Anwender sollten
generell auf das Herunterladen von Bilddateien unbekannter Herkunft
verzichten.


2. STOERENFRIEDE: Erneut schwere Sicherheitsluecke bei Facebook

Chat-Spione
Von einem neuen Sicherheitsproblem bei Facebook berichtet die
IT-News-Seite Heise [http://www.heise.de]. So war es Nutzern eine
zeitlang moeglich, die Chats ihrer Kontakte live mitzuverfolgen und
bestehende Kontaktanfragen einzusehen. In den Einstellungen zur
Privatsphaere gibt es eine Vorschau auf das eigene Profil, so wie es die
eigenen Kontakte unter den gewaehlten Einstellungen sehen koennen. Liess
man sich sein eigenes Profil aus Sicht eines seiner Kontakte anzeigen,
war es moeglich, Einsicht in gerade laufende Chats des betreffenden
Kontaktes zu nehmen. Inzwischen ist der Fehler beseitigt. Anwender
sollten in sozialen Netzwerken generell nicht zu viele private
Informationen preisgeben. Weitere Tipps rund um die Sicherheit in
sozialen Netzwerken gibt das BSI auf seiner BSI-FUER-BUERGER-Webseite
[https://www.bsi-fuer-buerger.de/BSIFB/DE/Aktuelles/Brennpunkt/brennpunkt_node.html].


3. STOERENFRIEDE: Wurm verbreitet sich ueber Facebook-Nachrichten

Gar nicht heiss
Betrueger versenden derzeit gefaelschte Nachrichten ueber Facebook, um
Schadsoftware zu verbreiten. Dies meldet die IT-News-Seite
Computerbetrug.de [http://www.computerbetrug.de]. Die Nachricht lautet
"This is without doubt the hottest video ever!" ("Das ist ohne Zweifel
das heisseste Video ueberhaupt!"). Anbei befindet sich ein Link zu einem
vermeintlichen Video mit dem Titel "Optical illusions" ("Optische
Illusion"). Oeffnet man die angebotene Applikation, wird man
aufgefordert, zunaechst seinen FLV-Player zu aktualisieren. Laedt man
die angezeigte Datei herunter, installiert sich jedoch ein Wurm auf dem
Rechner. Dieser verschickt sich im Anschluss an alle Facebook-Kontakte.
Nutzer sollten beim Anklicken von Links in sozialen Netzwerken
vorsichtig sein und den Antivirenschutz stets auf dem aktuellen Stand
halten.


4. STOERENFRIEDE: Kritische Luecke in Apples Safari

Fauler Apfel
Ueber eine kritische Sicherheitsluecke in Apples Browser Safari
berichtet das IT-Sicherheitsunternehmen Secunia [http://www.secunia.de].
Die Schwachstelle ermoeglicht Angreifern, den Browser zum Absturz zu
bringen oder Schadcode auf den Rechner zu schleusen und auszufuehren.
Dazu genuegt das Aufrufen einer manipulierten Webseite. Betroffen sind
die aktuelle Safari-Version 4.0.5. sowie moeglicherweise aeltere
Versionen. Ein Update, das die Luecke schliesst, gibt es derzeit nicht.
Anwender sollten generell nur vertrauenswuerdige Webseiten besuchen und
das Antivirenprogramm auf dem aktuellen Stand halten.


