Es sind die Windows Betriebssysteme inklusive der Server-Versionen, als auch Anwendungsprogramme aus dem Microsoft Office Paket wie die Tabellenkalkulation Excel und die Textverarbeitung Microsoft Word sowie die Einbindung des Microsoft Verzeichnisdienstes (Active Directory Service – ADS) betroffen.

Die Schwachstellen lassen sich z.B von manipulierten Webseiten, Dokumenten und Schriftarten ausnutzen, um Schadsoftware auf den Rechnern der Opfer auszuführen.

Wir empfehlen deshalb die von Microsoft zur Verfügung gestellten Updates schnellstmöglich einzuspielen. Dafür surfen Sie zum Beispiel mit dem Internet Explorer auf die Webseite http://windowsupdate.microsoft.com/

Quellen:
[1] Microsoft-Sicherheitsupdates fuer November 2009:
http://www.microsoft.com/germany/protect/computer/updates/bulletins/200911.mspx

[2] Einrichten der automatischen Sicherheitsupdates unter Microsoft Windows
http://windows.microsoft.com/de-DE/windows-vista/Turn-automatic-updating-on-or-off

Das Risiko sei hoch, so lautet die Warnung des Bundesamtes für Sicherheitstechnik in der zum dringenden Update von Mac OS X 10.5 und 10.6 in der normalen Desktop- und der Server-Version geraten wird.

Durch ein Sicherheitsloch im AFP-Server könnten Angreifer Schadecode auf den Geräten ausführen.

Betroffen sind die Programme: AFP Client, Adaptive Firewall, Apache, Apache Portable Runtime, ATS, Certificate Assistant, CoreGraphics, CoreMedia, CUPS, Dictionary, DirectoryService, Disk Images, Dovecot, Event Monitor, fetchmail, File, FreeRADIUS, FTP Server, Help Viewer, ImageIO, International Components for Unicode, IOKit, IPSec, Kernel, Launch Services, libsecurity, libxml, Login Window, OpenLDAP, OpenSSH, PHP, QuickDraw Manager, QuickLook, QuickTime, Screen Sharing, Spotlight und Subversion.

Wir raten Ihnen dazu dringend das Update von Apple einzuspielen. Dies geschieht fuer Mac OS Systeme am einfachsten über die Apple-Funktion „Softwareaktualisierung“  oder durch einen Besuch der Download-Webseite unter: http://www.apple.com/support/downloads/

Quellen:
[1] Apple Sicherheitsmeldung 2009-006 – Mac OS X 10.6.2
http://support.apple.com/kb/HT3937?viewlocale=de_DE

[2] Apple Softwareaktualisierung
http://support.apple.com/kb/HT1338?viewlocale=de_DE

Wir unterstützen die bundesweite Optimismus-Kampagne Optimismus^1000. Gerade in der Aufschwungphase nach der frisch durchlaufenen Krise brauchen wir persönliches Engagement und Mut.

Da wir selbst als Franchisegeber und ebenso alle Franchisepartner wissen wie schwierig es ist seine eigenen Existenz zu gründen und erfolgreich zu sein, engangieren wir uns besonders gerne für die Stärkung der Gründerszene in Deutschland mit einer besonderen Aktion. Es ist uns eine Freude unser Know-How für kleine und mittelständische Unternehmen sowohl als Tätigkeit eines „Computer Emergency Responce Teams“ (CERT oder zu deutsch sinngemäß PC-Feuerwehr)  sondern auch als IT-Experten präventiv und beratend im Aufbau einer produktiven, professionellen und bezahlbaren IT-Infrastruktur zur Verfügung zu stellen und Unternehmern bei Ihrem Geschäftserfolg zur Seite zu stehen.

Mehr zu unserem Beitrag auf der Webseite von Optimismus^1000.

