Archiv für die Kategorie ‘CERT’

PC-Feuerwehr unterstützt den Aufschwung

18. Oktober 2009

Gründer^1000

Gründer^1000

Wir unterstützen die bundesweite Optimismus-Kampagne Optimismus^1000. Gerade in der Aufschwungphase nach der frisch durchlaufenen Krise brauchen wir persönliches Engagement und Mut.

Da wir selbst als Franchisegeber und ebenso alle Franchisepartner wissen wie schwierig es ist seine eigenen Existenz zu gründen und erfolgreich zu sein, engangieren wir uns besonders gerne für die Stärkung der Gründerszene in Deutschland mit einer besonderen Aktion. Es ist uns eine Freude unser Know-How für kleine und mittelständische Unternehmen sowohl als Tätigkeit eines „Computer Emergency Responce Teams“ (CERT oder zu deutsch sinngemäß PC-Feuerwehr)  sondern auch als IT-Experten präventiv und beratend im Aufbau einer produktiven, professionellen und bezahlbaren IT-Infrastruktur zur Verfügung zu stellen und Unternehmern bei Ihrem Geschäftserfolg zur Seite zu stehen.

Mehr zu unserem Beitrag auf der Webseite von Optimismus^1000.


ScareWare auch bald in Deutschland passé?

3. Januar 2009

Filme wie Scary-Movie haben auch in Deutschland den englischen Begriff ‚Scary‘ bekannter gemacht. Genau wie viele Trojaner per eMail mit komischen Behauptungen von hohen Rechnungsbeträgen und angeblichen Inkasso-Ankündigungen versuchen den Leser ins Boxhorn zu jagen, versuchen Softwarehersteller auf äußerst dubiose Art & Weise Ihre Anti-Virenprodukte mit Behauptungen wie z.B. dass der PC einen Virus hätte zu ködern. Dass das meistens gar nicht der Fall ist, stört die Hersteller nicht – die Meldung erscheint trotzdem.

Nun hat Anfang Dezember in den USA die Federal Trade Commission (FTC) – vergleichbar mit unseren Verbraucherschutzzentralen – vor einem US-Gericht zwei Herstellern per Verfügung den weiteren Verkauf Ihrer Produkte untersagen lassen. Gleichzeitig wurden die Vermögen der verurteilten Unternehmen Innovative Marketing Inc. und ByteHosting Internet Service LLC eingefroren. Ein deutliches Indiz dafür, dass das US-Gericht die Masche des Kundenfangs mit der Schreck-Software als Betrug bewertet.
Sicherlich nehmen sich auch in Deutschland die Verbraucherschutzzentralen dieser Thematik an und es darf erwartet werden, dass auch deutsche Gerichte zu ähnlichen Ergebnissen kommen dürften. Wie wichtig der Kampf gegen diesen sich explosionsartig ausbreitenden Wildwuchs ist, zeigt die Information von G DATA, nach der im September 2007 noch nur 31 Scare-Ware-Signaturen, im September 2008 jedoch bereits 2.094 solcher Signaturen erstellt wurden. Die Signaturen sind notwendig, damit ein AntiViren-Programm die bösartige Software entdecken und bekämpfen kann.

Die FTC nennt in Ihrer Mitteilung Produktnamen wie WinFixer, WinAntiVirus, DriveCleaner, ErrorSafe und XP Antivirus. Die Programme werden allerdings auch unter anderen Namen beworben und verkauft.

Lassen Sie sich von plötzlich im Internet aufpoppenden Behauptungen nicht in die Irre leiten. Trauen Sie nur einem etablierten Virenscanner der auf Ihrem System installiert ist und achten Sie darauf dafür auch stets die aktuellen Updates einzuspielen. Nur dann haben Sie stets die neuesten Signaturen, die für den Schutz Ihres PCs notwendig sind.
Wenn Sie sich nicht sicher sein sollten, so helfen wir Ihnen gern.

