SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 29.03.2012
Nummer: NL-T12/0006

Die Themen dieses Newsletters:
1. Falsche Online-Banking-App: Android-Trojaner stiehlt mTANs 2. Rechner in Geiselhaft: Schadprogramm sperrt Rechner im Namen von GVU und BSI 3. Imuler tarnt sich als Model: Neue Variante des Mac-Trojaners aufgetaucht 4. Sicherheitsupdate für VLC-Mediaplayer: Version 2.0.1 schließt zwei Schwachstellen 5. Update für Google Chrome: Neun Sicherheitslücken werden geschlossen 6. Warum E-Mails im Spam-Ordner landen: Google-Mail erklärt automatischen Filter 7. „Zeus“-Botnetz teilweise lahmgelegt: Teilerfolg im Kampf gegen organisierte Cyberkriminalität

EDITORIAL
Guten Tag,
im Kampf gegen die Cyberkriminalität wird es sicherlich nie möglich sein,
absolute Sicherheit für alle Anwender und Systeme zu erreichen. Doch der
erfolgreiche Schlag von US-Behörden und Microsoft gegen die Betreiber von
Botnetzen in den USA zeigt, dass sich die Mühe um jedes Stück mehr
Sicherheit am Ende auszahlt. „Wer sich nicht wehrt, hat schon verloren“ –
so lautet ein Sprichwort, das auch für das Thema IT-Sicherheit zutrifft.
Mehr Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit
im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und
sichere Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Falsche Online-Banking-App: Android-Trojaner stiehlt mTANs

Ein neues Schadprogramm für mobile Geräte mit Android-Betriebssystem ist
in der Lage, mTANs zur Abwicklung von Online-Bankgeschäften zu stehlen.
Dies berichtet u.a.
pcwelt.de http://www.pcwelt.de/news/Malware-Neuer-Android-Trojaner-stiehlt-mTANs-5065939.html
in Berufung auf eine Meldung von
McAfee http://blogs.mcafee.com/mcafee-labs/android-malware-pairs-man-in-the-middle-with-remote-controlled-banking-trojan.
Das Unternehmen hat das Schadprogramm aufgespürt und
„Android/FakeToken.A“ genannt.
Die Malware tarnt sich als mTAN-Generator-App in der Optik von Großbanken
und wird aktuell im spanischen Raum über E-Mails und SMS verbreitet. Das
Programm fordert Anwender auf, sich per PIN beim vermeintlichen
Banking-Portal anzumelden, um Transaktionscodes zu erhalten. Die
dargestellten Codes sind jedoch nutzlose Zahlenkombinationen. Im
Hintergrund sendet das Programm die Zugangsdaten sowie Informationen zum
Gerät und der SIM-Karte an einen entfernten Server. Die Angreifer können
mit diesen Informationen echte mTANs bei der Bank anfordern, die
entsprechenden SMS abfangen und weiterleiten. Zudem werden die
gespeicherten Kontakte abgerufen.

2. Rechner in Geiselhaft: Schadprogramm sperrt Rechner im Namen von GVU
und BSI

Ein Schadprogramm sperrt Rechner zu Unrecht und angeblich im Namen der
Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) und des
Bundesamtes für Sicherheit in der Informationstechnik (BSI).
Gemäß der Pressemitteilung des
BSI https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2012/Erpressungsvariante-mit-BSI-Logo_20032012.html
handelt es sich um eine neue Variante einer bereits seit 2011 bekannten
Schadsoftware, mit der Kriminelle versuchen, Geld von PC-Besitzern zu
erpressen. Die Schadsoftware sperrt die betroffenen Systeme und fordert
die Nutzer in einer Einblendung auf, einen Geldbetrag zu entrichten, da
mit dem Rechner angeblich illegale Raubkopien heruntergeladen wurden.
Gegen Zahlung einer Gebühr von 50 Euro, zahlbar via Paysafecard, werde
der Computer automatisch entsperrt. Es folgt eine schrittweise Anleitung
zur Bezahlung mit diesem Bezahlsystem sowie eine Eingabemaske.
Die Malware versucht, durch die missbräuchliche Nutzung der Logos des BSI
und der GVU vertrauenswürdig zu erscheinen und suggeriert, die beiden
Institutionen stünden hinter der Sperrung. Dies ist jedoch nicht der
Fall. Eine Zahlung nach dem im Schreiben angegebenen Vorgehen führt nicht
zur „Entsperrung“ des Rechners.

