SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 02.04.2009

-----------------------------------------------------------------------

Guten Tag,
schon seit Januar schlaengelt sich der Wurm Conficker in verschiedenen
Varianten durchs Netz. Zu seinen Opfern zaehlen nicht nur zahlreiche
Privatnutzer, sondern auch Unternehmen - sogar die Computernetzwerke der
Bundeswehr und der franzoesischen Luftwaffe wurden mit Conficker
infiziert. Der Schaedling nutzt zur Verbreitung unter anderem eine alte
Sicherheitsluecke im Microsoft Server-Dienst und Wechseldatentraeger wie
beispielsweise USB-Sticks. Anwender schuetzen sich am besten vor dem
Schaedling, indem sie Ihren PC regelmaessig mit aktuellen
Sicherheitsupdates versorgen sowie die Firewall aktivieren. Mehr Infos
dazu sowie weitere aktuelle Meldungen rund um die Sicherheit im Internet
finden Sie wie immer in unserem BSI-Newsletter. Spannende Lektuere und
sichere Stunden im globalen Netz wuenscht Ihnen
Ihr BUERGER-CERT-Team

-----------------------------------------------------------------------

Die Themen dieses Newsletters:

1. Vorsicht vor der Kostenfalle: Abzocker locken mit kostenlosen Produktproben
2. Fieser Erpresser: Schaedling verschluesselt Dateien
3. Achtung, Datenfischer!: Wieder gefaelschte Packstation-Mails unterwegs
4. Uebles Update: Betrueger versenden gefaelschte Microsoft-Mails
5. Wieder gefaehrliches Gezwitscher: Schwachstelle in Twitter ermoeglicht Verbreitung von Wuermern
6. Schnell einspielen!: Updates fuer Thunderbird und SeaMonkey veroeffentlicht
7. Noch ein Update: Mozilla schliesst wieder kritische Luecken in Firefox
8. Nachzuegler: Adobe gibt Updates fuer Reader-Versionen 7 und 8 heraus
9. Patchen, aktualisieren & aktivieren: Schutz vor dem Conficker-Wurm
10. Infos rund um Medienkompetenz: Erster Klicksafe-Newsletter erschienen
11. Teure (Un-)sicherheit: Gefaelschte Antivirensoftware verschafft Betruegern hohe Gewinne

-----------------------------------------------------------------------

1. STOERENFRIEDE: Abzocker locken mit kostenlosen Produktproben

Vorsicht vor der Kostenfalle
Online-Betrueger versenden derzeit Spam-Mails, in denen sie ein
Verzeichnis fuer Gratisproben bewerben. Dies berichtet das
IT-Sicherheitsunternehmen G Data [http://www.gdata.de]. Das "Team vom
Konjunkturprogramm fuer Deutschland" verlinkt in der Mail auf eine
Webseite, auf der man eine Auflistung "saemtlicher Angebote zu
kostenlosen Angeboten und Dienstleistungen" finden wuerde. Klickt der
Nutzer auf einen der integrierten Links, wird er zu einer Webseite
geleitet, auf der er zunaechst seine persoenlichen Daten eingeben soll -
danach haette er Zugriff auf das Verzeichnis. Kommt der Nutzer dieser
Aufforderung jedoch nach, tappt er in die Kostenfalle. Bei genauerem
Hinsehen ist zu erkennen, dass mit der Registrierung eine Gebuehr von
89,95 Euro faellig wird. Anwender sollten bei massiv per E-Mail
beworbenen Webseiten stets misstrauisch sein.


2. STOERENFRIEDE: Schaedling verschluesselt Dateien

Fieser Erpresser
Online-Kriminelle versuchen derzeit Geld von Nutzern zu erpressen,
indem sie Dateien auf dem Rechner des Anwenders verschluesseln. Dies
meldet das IT-Sicherheitsunternehmen Trend Micro
[http://www.trendmicro.com]. Der Nutzer erhaelt eine Meldung auf seinem
PC, dass die Dateien im Ordner "Eigene Dateien" defekt seien. Die
Nachricht wird von einem Schaedling generiert, der sich zuvor auf dem
Computer des Nutzers eingenistet hat und die Dateien verschluesselt hat.
Um die Dateien wiederherzustellen, solle man die Vollversion eines
Entschluesselungsprogramms herunterladen - fuer 50 US Dollar. Nutzern
wird geraten, das Programm keinesfalls zu kaufen, sondern sich an einen
Computerexperten zu wenden. Ausserdem sollte die Antivirussoftware stets
auf dem aktuellen Stand gehalten werden. Mehr Infos zum Thema
betruegerische Software gibt es auf der BSI-FUER-BUERGER-Seite
[http://www.bsi-fuer-buerger.de/abzocker/falsche_software.htm].