Die E-Mail-Adresse … wird gesperrt

1. Dezember 2008

Haben Sie gerade folgende oder eine ähnliche eMail in Ihrem Postfach gefunden?

Sehr geehrte Damen und Herren,

Ihre Email „name@domain.tld“ wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 27 Beschwerden wegen Spamversand bei uns eingegangen.
Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Falls das der Fall ist, dann lachen Sie einmal über die lustige Behauptung und klicken Sie entspannt auf ‚löschen‘. In dem Anhang der Datei ‚sperrung.zip‚ oder ‚hinweis.zip‘ findet sich wieder einmal ein bösartiges Programm, das Ihren PC infizieren möchte.

Erneut setzen die Versender auf den bekannten und dennoch leider immer noch wirksamen Schock-Effekt. Schon die falschen Umlaute sollten jeden Internetnutzer sofort aufmerksam werden lassen.
Technisch kann übrigens höchstens der tatsächliche eigene Provider einem die eMail-Adresse abschalten. Und der wird Ihnen sicherlich nicht in dieser Form schreiben oder mit einem werkwürdigen Absender. Wenn sowas überhaupt zutrifft, dann wird dieser vorher anrufen, sich eindeutig, freundlich und nachvollziehbar authentifizieren und Ihnen dann höflich mitteilen, dass es ein Problem mit Ihrer Mailbox gibt oder sich per Briefpost melden. Üblicherweise schaltet einem sowieso kein Provider die Mailbox einfach so ab.

Eine dummdreiste Behauptung die auch noch eine ZIP-Datei oder eine andere gepackte Datei im Anhang mitsendet ist ein eindeutiges Indiz für Schadsoftware.

Also – bitte fallen Sie auch auf diesen Trick nicht herein.

Erneut Viren in falschen Inkasso-eMails

24. November 2008

Seit heute morgen kursieren wieder Viren in eMails mit dem bekannten Strickmuster eine angebliche sehr hohe Forderung zu haben.

Nach unseren Tests erkennt derzeit kein Virenscanner den in der gepackten ZIP-Datei versteckten Virus.

Der Betreff variert:
Mahngebuehren Nr9231
Unterlassungserklaerung Nr3425
Zahlungsaufforderung Nr4612
Abrechnung 395951858121

Der Text lautet folgendermaßen oder ähnlich:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.212939748270 ist erfolgt
Es wurden 6342.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.

… Inkasso GmbH & Co. KG
Fredeburger Str. xx
3699 Bielefeld

Derzeit heißt der Dateianhang stets: abrechnung.zip und lediglich der Betrag und die Nummer der Abrechnung variert.

Bitte fallen Sie nicht auf diese üblen Tricks herein. Es darf angenommen werden, dass auch dieses mal wieder die Virenversender den Virus leicht modifizieren, sobald die Antivirenhersteller diesen erkennen, so wie es ja bereits vor ein paar Wochen der Fall war.

ca. 2,3 Millionen Domains für drei Stunden unerreichbar

21. November 2008

Seit ca. 12.35 Uhr war SchlundTech und InternetX (beides Dienstleister für Reseller, die zwar unter verschiedenen Marken am Markt auftreten, jedoch wohl die gleiche Technik verwenden dürften) Opfer eines DDoS-Angriffs. DDoS steht für Distributed Denial of Services und bedeutet sinngemäß, dass ein Angriff von ferngesteuerten Computern die Nameserver mit falschen Anfragen und Datenpaketen so massiv unter Last setzt, bis die normale Nutzung aufgrund der Datenflut den Dienst zum erliegen gebracht wird.
Doch schon morgens waren die ersten Ausfallerscheinungen temporär und nur kurzzeitig zu verzeichnen. Offensichtlich wurde der Angriff im Laufe des Tages heftiger.

