Die Themen dieses Newsletters:

1. Aktiviert: Conficker-Varianten laden erstmals Schadcode nach
2. Gefaehrliche Praesentationen: Schwachstelle in PowerPoint entdeckt
3. Praeparierte Bilder: Schwachstelle in Plug-in fuer IrfanView
4. Vorbeigeschmuggelt: Sicherheitsluecken in verschiedenen Antivirenprodukten
5. Nicht locken lassen: Betruegerische Nigeria Connection verspricht Millionenerbe
6. Doppelt gefaehrlich : Kriminelle nehmen Mac-Nutzer ins Visier
7. Abgeguckt: Wurm nutzt gleiche Sicherheitsluecke wie Conficker
8. Zwitschernde Schaedlinge: Wuermer verbreiten sich ueber Twitter
9. Manipulierte Quicktime-Filme: Entwickler veroeffentlichen Update fuer Mediaplayer Xine
10. Jeden Monat neu: Microsoft gibt Sicherheitsupdates heraus
11. Gebuendelte Information: IT-Experten stellen Webseiten rund um Conficker zusammen
12. Zerstoerungswuetig: Trojanische Pferde beschaedigen Windows

-----------------------------------------------------------------------

1. STOERENFRIEDE: Conficker-Varianten laden erstmals Schadcode nach

Aktiviert
Die Varianten C und D des weit verbreiteten Wurms Conficker haben
begonnen, Schadcode aus dem Internet nachzuladen. Bei der nachgeladenen
Schadsoftware handelt es sich um einen Schaedling namens Waledac, der
die infizierten Rechner an ein Botnetz anschliesst. Dieses Botnetz ist
fuer den Versand von Spam-Mails verantwortlich - unter anderem fuer die
gefaelschten Reuters-Meldungen Ende Maerz 2009. Zusaetzlich laedt
Conficker noch weitere Dateien auf infizierte Rechner. Zum Schutz vor
Conficker gilt nach wie vor: Stellen Sie sicher, dass das
Microsoft-Update MS 08-067 auf ihrem Rechner installiert ist. Das
Buerger-CERT raet dazu, grundsaetzlich alle verfuegbaren
Sicherheitsupdates fuer das Betriebssystem und alle installierten
Programme zeitnah einzuspielen. Zusaetzlich sollte eine Firewall und ein
Virenschutzprogramm eingesetzt und regelmaessig aktualisiert werden.


2. STOERENFRIEDE: Schwachstelle in PowerPoint entdeckt

Gefaehrliche Praesentationen
Eine Sicherheitsluecke in Microsoft PowerPoint ermoeglicht Angreifern
Schadsoftware auf fremden Rechnern zu schleusen und zu starten,
berichtet das Unternehmen. Dazu muss der Nutzer eine manipulierte
Powerpoint-Praesentation oeffnen. Betroffen sind Microsoft Office
PowerPoint 2000 Service Pack 3, 2002 Service Pack 3 sowie Microsoft
Office 2004 fuer Mac. Einen Patch, der den Fehler beseitigt, gibt es
bislang nicht. Daher sollte die Antivirensoftware regelmaessig
aktualisiert und die Firewall aktiviert werden.


3. STOERENFRIEDE: Schwachstelle in Plug-in fuer IrfanView

Praeparierte Bilder
Eine Sicherheitsluecke in einem Plug-in fuer den Bildbetrachter
Irfanview ermoeglicht Angreifer Schadsoftware auf ein System schleusen.
Dies berichtet das IT-Sicherheitsunternehmen Secunia
[http://www.secunia.com]. Damit die Schwachstelle ausgenutzt werden
kann, muss der Nutzer eine manipulierte XMP-Datei oeffnen. Betroffen ist
die Plug-in Formatversion 4.22. Derzeit gibt es noch kein Update, das
die Sicherheitsluecke schliesst. Anwender sollten auf Version 4.23
aktualisieren, sobald diese zum Download bereitsteht.


4. STOERENFRIEDE: Sicherheitsluecken in verschiedenen Antivirenprodukten

Vorbeigeschmuggelt
Schwachstellen in verschiedenen Antivirenprodukten ermoeglicht
Angreifern unter anderem die Filterfunktionen der Programme zu umgehen
oder Schadcode einzuschleusen. Dies berichtet die IT-News-Seite Heise
[http://www.heise.de]. ClamAV hat daher bereits die fehlerbereinigte
Version 0.95.1 veroeffentlicht. Diese sollten Nutzer schnellstmoeglich
einspielen. Der Hersteller Frisk will eine Schwachstelle in seiner
Antivirenloesung F-Prot in der kommenden Version 4.5 beseitigen. Auch
IBMs Proventia Scan-Engine enthaelt eine Sicherheitsluecke. Ein Update,
dass die Schwachstelle beseitigt, wurde bislang jedoch nicht
veroeffentlicht.