3. STOERENFRIEDE: Wieder gefaelschte Packstation-Mails unterwegs

Achtung, Datenfischer!
Betrueger versenden derzeit erneut gefaelschte DHL-Packstation-Mails,
berichtet die IT-News-Seite Heise [http://www.heise.de]. In der Mail
heisst es: "Wir bitten Sie, Ihre Packstation zu verifizieren, da wir
momentan Probleme mit unseren Servern haben." Folgt der Nutzer dem
angegebenen Link, wird er auf eine taeuschend echt wirkende DHL-Webseite
mit der Domain "dhl.packstation.info" geleitet. Dort soll er seine
Zugangsdaten eingeben. Diese landen im Anschluss direkt bei den
Datenfischern. Da die DHL Packstation Dienste ueber verschiedene
offizielle Domains (dhl.de, packstation.de und paketundpunkt.de) zu
erreichen sind, faellt eine weitere Domain wie die gefaelschte
dhl-packstation.info den Nutzern nicht unbedingt auf. Empfaenger solcher
oder aehnlicher Mails sollten beim Anklicken von E-Mail-Links stets
vorsichtig sein. Mehr Infos zum Thema Phishing finden Sie auf der
BSI-FUER-BUERGER-Seite
[http://www.bsi-fuer-buerger.de/phishing/index.htm].


4. STOERENFRIEDE: Betrueger versenden gefaelschte Microsoft-Mails

Uebles Update
Wieder einmal versuchen Kriminelle ueber gefaelschte Microsoft-E-Mails
Schadsoftware auf die Rechner von Nutzern zu schleusen. Dies berichtet
das IT-Sicherheitsunternehmen Silicon [http://www.silicon.de]. In der
Mail heisst es, dass aufgrund von Fehlern in den Service Packs 1 und 2
fuer Windows XP die Hard- und Software des Computers in Gefahr sei. Man
solle ueber den eingefuegten Download-Link eine Datei installieren, um
die Schwachstellen zu beseitigen. Kommt der Empfaenger dieser
Aufforderung jedoch nach, installiert sich ein Trojanisches Pferd auf
dem Rechner. Dieses laedt im Anschluss weitere Schadsoftware aus dem
Netz herunter, zum Beispiel eine Spyware, die persoenliche Bankdaten
ausspioniert. Anwender sollten Software-Updates stets nur ueber die
offiziellen Herstellerwebseiten beziehen. Mehr Infos zu Trojanischen
Pferden stehen auf der BSI-FUER-BUERGER-Webseite
[http://www.bsi-fuer-buerger.de/viren/04_04.htm] fuer Sie bereit.


5. STOERENFRIEDE: Schwachstelle in Twitter ermoeglicht Verbreitung von Wuermern

Wieder gefaehrliches Gezwitscher
Eine Schwachstelle im Micro-Blog Twitter ermoeglichte Angreifern unter
anderem einen Wurm im Twitter-Netzwerk zu verbreiten. Dies meldet die
IT-News-Seite Heise [http://www.heise.de]. Klickt ein angemeldeter
Nutzer auf einen praeparierten Link in einer Nachricht, setzt der
eingebettete Code automatisch ein Posting im Namen des Anwenders ab. So
koennten Angreifer in kurzer Zeit den Wurm im Twitter-Netzwerk
verbreiten. Nutzer sollten beim Anklicken von Links in
Twitter-Nachrichten vorsichtig sein und die Antivirensoftware stets auf
dem aktuellen Stand halten. Mehr Infos zu Wuermern finden Sie auf der
BSI-FUER-BUERGER-Seite [http://www.bsi-fuer-buerger.de/viren/04_03.htm].



6. SCHUTZMASSNAHMEN: Updates fuer Thunderbird und SeaMonkey veroeffentlicht

Schnell einspielen!
Die Hersteller haben neue Versionen fuer das Mailprogramm Thunderbird
sowie die Internet Suite SeaMonkey herausgegeben. Schwachstellen
ermoeglichten es Angreifern bislang mithilfe praeparierter Webseiten
Schadcode auf fremden Computern auszufuehren. Nutzer sollten umgehend
auf die Thunderbird-Version 2.0.0.21 bzw. auf die SeaMonkey-Version
1.1.15 aktualisieren. Die neue Version fuer Thunderbird kann von der
Mozilla-Webseite
[http://www.mozilla-europe.org/de/products/thunderbird/] heruntergeladen
werden. Die aktualisierte SeaMonkey-Version steht auf der Webseite des
SeaMonkey-Projekts [http://www.seamonkey-project.org/releases/] zum
Download bereit.


7. SCHUTZMASSNAHMEN: Mozilla schliesst wieder kritische Luecken in Firefox

Noch ein Update
Erst vor kurzem wurde Firefox in Version 3.0.7 veroeffentlicht, da
folgt auch schon das Update auf Version 3.0.8. Zwei kritische
Sicherheitsluecken ermoeglichten Angreifern Schadsoftware auf fremde
PCs zu schleusen und auszufuehren. Anwender sollten Firefox daher
umgehend auf den aktuellen Stand bringen. Dies geschieht am einfachsten
ueber die automatische Update-Funktion. Alternativ kann Firefox 3.0.8
auch von der Mozilla-Webseite
[http://www.http://www.mozilla-europe.org/de/] heruntergeladen werden.