3. Imuler tarnt sich als Model: Neue Variante des Mac-Trojaners
aufgetaucht

IT-Sicherheitsexperten der Softwarehersteller
Sophos http://nakedsecurity.sophos.com/2012/03/20/topless-supermodel-photos-used-to-spread-mac-malware/
und
Intego [http://www.zdnet.de/news/41560995/intego-meldet-neuen-mac-trojaner.htm]
warnen vor einer neuen Variante des Mac-Trojaners Imuler, der im
September 2011 erstmals aufgetaucht ist. Die als „Imuler.B“ bzw.
„Imuler.C“ bezeichnete Malware tarnt sich als Bilddatei. Dabei wird
ausgenutzt, dass Mac OS die volle Dateiendung standardmäßig nicht
anzeigt. So können Bilder in der Vorschau für den Augenschein
unverdächtig präsentiert werden.
Der Schadcode ist in ZIP-Dateien versteckt, die mehrere Bilddateien mit
erotischen Aufnahmen der Models Renzin Dorjee und Irina Shayk enthalten.
Die Dateien tragen die Bezeichnung „Pictures and the Ariticle of Renzin
Dorjee.zip“ oder „FHM Feb Cover Girl Irina Shayk H-Res Pics.zip“. Laut
golem.de [http://www.golem.de/news/mac-trojaner-supermodel-als-virustraeger-1203-90664.html]
verfügt das Schadprogramm nicht nur über eine gute Tarnung, es verwischt
sogar seine Spuren. Sobald die Anwendung mit dem Model-Bild gestartet
wird, wird eine JPEG-Bild-Datei erzeugt, der Virus installiert und die
Installationsdatei für den Virus gelöscht. Für den Anwender wird die
Dateierweiterung „.jpg“ sichtbar und das Programm öffnet eine Hintertür
und sendet u.a. Daten und Screenshots an einen entfernten Server. Die
Malware vergibt jedem infizierten Mac eine Identifikationsnummer, um die
gesendeten Dateien zuordnen zu können.
Anwender können sich schützen, indem sie eine aktuelle
Anti-Virus-Software nutzen und die Dateiendungen für alle Dateien
einblenden. Um diese Funktion zu aktivieren, muss unter Finder ->
Einstellungen -> erweiterte Einstellungen in der Checkbox „Alle
Dateinamensuffixe einblenden” ein Haken gesetzt werden.

SCHUTZMASSNAHMEN
4. Sicherheitsupdate für VLC-Mediaplayer: Version 2.0.1 schließt zwei
Schwachstellen

Der kostenlose und quelloffene Media-Player VLC ist in einer
aktualisierten Version verfügbar. Der VLC 2.0.1 beseitigt nach Angaben
des Entwickler-Konsortiums u.a zwei Sicherheitslücken
(siehe VideoLAN-SA-1201
http://www.videolan.org/security/sa1201.html und
VideoLAN-SA-1202 http://www.videolan.org/security/sa1202.html).
Die Schwachstellen können es Angreifern ermöglichen, mit speziell
präparierten Mediendateien Code einzuschleusen und auszuführen. Betroffen
sind die Streaming-Formate RTSP (Real Time Streaming Protocol) und MMS
(Microsoft Media Server). Zur erfolgreichen Ausnutzung dieser
Schwachstellen muss der Angreifer den Anwender dazu verleiten, speziell
manipulierte MMS- oder RTSP-Streams zu öffnen. Die aktuelle Version des
Players ist über die integrierte Update-Funktion des VLC Media-Players
oder über einen manuellen Download auf der Webseite des
Videolan-Projekts [http://www.videolan.org/vlc/#download] möglich.