Man kann es sich so ähnlich wie mit zu vielen Weihnachtspaketen vorstellen, wenn zudem gleichzeitig das Personal krank wird. Auch dann kommen Pakete zu später oder womöglich gar nicht an. In diesem Fall wurden massenweise künstliche Pakete im Internet mit dem Ziel den Name-Server-Dienst zu stören verschickt. Der Name-Server-Dienst ist im Prinzip das Telefonbuch des Internet. Es löst die Namen zu den verschiedenen Computern, bzw. deren technischen IP-Adressen auf. Obwohl die Computer über die IP-Adressen erreichbar gewesen wären, konnten die PCs die hinter den Domainnamen liegenden IP-Adressen aufgrund des DDoS nicht mehr abfragen, bzw. auflösen und somit die Computer nicht erreichen.

SchlundTech und InternetX gehören beide zur börsennotierten United Internet AG die immerhim im TecDax gelistet ist und wohl bekannter unter den Marken 1&1, GMX und web.de ist.

Immerhin knapp 18.000 Reseller haben bei den oben genannten Dienstleistern knapp 2,3 Mio Domains gehostet. Selbst wenn nur nur etwas über die Hälfte der dort gehosteten Domains die .de-TLD betroffen haben sollte,  dann wären also von den derzeit ~12,3 Millionen .de-Domains immerhin noch knapp 10% von dem Angriff betroffen gewesen.

Wenn selbst das sehr gut ausgestattete Rechenzentrum und Personal der United Internet AG über drei Stunden mit dem DDoS-Agriff kämpfen mußte, dann kann man sich vorstellen wie extrem stark die Attacke gewesen sein muß.

Auch uns traff der Angriff. Wir bedauern die Störung und Unannehmlichkeiten sehr und bitten alle ebenfalls davon betroffenen Kunden um Verständnis. In wenigen Stunden sollte wieder alles wie gewohnt funktionieren, so funktioniert seit 15.50 Uhr bei uns bereits wieder alles wie es soll.

Entsprechender der Menge der betroffenen Domains ist bei der Grafik des DeCIX (Deutschlands zentralem und wichtigsten Internetknoten in Frankfurt/Main) ein analog zu der Menge der betroffenen Domains geringer Datenverkehr in deren Statistiken sichtbar:

Quelle: DeCIX.

Wie der Heise-Newsticker in einem Update berichtet, hat Frau Petra Stubenrauch von InternetX / SchlundTech inzwischen per eMail über den extrem aggressiven Charakter der DDoS-Attacke technische Hintergrundinformationen geliefert. Demnach hält der Angriff noch immer an und es steht dementsprechend nur eine begrenzte Bandbreite zur Verfügung. Der Angriff liegt bei ca. 40.000 Hosts (PCs / Computer) und nutzt eine Gesamtbandbreite an Daten von 20 Gbit pro Sekunde.
Zum Vergleich: Der Durchsatz des DeCIX liegt in der Spitze derzeit bei 500 Gbit/s an einem Tag – der Angriff beträgt also von der Datenmenge her in etwa 4% der Spitze des gesamten Internetverkehrs über diesen zentralen Knoten in Deutschland. In modernen 16/1 MBit-DSL-Leitungen gesprochen heißt dies das ca. 20.000 voll ausgelastete DSL-Upstreams notwendig wären um dieses Volumen zu erreichen. Mit normalen älteren DSL-, ISDN- und Analogleitungen würden hierfür entsprechend noch wesentlich mehr Verbindungen benötigt. Man kann sicherlich ohne Übertreibung von einem extremen Ausmaß sprechen.

Wurm updated

6. November 2008

Die Meldung vom 25.10.2008 bezog sich auf einen Wurm der offensichtlich keine echte Weiterverbreitungsfunktion hatte. Doch inzwischen ist eine neue Variante unterwegs die sich nun aggresiv selbst vermehrt.