5. STOERENFRIEDE: Betruegerische Nigeria Connection verspricht Millionenerbe

Nicht locken lassen
Kriminelle versenden derzeit E-Mails, die vermeintlich vom FBI stammen.
Dies meldet das IT-Sicherheitsunternehmen Sunbelt
[http://www.sunbeltsoftware.com]. In der Mail wird vor angeblichen
Betrugsversuchen afrikanischer Bankmanager gewarnt - der so genannten
Nigeria Connection. Erst am Ende der Nachricht wird deutlich, dass die
Mail-Versender vermutlich selbst betruegerische Absichten verfolgen:
Denn um ein Erbe von 12,5 Millionen US-Dollar antreten zu koennen, solle
sich der Mail-Empfaenger an angegebenen "vertrauenswuerdigen" Kontakt
wenden.
Bei diesem Betrugsmodell der Nigeria Connection wird dem Empfaenger
eine hohe Geldsumme angeboten. Um das Geld zu erhalten, soll er bei dem
Geldtransfer ins Ausland behilflich sein. Zunaechst fallen in der Regel
aber erst einmal vermeintliche Kosten wie Bankgebuehren an, die der
Empfaenger zu zahlen hat. Im Laufe der Zeit werden immer weitere
Zahlungen gefordert - das versprochene Geld sieht der Empfaenger jedoch
nicht. Empfaenger derartiger Mails sollten diese umgehend loeschen. Mehr
Infos zur Nigeria Connection gibt es auf der BSI-FUER-BUERGER-Webseite
[http://www.bsi-fuer-buerger.de/abzocker/05_0603.htm].



6. STOERENFRIEDE: Kriminelle nehmen Mac-Nutzer ins Visier

Doppelt gefaehrlich
Wie das IT-Sicherheitsunternehmen Trend Micro
[http://www.trendmicro.de] berichtet, versuchen Cyberkriminelle derzeit
Mac-Rechner mit Schadcode zu infizieren. Dazu tarnen sie die
Schadsoftware als Programm-Cracks von bekannten Apple-Anwendungen. Die
infizierten Dateien werden ueber Webseiten verbreitet, die
Key-Generatoren, Seriennummern und Cracks fuer Apple-Software anbieten.
Das BUERGER-CERT raet Nutzern generell dazu, nur legal erworbene
Software zu installieren. Das Herunterladen von Raubkopien oder Cracks
kann nicht nur dazu fuehren, dass das System mit Schadsoftware infiziert
wird, sondern auch Urheberrechte verletzen. Mehr Infos zum Thema Recht
im Internet gibt es auf der BSI-FUER-BUERGER-Webseite
[http://www.bsi-fuer-buerger.de/recht/index.htm].


7. STOERENFRIEDE: Wurm nutzt gleiche Sicherheitsluecke wie Conficker

Abgeguckt
"Was einmal funktioniert, klappt auch ein zweites Mal", scheinen sich
die Programmierer einer neuen Variante des Wurms "Neeris" gedacht zu
haben. Denn der Schaedling nutzt die gleichen Verbreitungsmethoden wie
der aktuell grassierende Wurm Conficker. Dies meldet die Online-Ausgabe
der PC-Welt [http://www.pcwelt.de]. Auch Neeris verbreitet sich ueber
die bereits gepatchte Luecke im Windows-Serverdienst. Ausserdem nutzt er
- genau wie Conficker - Wechselmedien wie beispielsweise USB-Sticks, um
weitere Rechner zu infizieren. Neeris ist eigentlich ein alter
Bekannter. Denn die ersten Varianten des Schaedlings stammen bereits aus
Mai 2005. Diese verbreiteten sich vor allem ueber MSN-Messenger. Die
Bezeichnungen des Wurms variieren . So ist Neeris auch unter dem Namen
"Autorun", "IRC-Bot" oder "Spybot" bekannt. Um sich vor Neeris zu
schuetzen, gilt: Installieren Sie das von Microsoft veroeffentlichte
Update MS08-067 aktualisieren Sie die Antivirensoftware und aktivieren
Sie die Firewall.


8. STOERENFRIEDE: Wuermer verbreiten sich ueber Twitter

Zwitschernde Schaedlinge
Wieder einmal ist im Micro-Blogging-Dienst Twitter eine Schwachstelle
entdeckt worden, wie die IT-News-Seite Heise [http://www.heise.de]
berichtet. Diese wurde in der Zwischenzeit von den Twitter-Betreibern
geschlossen. Ueber die Sicherheitsluecke konnten sich verschiedene
Wuermer in den Kurzbiografien von Nutzern einnisten. Betrachtete ein
Anwender die Biografie, versandte der Schaedling anschliessend in seinem
Namen Twitter-Nachrichten und infizierte auch sein Kurzprofil. Die
betroffenen Nutzer-Konten wurden nach Angaben des Unternehmens
desinfiziert und Links zu schaedlichen Profilen geloescht. Anwender
sollten sicherheitshalber dennoch kontrollieren, ob ihre Kurzbiografie
veraendert wurde und sollten ihr Twitter-Passwort aendern. Mehr Infos zu
Wuermern stehen auf der BSI-FUER-BUERGER-Webseite
[http://www.bsi-fuer-buerger.de/viren/04_03.htm] fuer Sie bereit.