5. Update für Google Chrome: Neun Sicherheitslücken werden geschlossen

Google hat ein Sicherheitsupdate für seinen Browser Chrome
veröffentlicht. Die Version 18.0.1025.142 für Windows, Mac, Linux und
Chrome Frame schließt neun Sicherheitslücken. Das Risiko, dass von den
Schwachstellen Gefahren für Anwendersysteme ausgehen, wird von Google
in drei Fällen als „hoch“
eingeschätzt http://googlechromereleases.blogspot.de/2012/03/stable-channel-release-and-beta-channel.html.
Der technischen Warnung des Bürger-CERT vom 29.03.2012
zufolge https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0026
könnten die Sicherheitslücken von entfernten Angreifern genutzt werden,
um Zugriffsbeschränkungen zu umgehen, Daten zu manipulieren, den Browser
zum Absturz zu bringen und Schadcode innerhalb der Browser-Sandbox
auszuführen. Die Aktualisierung des Programms kann über die automatische
Update-Routine des Browsers erfolgen. Das Update wird im Hintergrund
heruntergeladen und mit dem Beenden des Browsers installiert. Alternativ
steht die aktuelle Chrome-Version bei Google zum
Download http://chrome.google.de/ bereit.

PRISMA
6. Warum E-Mails im Spam-Ordner landen: Google-Mail erklärt automatischen
Filter

Google erklärt Nutzern seines E-Mail-Dienstes Google-Mail neuerdings,
warum elektronische Post im Spam gelandet ist. Wer eine Spam-Mail öffnet,
findet zwischen der Adresszeile und dem Text einen Kasten mit dem Titel
„Warum ist diese E-Mail im Spamordner?“ sowie eine kurze Begründung und
bei bestimmten Spam-Mails auch Handlungsanweisungen und Sicherheitstipps.
Wer weiterführende Informationen wünscht, kann über einen Link zu den
Hilfe-Seiten von Google gelangen. Dort gibt es beispielsweise
detaillierte Erläuterungen zu den verschiedenen Arten von Spam-Mails und
die von ihnen ausgehenden Risiken. Google hat den neuen Service
im firmeneigenen
Blog http://gmailblog.blogspot.de/2012/03/learn-why-message-ended-up-in-your-spam.html
vorgestellt. Ziel sei es, den Anwendern Gelegenheit zu geben sich näher
mit den Bedrohungen durch Spam auseinandersetzen.

7. „Zeus“-Botnetz teilweise lahmgelegt: Teilerfolg im Kampf gegen
organisierte Cyberkriminalität

US-Behörden ist ein Schlag gegen die organisierte Cyberkriminalität
gelungen. Dies berichten u.a.
golem.de http://www.golem.de/news/cyberkriminalitaet-microsoft-schaltet-zeus-botnetze-aus-1203-90729.html
und
sueddeutsche.de http://www.sueddeutsche.de/digital/zeus-botnet-microsoft-legt-zombie-netzwerke-lahm-1.1318412
und berufen sich dabei auf eine Meldung der New York Times. Demnach haben
US-Vollzugsbeamte gemeinsam mit Microsoft-Mitarbeitern zwei Bürogebäude
in den US-Bundesstaaten Pennsylvania und Illinois durchsucht und Server
des seit langem aktiven Botnetzes „Zeus“ abgeschaltet. Im
Youtube-Kanal von Microsoft http://www.youtube.com/watch?v=hqPmrWHkeTQ
ist ein Video zu sehen, das die Aktion erläutert. Über die kaltgestellten
Server sollen insgesamt 3357 Botnetze gesteuert worden sein. Da die
gesamt Botnetz-Struktur hoch komplex ist, war das Ziel der Razzia laut
Microsoft, der Infrastruktur der Cyberkriminellen zu schaden. Außerdem
sollen die bei der Durchsuchung sichergestellten Informationen weitere
Ermittlungen erleichtern und Internetprovidern helfen, Anwender besser zu
schützen.
Mit dem Zeus-Trojaner ist es möglich, über Man-in-the-Middle-Angriffe
Zugangsdaten zu Bankkonten zu stehlen. Verteilt wird die Software vor
allem über Drive-by-Downloads und per E-Mail. Microsoft engagiert sich
besonders im Kampf gegen Botnetze, da viele Botnetze aufgrund der hohen
Verbreitung von Microsoft Windows hauptsächlich aus infizierten
Windows-Rechnern bestehen.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de