Solange die Windows-Firewall aktiviert ist oder ein Router mit Firewallfunktion die Filterung der eingehenden Pakete übernimmt, ist das Ansteckungsrisiko wohl sehr gering. Lediglich Computer die von außen über die Ports 135 – 139 und/oder 445 erreichbar sind könnten infiziert werden, solange die aktuellen Patches von Microsoft nicht installiert sind, die den bekannten Bug und damit die Angriffsfläche beheben.

Gerne prüfen wir Ihr System, ob es verwundbar ist oder gar schon infiziert wurde. Selbstverständlich installieren wir Ihnen auch gerne eine Lösung die Sie vor diesem und künftigen Würmern zuverlässig schützt.

Neuer Wurm attackiert Windows-Systeme

25. Oktober 2008

Fast alle haben in den letzten Tagen die Aufforderung Ihre Microsoft-Betriebssystemes ein Update zu installieren und unmittelbar danach den Rechner neu zu starten gesehen. Wer das Update bisher ignoriert hat, sollte es nunmehr umgehend installieren, denn seit kurzem soll sich ein Wurm namens ‚Gimmiv.A‘ im Internet auf Angriffstour befinden.
Der Wurm findet seinen Weg über eine RPC-Lücke in das Betriebssystem. Dafür genügt es wenn auf dem attakierten PC die Netzwerk- und Druckerfreigabe aktiviert ist. Die lokale Firewall hilft in diesem Fall nicht. Sofern Sie einen DSL-Router oder eine andere Hardwarefirefall zwischem dem Internet und Ihrer IT-Anlage haben, sollten Sie jedoch keine Probleme bekommen.
Insofern ist nicht mit einer so großen Verbreitung und so extremen Schäden zu rechnen, wie sie damals bei dem Wurm Sasser zu verzeichnen waren.

Dennoch raten wir Ihnen dazu die Windows-Updates stets einzuspielen. Und zwar sowohl für Ihr Betriebssystem als auch für das Office. Ebenso müssen regelmäßig die Browserupdates und deren Plugins installiert werden (Flash, Java, etc.).

Eine wichtige Aufgabe, bei der wir Ihnen gerne helfen oder die wir für Sie übernehmen. Nur durch kontinuierliche Prophylaxe kann das Risiko einen Schädlingsbefall zu erleiden minimiert werden.

Erneut Trojaner in gefälschten Rechnungen

24. Oktober 2008

Seit gestern Abend kursieren wieder bösartige eMails im Internet, die im Anhang die Datei RECHNUNG.ZIP haben. Wer die ZIP-Datei öffnet, findet zwei Dateien in dem Ordern ‚RECHNUNG‘:

rechnung.txt.lnk – die jedoch im Windowsexplorer nur als rechnung.txt angezeigt wird und
zertifikat.ssl

Wer sich jetzt von dem Betreff und der Text der eMail hat einschüchtern lassen oder emotional aufgeregt ist, hat gute Chancen sich den Trojaner einzufangen, denn nur einige Antivirenprogramme erkennen den Trojaner bisher. Unser Test hat ergeben, dass AntiVir diesen derzeit noch nicht erkennt und Dr. Web dies erst seit heute Vormittag kann. Andere Produkte von Herstellen wie ClamAV, Command, Kaspersky und Sophos sollen ihn ebenfalls bereits erkennen.

Wie immer ist bei merkwürdigen und unbekannten Absenderadressen und vorallem .ZIP-Dateien im Anhang höchste Vorsicht geboten. Auffällig sind auch die falschen deutschen Sonderzeichen, die durch ‚ue‘, ‚ae‘, etc ersetzt werden. Ein deutliches Indiz für einen Virus oder Trojaner in der eMail. Am Besten läßt man solche eMails zunächst entweder ein paar Tage liegen, damit die Antivirenhersteller eine Chance haben die bösartige eMail zu erkennen und einen dann zu warnen oder löscht diese eMail gleich.

Die eMail selbst lautet:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.950849253860 ist erfolgt
Es wurden 8070.48 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung

TESCHINKASSO Forderungsmanagement GmbH
….

