SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 30.08.2007


Die Themen dieses Newsletters:

1. Monster in Gefahr: Trojaner spaeht Jobsucher aus
2. Trickreiches Chamaeleon: Sturm-Wurm-Bande aendert Strategie
3. Stabilisierter Jaeger: Luecken im Virenscanner ClamAV behoben
4. Truegerisches Bild: Sicherheitsluecke im Bildbearbeitungsprogramm GIMP
5. Gefaehrliche Einladung: Schwachstelle im Yahoo! Messenger und im MSN Messenger
6. Geschwaechte Waechter: Schwachstellen in Produkten von Trend Micro geschlossen
7. Fehler behoben: Sophos schliesst Luecken in Antivirenscanner
8. Falscher Alarm?: Adobe relativiert die Gefahr durch PDF-Spam
9. Einzigartige Hilfe: Das Branchenbuch fuer Sicherheitsloesungen ist da
10. Ungebremstes Wachstum: Gefaelschte Bank-Webseiten

-----------------------------------------------------------------------

1. STOERENFRIEDE: Trojaner spaeht Jobsucher aus

Monster in Gefahr
Die zwei Sicherheitsdienstleister Symantec und SecureWorks haben einen
besonders ausgekluegelten Trojaner entdeckt, der ueber ausspionierte
Zugaenge von Arbeitgebern zum Job-Portal monster.com persoenliche Daten
von mehreren hunderttausend Personen gestohlen hat. Verbreitet wurde der
Trojaner ueber Dateianhaenge in Spam-Mails sowie ueber manipulierte
Webseiten. US-Medien berichten, dass auch Werbebanner auf der Seite
monster.com zu Webseiten fuehrten, bei deren Besuch die PCs von Nutzern
automatisch mit dem Schadprogramm infiziert wurden. Das deutschsprachige
Portal www.monster.de ist von diesem Trojaner bislang nicht betroffen.


2. STOERENFRIEDE: Sturm-Wurm-Bande aendert Strategie

Trickreiches Chamaeleon
Die beruechtigte Sturm-Wurm-Bande hat ihren Schaedling erneut
modifiziert. Wie das Magazin PC-Welt berichtet, enthalten die Spam-Mails
statt Informationen zu angeblichen Grusskarten nun vermeintliche
Anmeldebestaetigungen fuer Internet-Communities im globalen Netz. Die in
den E-Mails enthaltenen Links fuehren das Opfer zu mit Schadsoftware
verseuchten Webseiten. Hier wird die Installation einer angeblich
notwendigen Windows-Komponente gefordert, in Wirklichkeit wird jedoch
der Rechner mit Schadsoftware infiziert. Besonders tueckisch ist, dass
diese Software nur sehr schwer von Sicherheitsprogrammen entdeckt werden
kann. Konsequenz: Als Teil des globalen Botnetzes der Cyber-Kriminellen
wird der infizierte Rechner unbemerkt vom Besitzer zur Verbreitung von
Spam-Mails missbraucht. Das BSI empfiehlt, E-Mail-Links aus nicht
vertrauenswuerdigen Quellen zu ignorieren.


3. SCHUTZMASSNAHMEN: Luecken im Virenscanner ClamAV behoben

Stabilisierter Jaeger
Die Entwickler haben mehrere Luecken in der Antiviren-Software Clam
AntiVirus (ClamAV) geschlossen. Die aktualisierte Version 0.91.2 ist
jetzt auf der Webseite des Projekts [http://www.clamav.net/] verfuegbar.
Bislang konnte die Version 0.91.2 des Virenscanners von Angreifern mit
speziell praeparierten Dokumenten im Rich Text Format oder mit
manipulierten HTML-Dateien zum Absturz gebracht werden.


4. SCHUTZMASSNAHMEN: Sicherheitsluecke im Bildbearbeitungsprogramm GIMP

Truegerisches Bild
Schwachstellen in der freien Bildbearbeitungssoftware GIMP
ermoeglichten Angreifern, mittels praeparierter Bilddateien Schadcode
auf fremde Rechner zu schleusen. Verantwortlich fuer das Sicherheitsleck
sind fehlerhafte Plug-Ins in GIMP vor Version 2.2.16. GIMP-Nutzer
sollten eine aktualisierte Version von der Webseite des Herstellers
herunterladen [http://www.gimp.org/downloads/] und installieren.
Zahlreiche Linux-Distributoren haben auch bereits aktualisierte
Programmpakete bereitgestellt.


5. SCHUTZMASSNAHMEN: Schwachstelle im Yahoo! Messenger und im MSN Messenger

Gefaehrliche Einladung
Messenger-Programme wie der von Yahoo! und Microsoft spielen in der
privaten Kommunikation ueber das Internet eine immer groessere Rolle.
Das haben auch die Cyber-Kriminellen erkannt. Mit manipulierten
Einladungen zu Webcam-Sitzungen nutzen sie eine Schwachstelle im Yahoo!
Messenger und eine aehnliche Luecke im MSN Messenger aus, um
schadhaften Code auf fremde Rechner zu schleusen. Betroffen sind die
Versionen des Yahoo! Messengers vor 8.1.0.413 und des MSN Messengers 6.x
und 7.x. Ein aktuelles Update
[http://messenger.yahoo.com/webmessengerpromo.php] fuer den Yahoo!
Messenger behebt die Schwachstelle. Nutzer der betroffenen Versionen des
MSN Messengers, der mittlerweile in Windows Live Messenger umbenannt
wurde, sollten umgehend ein Update auf die Version 8.1 des Windows Live
Messengers durchfuehren.