5. STOERENFRIEDE: Wurm versteckt sich in PDF-Dokumenten

Praeparierte PDFs
Betrueger versenden derzeit erneut praeparierte PDF-Dokumente per
E-Mail. Dies meldet die IT-News-Seite Heise [http://www.heise.de]. In
den Mails heisst es etwa, dass eine Neukonfiguration des E-Mail-Kontos
noetig sei. Naehere Infos finde man in den angehaengten PDF-Dateien.
Diese enthalten jedoch den Wurm Win32/Auraax. Die Schadsoftware
versucht, sich nach der Installation auf an den Rechner angeschlossene
Speichermedien wie USB-Sticks zu schreiben. Die Malware-Autoren nutzen
nach wie vor das bekannte Sicherheitsproblem im Adobe Reader. Ueber eine
bestimmte, im PDF integrierte Funktion ist es moeglich, im Dokument
eingebettete Skripte oder .exe-Dateien zu starten. Dadurch koennen
Angreifer Schadcode auf fremde Rechner schleusen. Nutzern wird geraten,
im Reader unter "Bearbeiten/Voreinstellungen/Berechtigungen" die Option
"Nicht PDF-Dateianlagen duerfen in externen Anwendungen geoeffnet
werden" zu deaktivieren. Mehr Infos zu Wuermern gibt es auf der
BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/BSIFB/DE/ITSicherheit/VirenUndAndereTiere/Wuermer/wuermer_node.html].


6. STOERENFRIEDE: Betrueger versenden gefaelschte Katastrophenwarnungen

Tsunami-Trojaner
Das IT-Sicherheitsunternehmen [[Panda
Security||http://www.pandasecurity.com]] berichtet derzeit von
gefaelschten Tsunami-Warnungen, die von Kriminellen per E-Mail versendet
werden. Die auf Spanisch verfassten Mails taeuschen als Absender
National Geographic vor. In der Nachricht wird vor einem vermeintlichen
Erdbeben und Tsunami in Chile berichtet. Um nachsehen zu koennen, welche
Regionen betroffen sind, solle man den integrierten Links folgen. Kommt
der Nutzer dieser Aufforderung nach, wird ein Trojanisches Pferd auf den
Rechner geladen. Ruft der Nutzer nun die Webseite der Santander-Bank
auf, sorgt die Malware dafuer, dass er auf eine Phishing-Seite
umgeleitet wird. Gibt man dort seine Log-in-Daten ein, landen diese
direkt bei den Betruegern. Anwender sollten ihren Antivirenschutz stets
auf dem aktuellen Stand halten und beim Anklicken von E-Mail-Links
Vorsicht walten lassen. Mehr Infos zum Thema Phishing stehen auf der
BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/BSIFB/DE/Themen/Phishing/phishing_node.html]
bereit.


7. STOERENFRIEDE: Inkassobuero versendet dubiose Mahnungen

Nicht bezahlen!
Wie die IT-News-Seite Computerbetrug [http://www.computerbetrug.de]
meldet, versuchen Betrueger derzeit, Verbraucher ueber dubiose
Inkassoschreiben abzuzocken. Per Post werden Mahnungen im Namen der
Media Inkassomanagement AG versendet. Der Empfaenger wird aufgefordert
107,90 Euro zu zahlen, da er sich angeblich telefonisch bei Diensten wie
"TOP 200 Gewinnspiele und Millionenrente" oder "Die Gewinnboerse" der
Firma DEM Marketing angemeldet habe. Bei Nichtzahlung droht das
Inkassobuero unter anderem mit Mahnbescheid und Zwangsvollstreckung.
Empfaenger des Schreibens sollten dieses ignorieren und den Betrag
keinesfalls zahlen. Mehr Infos zum Thema Kostenfallen gibt es auf der
BSI-FUER-BUERGER-Seite
[https://www.bsi-fuer-buerger.de/BSIFB/DE/ITSicherheit/AbzockerUndSpione/Kostenfallen/kostenfallen_node.html].


8. SCHUTZMASSNAHMEN: Opera schliesst Sicherheitsluecke

Absturzgefaehrdet
Opera hat eine Schwachstelle in seinem gleichnamigen Browser beseitigt.
Die Sicherheitsluecke ermoeglichte Angreifern, den Browser zum Absturz
zu bringen oder beliebigen Code im Kontext des angemeldeten Benutzers
auszufuehren. Dazu genuegte bereits das Betrachten einer manipulierten
Webseite. Anwender sollten die aktualisierte Opera-Version 10.53
umgehend einspielen. Dies geschieht am einfachsten ueber die
automatische Update-Funktion (Menue "Hilfe", Menuepunkt "Auf Updates
ueberpruefen") oder einen Besuch der Opera-Webseite
[http://www.opera.com/browser/download].