9. SCHUTZMASSNAHMEN: Entwickler veroeffentlichen Update fuer Mediaplayer Xine

Manipulierte Quicktime-Filme
Eine Sicherheitsluecke in der Bibliothek xine-lib des Xine-Mediaplayers
ermoeglicht Angreifern Schadcode auf fremde PCs zu schleusen. Dazu
genuegt das Oeffnen einer praeparierten Quicktime-Datei mit einer auf
xine-lib basierenden Anwendung. Die Entwickler haben nun Version
1.1.16.3 der Bibliothek veroeffentlicht. Diese soll den Fehler nicht
mehr beinhalten. Nutzer sollten die Software schnellstmoeglich
aktualisieren. Dies geschieht am einfachsten ueber einen Besuch der
Xine-Webseite [http://www.xine-project.org/home].


10. SCHUTZMASSNAHMEN: Microsoft gibt Sicherheitsupdates heraus

Jeden Monat neu
Microsoft hat insgesamt acht Sicherheitsupdates veroeffentlicht, die
verschiedene Schwachstellen beseitigen. Betroffen sind verschiedene
Windows-Komponenten sowie der Internet Explorer und Microsoft Office.
Die Sicherheitsluecken ermoeglichen Angreifern unter anderem Schadcode
auf fremden Rechnern auszufuehren oder installierte Sicherheitssoftware
ausser Kraft zu setzen. Nutzer sollten die bereitgestellten Updates
umgehend installieren. Dies geschieht am einfachsten ueber die
automatische Update-Funktion.


11. PRISMA: IT-Experten stellen Webseiten rund um Conficker zusammen

Gebuendelte Information
Die Meldungen zum Windows-Wurm Conficker ueberschlagen sich - schnell
kann der Nutzer da den Ueberblick verlieren. Verschiedene IT-Unternehmen
stellen daher Webseiten zur Verfuegung, die alles Wissenswerte rund um
die Schadsoftware zusammenfassen. So bietet Heise eine zentrale
Uebersichtsseite
[http://www.heise.de/security/Die-Infoseite-zu-Conficker--/artikel/135725]
zu Conficker. Nutzer finden dort unter anderem Links zu Webseiten, die
Reinigungs-Tools und Netzwerk-Scanner anbieten. Ausserdem haben sich
Microsoft sowie verschiedene Hersteller von Antivirenprodukten zur
"Conficker Workinggroup" [http://www.confickerworkinggroup.org]
zusammengeschlossen. Auch hier gibt es naehere Infos sowie einen
Web-Test.


12. PRISMA: Trojanische Pferde beschaedigen Windows

Zerstoerungswuetig
Die meisten Trojanischen Pferde spionieren in der Regel Daten aus. Es
gibt jedoch auch solche , die darauf programmiert sind, Windows-Systeme
zu schaedigen. Dies berichtet die Online-Ausgabe der PC-Welt
[http://www.pcwelt.de]. Trojanische Pferde aus der Familie "Nethell"
sorgen zum Beispiel dafuer, dass Windows nach dem naechsten Neustart
nicht mehr geladen werden kann. Trojanische Pferde aus der Familie
"Infostealer" loeschen auf dem infizierten System Treiberdateien und
Registry-Schluessel. So wird verhindert, dass ein Nutzer sich am System
anmelden und die Benutzeroberflaeche von Windows starten kann. Anwender
sollten ihr Antivirusprogramm stets auf dem aktuellen Stand halten und
die Firewall aktivieren. Sollte es trotz aller Vorsichtsmassnahmen doch
einmal zu einer Infektion mit Schadsoftware kommen, bietet die
BSI-FUER-BUERGER-Webseite
[http://www.bsi-fuer-buerger.de/infiziert/index.htm] Tipps fuer den
Ernstfall.



-----------------------------------------------------------------------

Dieser Newsletter ist ein kostenloses Service-Angebot des Buerger-CERT.
Er erscheint im Abstand von 14 Tagen. Die Informationen werden vom
Bundesamt fuer Sicherheit in der Informationstechnik,
http://www.bsi.bund.de, mit groesster Sorgfalt recherchiert und
aufbereitet. Dennoch kann eine Gewaehr oder Haftung fuer die
Vollstaendigkeit und Richtigkeit nicht uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den
Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: info@buerger-cert.de .