6. SCHUTZMASSNAHMEN: Schwachstellen in Produkten von Trend Micro geschlossen

Geschwaechte Waechter
In Sicherheitsprodukten der Firma Trend Micro sind einige
schwerwiegende Luecken entdeckt worden. Die Sicherheitslecks sind sowohl
fuer Privatanwender als auch fuer Unternehmen relevant. Angreifer
koennen die Schwachstellen ausnutzen, um Schadcode einzuschleusen oder
ihre Zugriffsrechte zu erhoehen. Aktuelle Updates zur Behebung dieser
Schwachstellen stehen ab sofort bereit: Nutzer von Trend Micro Server
Protect 5.58 sollten umgehend das Service Pack 4
[http://www.trendmicro.com/download/product.asp?productid=17]
installieren. Fuer die Internet Security Suite 2007 und die Anti-Spyware
hat der Hersteller einen speziellen Hotfix
[http://esupport.trendmicro.com/support/viewxml.do?ContentID=EN-1035845]
veroeffentlicht.


7. SCHUTZMASSNAHMEN: Sophos schliesst Luecken in Antivirenscanner

Fehler behoben
Mit einem Update schliesst der Hersteller Sophos zwei Luecken seiner
Sicherheitsloesung "Anti-Virus" fuer Windows und Linux/Unix. Speziell
manipulierte Dateien, welche zum Beispiel in einem E-Mail-Anhang
enthalten sein koennen oder auf einer Webseite zum Download angeboten
werden, koennen das Antivirus-Programm in eine Endlosschleife schicken
und so praktisch lahm legen. Moeglicherweise kann eine der
Schwachstellen auch ausgenutzt werden, um Schadcode auf den Rechner zu
schleusen. Die Schwachstellen betreffen Versionen der Scanning-Engine
vor 2.48.0. Das BSI empfiehlt allen Nutzern, schnellstmoeglich das
aktuelle Update [http://www.sophos.de/support/updates/] aufzuspielen.


8. SCHUTZMASSNAHMEN: Adobe relativiert die Gefahr durch PDF-Spam

Falscher Alarm?
Das US-Softwareunternehmen Adobe hat die Gefahr von
Schadcode-Uebertragungen durch PDF-Spam relativiert. Durch PDFs koenne
Malware nicht leichter in ein System gelangen als durch E-Mails, sagte
ein Unternehmenssprecher. Doch Experten raten weiterhin zu
Vorsicht.PDF-Dokumente koennen aehnlich wie E-Mails Links beinhalten,
die zu mit Schaedlingen infizierten Webseiten fuehren. Auch verbergen
sich hinter dem PDF-Symbol von Dateien moeglicherweise anstatt harmloser
Dokumente in Wirklichkeit ausfuehrbareDateien, welche beim Oeffnen
schaedliche Software auf dem PC installieren. Problematisch sind auch
die Inhalte des PDF-Spams. Derzeit werden verstaerkt bestimmte Aktien
durch gefaelschte Boersen-Newsletter beworben. Das Kalkuel der Betrueger
ist, den Kurs bestimmter Anteilsscheine zu steigern.


9. PRISMA: Das Branchenbuch fuer Sicherheitsloesungen ist da

Einzigartige Hilfe
Das neue Branchenbuch zur IT-Sicherheit
[http://www.branchenbuch-it-sicherheit.de] stellt Produkte und
Dienstleister fuer den IT-Sicherheitsbereich zusammen. Die Plattform
bietet einen Ueberblick ueber bisher rund 600 Loesungsanbieter in ueber
60 Kategorien. Anwender koennen schon mit einer Suchanfrage
herausfinden, welche Produkte zu Ihren Anforderungen passen, und wo das
naechste Systemhaus dafuer zu finden ist.
Bis zum Ende des Jahres 2007 streben die Initiatoren der Fachhochschule
Gelsenkirchen und der Landesinitiative secure-it.nrw
[http://www.secure-it.nrw.de/] 1000 Eintraege von Unternehmen an.



10. PRISMA: Gefaelschte Bank-Webseiten

Ungebremstes Wachstum
Die Anzahl gefaelschter Bankwebseiten im Internet hat sich seit 2006
weiter erhoeht. So sind im Netz beispielsweise ueber 800 Domains rund um den Namen Citibank abrufbar, die mit dem Geldinstitut in keiner
Verbindung stehen. Die Mehrzahl der gefaelschten Seiten wird von
Cyber-Kriminellen genutzt, um an die Kreditkartennummern und Passwoerter
von Bankkunden zu gelangen. Die betreffenden Seiten sind professionell
gestaltet und koennen kaum von den Originalseiten unterschieden werden.
In diesem Zusammenhang raten Sicherheitsexperten Anwendern von
Online-Banking-Diensten zu erhoehter Aufmerksamkeit. Auf E-Mails
vermeintlicher Bankinstitute, die Empfaenger zum Besuch von
Online-Portalen oder zur Preisgabe vertraulicher Informationen
auffordern, sollte nicht reagiert werden. In aller Regel kontaktieren
Banken ihre Kunden nicht per E-Mail; im Zweifelsfall sollte ein Anruf
aber die Echtheit des Schreibens aufklaeren koennen.