9. SCHUTZMASSNAHMEN: Update fuer Photoshop CS4 veroeffentlicht

Gefaehrliche Bilddateien
Adobe hat ein Update fuer seine Bildbearbeitungssoftware Photoshop CS4
veroeffentlicht. Eine Schwachstelle ermoeglichte Angreifern, die
Kontrolle ueber das System zu uebernehmen. Dazu genuegte das Oeffnen
einer manipulierten TIFF-Datei. Das Buerger-CERT raet Nutzern dazu, die
aktualisierte Photoshop CS4-Version 11.0.1 umgehend einzuspielen. Dies
geschieht am einfachsten ueber die integrierte Update-Funktion (Menue
"Hilfe", Menuepunkt "Updates") oder einen Besuch der Adobe-Webseite
[http://www.adobe.com/support/downloads/detail.jsp?ftpID=4292]. Die
Photoshop-Version CS5 ist von der Schwachstelle nicht betroffen.


10. PRISMA: "Loveletter-Wurm" wird zehn Jahre alt

Falsche Liebesgruesse
"I love you!" - wer vor genau zehn Jahren eine E-Mail mit dieser
Betreffzeile oeffnete, lief Gefahr, der so genannten "Lovebug"- oder
"Loveletter"-Malware zum Opfer zu fallen. Damals verbreitete sich der
Wurm innerhalb weniger Stunden ueber die ganze Welt - Millionen von
Rechnern wurden infiziert. Denn oeffnete der Empfaenger das Dokument
"Loveletter for you" im Anhang der Mail, versendete sich die
Schadsoftware an saemtliche E-Mail-Kontakte des Nutzers. Der Wurm
loeschte auf den betroffenen Rechnern ausserdem Dateien mit bestimmten
Endungen, wie etwa .jpg oder .jpeg. Mehr Infos rund um den
Einfallsreichtum von Computerkriminellen finden Sie auf der
BSI-FUER-Buerger-Seite
[https://www.bsi-fuer-buerger.de/ContentBSIFB/Aktuelles/Brennpunkt/computerboesewichte.html].


11. PRISMA: Wieder Datenleck bei SchuelerVZ

Sammelwut
Ueber eine neue Schwachstelle beim sozialen Netzwerk SchuelerVZ
berichtet die Online-Plattform Netzpolitik
[http://www.netzpolitik.org.]. Den Betreibern seien von einem
Informanten 1,6 Millionen Datensaetze ueber dort aktive Schueler
zugeschickt worden, also rund 30 Prozent aller Nutzerprofile von
SchuelerVZ. Die Datensaetze enthalten Basisinformationen wie Name,
Schule, Schul-ID-Nummer und Link zum Bild, zum Teil aber auch weitere
private Informationen wie etwa Alter, Geschlecht, Hobbies und die
politische Einstellung - je nach Datenschutzeinstellung des jeweiligen
Profils. Die Daten seien mithilfe eines so genannten Crawler ueber die
Gruppenmitgliedschaften bzw. Freundeslisten der Schueler
zusammengetragen worden. Crawler sind Programme, die zum massenhaften
Sammeln und Analysieren von Daten eingesetzt werden. Der Informant soll
SchuelerVZ zunaechst auf das bestehende Problem hingewiesen haben. Als
man dort nicht reagierte, schickte er die Daten an Netzpolitik.org.



-----------------------------------------------------------------------

Dieser Newsletter ist ein kostenloses Service-Angebot des Buerger-CERT.
Er erscheint im Abstand von 14 Tagen. Die Informationen werden vom
Bundesamt fuer Sicherheit in der Informationstechnik,
http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und
aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die
Vollstaendigkeit und Richtigkeit nicht uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den
Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de