8. SCHUTZMASSNAHMEN: Adobe gibt Updates fuer Reader-Versionen 7 und 8 heraus

Nachzuegler
Adobe hat nach Veroeffentlichung der Updates fuer die 9er-Versionen des
Adobe Readers und von Adobe Acrobat nun auch aktualisierte Versionen
fuer die 7er und 8er-Reihen bereitgestellt. Wer nicht auf Version 9
umsteigen kann, sollte die aktuelle Fassung 7.1.1 bzw. 8.1.4
schnellstmoeglich einspielen. Eine kritische Schwachstelle ermoeglichte
Angreifern die Kontrolle ueber einen Rechner zu erlangen. Die
fehlerbereinigten Versionen koennen von der Adobe-Webseite
[http://www.adobe.com/support/security/bulletins/apsb09-04.html]
heruntergeladen werden.


9. PRISMA: Schutz vor dem Conficker-Wurm

Patchen, aktualisieren & aktivieren
Wie wichtig es ist, regelmaessig Sicherheitsupdates einzuspielen, zeigt
einmal mehr das Beispiel des Wurms Conficker. Er verbreitet sich unter
anderem ueber eine alte Sicherheitsluecke im Microsoft-Server-Dienst,
die bereits im Oktober 2008 durch einen Patch beseitigt wurde. Viele
Nutzer scheinen das Update jedoch nicht installiert zu haben - was eine
massenhafte Verbreitung des Schaedlings zur Folge hatte. Das
Buerger-CERT raet Anwendern dazu, zu ueberpruefen, ob das Update
MS08-067 auf dem Rechner installiert ist. Da sich Conficker auch ueber
Wechseldatentraeger wie USB-Sticks verbreitet und weitere
Verbreitungsmethoden nicht ausgeschlossen werden koennen, sollten
veroeffentlichte Updates fuer Betriebssystem und genutzte Software
generell zuegig eingespielt werden. Auch die Antivirensoftware sollte
stets auf dem aktuellen Stand gehalten und die Firewall aktiviert sein.
Tipps fuer ein sicheres Patch-Management gibt es auf der
BSI-FUER-BUERGER-Seite
[http://www.bsi-fuer-buerger.de/schuetzen/patchmgment.htm].



10. PRISMA: Erster Klicksafe-Newsletter erschienen

Infos rund um Medienkompetenz
Die EU-Initiative Klicksafe versendet ab sofort in regelmaessigen
Abstaenden einen Newsletter rund um das Thema Sicherheit im Internet. Er
bietet Informationen zu den Bereichen Medienkompetenz sowie Neuerungen
und Themen auf klicksafe.de. Ausserdem informiert er ueber neue
Publikationen und Infomaterialien sowie medienpaedagogische Termine und
Veranstaltungen wie Aktionstage und Messen. Die erste Ausgabe des
Newsletters erschien am 23. Maerz 2009 und berichtete u.a. ueber die
Aktionen zum vergangenen Safer Internet Day. Ausserdem wurde eine
aktuelle Broschuere zur Durchfuehrung von Elternabenden zum Thema
Chancen und Gefahren des Internets vorgestellt. Der kostenlose
Newsletter wird nach Anmeldung per E-Mail zugesandt. Abonnieren koennen
Sie den Newsletter ueber die Klicksafe-Webseite
[https://www.klicksafe.de/service/aktuelles/newsletter/newsletter.html].


11. PRISMA: Gefaelschte Antivirensoftware verschafft Betruegern hohe Gewinne

Teure (Un-)sicherheit
Das Verbreiten von falschen Antivirenprogrammen, sogenannter
Rogueware, ist fuer Betrueger ein lukratives Geschaeft. So zeigt eine
Untersuchung des IT-Sicherheitsunternehmens Finjan
[http://www.finjan.com], dass die Betreiber eines Rogueware-Netzwerkes
innerhalb von 16 Tagen rund 1,8 Millionen Nutzer zu Webseiten mit
betruegerischer Antivirensoftware geleitet haben. An jeder erfolgreichen
Umleitung verdienen die Kriminellen allein 9,6 Cents - pro Tag also rund
10.800 US Dollar, schaetzen die Experten. Zur Verbreitung der
gefaelschten Software manipulieren die Betrueger legitime Webseiten. Sie
fuegen dort eine eigene Seite ein, in der populaere Suchbegriffe
integriert sind. Dies hat zur Folge, dass die Seite bei
Suchmaschinenanfragen weit oben in der Trefferliste angezeigt wird.
Dadurch erhoeht sich die Wahrscheinlichkeit dass Nutzer die Seite
besuchen. Nach Angaben von Finjan fuehren bereits ueber eine halbe
Million Google Suchergebnisse zu derartig manipulierten Webseiten. Mehr
Infos zu manipulierter Antivirussoftware gibt es auf der
BSI-FUER-BUERGER-Seite
[http://www.bsi-fuer-buerger.de/abzocker/falsche_software.htm].



-----------------------------------------------------------------------

Dieser Newsletter ist ein kostenloses Service-Angebot des Buerger-CERT.
Er erscheint im Abstand von 14 Tagen. Die Informationen werden vom
Bundesamt fuer Sicherheit in der Informationstechnik,
http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und
aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die
Vollstaendigkeit und Richtigkeit nicht uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den
Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: info@buerger-cert.de .