Im Betreff stehen dabei verschiedenste Anganben wie z.B.:
TESCHINKASSO
Auflistung der Kosten
1 Rate
Ratenzahlung
Abbuchung
Amtsgericht
Amtsgericht Koeln
Srayfriends Anmeldung

Update I: Nachdem vor diesen Viren gewarnt wird, gibt es jetzt zusätzlich auch den Mißbrauch von StayFriends mit folgender eMail:

…vielen Dank fur Ihre Anmeldung bei stayfriends.de Sie haben Sich fuer unseren kostenpflichtigen Suchservice entschieden. 295,96- Euro werden Ihrem Konto fur ein Jahresvertrag zu Last gelegt. Wir mailen Ihnen alle Antworten auf Ihre Suchanfrage 2 Mal woechentlich zu, Sie koennen sich auch zu jeder Zeit einloggen und den aktuellen Stand einsehen. Entnehmen Sie Ihre Rechnung und den Zugang zu Ihrem Profil den unten angefuehrten Anhang. Bitte diesen genauestens durchlesen und bei einer Unstimmigkeit uns kontaktieren. Zum Lesen wird kein zusaetzliches Programm benoetigt.Falls die Anmeldung von einer dritten Person ohne Ihre Zustimmung durchgefuehrt wurde, fuehren Sie unverzueglich, den in dem Anhang aufgefuehrten Abmeldevorgang aus.Der Widerspruch ist nach unseren AGB’s innerhalb von 7 Tagen schriftlich zulaessig!
Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen per Post zugestellt.

Update II: Inzwischen gibt es eine dritte Welle die aber genau in die gleiche Kerbe zu schlagen versucht, hier der eMail-Text:

Sehr geehrte Damen und Herren,

Usenet GmbH – usenext.de
69,85 EUR

Beate Uhse GmbH  beate-uhse.de
35,59 EUR

bisherige Mahnkosten unserer Mandanten:
68,17 EUR

vorgerichtliche Inkassogebuehren:
52,92 EUR

noch offener Gesamtbetrag inklusive unserer Bearbeitungskosten:
226,64 EUR

bislang ist der von uns angemahnte Betrag nicht ausgeglichen worden!

Als Vertragspartner der SCHUFA Holding AG weisen wir darauf hin, dass wir Daten ueber aussergerichtliche und gerichtliche Einziehungsmassnahmen bei ueberfaelligen und unbestrittenen Forderungen an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, uebermitteln. Vertragspartner der SCHUFA sind vor allem Kreditinstigute sowie Kreditkarten- und Leasinggesellschaften.
Moechten Sie diese Schritte vermeiden, zahlen Sie bitte bis zum 09.12.2008 Ihren Schuldbetrag unter Angabe Ihres
Aktenzeichens (siehe Anhang) auf die in der Auflistung genannte Bankverbindung.
Die detailierte Auflistung Ihrer Rechnungen, Mahngebuehren und die Zahlungs bzw. Wiederspruchshinweise finden Sie im Anhang.

Diesmal heißt die Datei im Anhang: Anhang.zip in der wiederum der Trojaner steckt und scheinbar wieder in einer leicht anderen Version, denn weder Dr. Web noch Antivir erkennen ihn derzeit bei unseren ersten Tests.

Update III: Kaum haben die Antivirenhersteller die Signaturen angepaßt, so daß die auch die bösartigen eMails der zweiten Welle zuverlässig erkannt werden, ändern die Angreifer Ihre Dateinamen und den Code des Trojaners. Jetzt heißt die Datei Mahnung.zip die den Schadcode enthält. Wir werden sehen, wie lange dieses Katz- und Mausspiel noch andauern wird.
Eine so exzessive und massenweise eMail-Flut dieser Art hat es lange nicht gegeben.

Unser Rat: Lassen Sie sich nicht von solchen eMails einschüchtern oder aufregen! Die Beträge varieren und sind in der Regel mit Absicht sehr hoch angesetzt. Ebenso wird das Thema Erotik genutzt. Beides nur um Sie dazu zu verleiten diese sofort und ohne Nachzudenken zu öffnen und somit die sonst üblichen Bedenken in der Aufregung zu vergessen und jegliche Vorsicht zu mißachten. Genau darauf zielen diese eMail stets ab. Lassen Sie sich bitte nicht reinlegen!

P.S. Wie Spiegel Online berichtet, warnt sogar die Polizei Köln vor diesen eMails, die leider auch schon einige Opfer gefunden hat, wie wir aus unseren Aufträgen am Freitag und am Wochenende wissen.

Alle WLAN Verschlüsselungen unsicher!

11. Oktober 2008

Galt bis vor kurzem noch, das WPA und insbesondere WPA2 für WLANs eine ausreichend starke Verschlüsselung sei, so hat Elcomsoft mit seiner Ankündigung diese jetzt 100 mal schneller als bisher dechiffrieren zu können und in nur wenigen Sekunden mit einigen wenigen abgefangenen Datenpaketen knacken zu können das Ende dieser bisherigen Sicherheit eingeleitet.

Allerdings basiert die aktuelle Beschleunigung der Dechiffrierung auf intensiver Nutzung der Rechengeschwindigkeit von modernen NVIDIA GPUs (Grafik-Prozessoren), wobei zudem mehrere Karten parallel genutzt werden müssen um den vollen Effekt zu erzielen. In der Praxis bedeutet dies also, dass der technische und finanzielle Aufwand ist derzeit noch so hoch ist, dass der ‚Nachbar von Nebenan‘ oder der ‚Gelegenheitshacker‘ sicherlich noch nicht den Aufwand betreiben wird, um sich mal kurzerhand beim Nachbarn oder einem kleinen Unternehmen einzuhacken. Bei der Geschwindigkeit mit der Grafikkarten verbessert und die Entwicklung von Rechenkapazitäten weitergeht ist es jedoch wohl höchstens eine Frage von ein bis zwei Jahren bis tatsächlich auch jeder nur halbwegs technisch begabte Mensch in der Lage ist auch die Verschlüsselungsstandards WPA und WPA2 genauso leicht zu knacken, wie es jetzt bereits bei WEP der Fall ist.

Unternehmen, Rechtsanwälte, Steuerberater und Ärzte sollten deshalb unbedingt Ihre Netzwerkinfrastruktur überprüfen lassen und baldmöglichst die Einrichtung von VPNs für die WLAN-Zugänge einführen. Alternativ empfiehlt sich das klassische kabelgebundene Netzwerk, welches sich von den Übertragungsgeschwindigkeiten, der geringen Störungsanfälligkeit und der Sicherheit ohnehin weiterhin empfiehlt. Der derzeit noch notwendige technische Aufwand zur Dechiffrierung dürfte allerdings z.B. einen Wettbewerber der Wirtschaftsspionage betreiben will oder einen Dritten der anderes übles im Schilde führt, wie z.B. frühzeitige Kenntnis einer Strategie bei Anwälten oder Bauplänen eines Maschinenbauers, etc. nicht mehr zu hoch sein. Es besteht also wohl offensichtlich dringender Handlungsbedarf für diese Nutzergruppe.

Privatpersonen sollten Ihren WLAN-Access-Point nur einschalten, wenn sie ihn tatsächlich nutzen und somit die Chance auf einen Angriff verkleinern, da Ihr WLAN dann nur sporadisch gefunden und entsprechend schlechter gehackt oder mißbraucht werden kann.

Standort Schnellsuche

oder

Seit 22 Jahren für Sie im Einsatz.

Bundesweiter IT-Service seit 1996 - über 600.000 gelöste IT-Probleme

Homepage

Zur PC112 - Hauptseite

IT so leicht wie 1 + 1 = 2.


{lang: 'de'} */ ?>