Filme wie Scary-Movie haben auch in Deutschland den englischen Begriff ‚Scary‘ bekannter gemacht. Genau wie viele Trojaner per eMail mit komischen Behauptungen von hohen Rechnungsbeträgen und angeblichen Inkasso-Ankündigungen versuchen den Leser ins Boxhorn zu jagen, versuchen Softwarehersteller auf äußerst dubiose Art & Weise Ihre Anti-Virenprodukte mit Behauptungen wie z.B. dass der PC einen Virus hätte zu ködern. Dass das meistens gar nicht der Fall ist, stört die Hersteller nicht – die Meldung erscheint trotzdem.

Nun hat Anfang Dezember in den USA die Federal Trade Commission (FTC) – vergleichbar mit unseren Verbraucherschutzzentralen – vor einem US-Gericht zwei Herstellern per Verfügung den weiteren Verkauf Ihrer Produkte untersagen lassen. Gleichzeitig wurden die Vermögen der verurteilten Unternehmen Innovative Marketing Inc. und ByteHosting Internet Service LLC eingefroren. Ein deutliches Indiz dafür, dass das US-Gericht die Masche des Kundenfangs mit der Schreck-Software als Betrug bewertet.
Sicherlich nehmen sich auch in Deutschland die Verbraucherschutzzentralen dieser Thematik an und es darf erwartet werden, dass auch deutsche Gerichte zu ähnlichen Ergebnissen kommen dürften. Wie wichtig der Kampf gegen diesen sich explosionsartig ausbreitenden Wildwuchs ist, zeigt die Information von G DATA, nach der im September 2007 noch nur 31 Scare-Ware-Signaturen, im September 2008 jedoch bereits 2.094 solcher Signaturen erstellt wurden. Die Signaturen sind notwendig, damit ein AntiViren-Programm die bösartige Software entdecken und bekämpfen kann.

Die FTC nennt in Ihrer Mitteilung Produktnamen wie WinFixer, WinAntiVirus, DriveCleaner, ErrorSafe und XP Antivirus. Die Programme werden allerdings auch unter anderen Namen beworben und verkauft.

Lassen Sie sich von plötzlich im Internet aufpoppenden Behauptungen nicht in die Irre leiten. Trauen Sie nur einem etablierten Virenscanner der auf Ihrem System installiert ist und achten Sie darauf dafür auch stets die aktuellen Updates einzuspielen. Nur dann haben Sie stets die neuesten Signaturen, die für den Schutz Ihres PCs notwendig sind.
Wenn Sie sich nicht sicher sein sollten, so helfen wir Ihnen gern.

Haben Sie gerade folgende oder eine ähnliche eMail in Ihrem Postfach gefunden?

Sehr geehrte Damen und Herren,

Ihre Email „[email protected]“ wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 27 Beschwerden wegen Spamversand bei uns eingegangen.
Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Falls das der Fall ist, dann lachen Sie einmal über die lustige Behauptung und klicken Sie entspannt auf ‚löschen‘. In dem Anhang der Datei ‚sperrung.zip‚ oder ‚hinweis.zip‘ findet sich wieder einmal ein bösartiges Programm, das Ihren PC infizieren möchte.

Erneut setzen die Versender auf den bekannten und dennoch leider immer noch wirksamen Schock-Effekt. Schon die falschen Umlaute sollten jeden Internetnutzer sofort aufmerksam werden lassen.
Technisch kann übrigens höchstens der tatsächliche eigene Provider einem die eMail-Adresse abschalten. Und der wird Ihnen sicherlich nicht in dieser Form schreiben oder mit einem werkwürdigen Absender. Wenn sowas überhaupt zutrifft, dann wird dieser vorher anrufen, sich eindeutig, freundlich und nachvollziehbar authentifizieren und Ihnen dann höflich mitteilen, dass es ein Problem mit Ihrer Mailbox gibt oder sich per Briefpost melden. Üblicherweise schaltet einem sowieso kein Provider die Mailbox einfach so ab.

Eine dummdreiste Behauptung die auch noch eine ZIP-Datei oder eine andere gepackte Datei im Anhang mitsendet ist ein eindeutiges Indiz für Schadsoftware.

Also – bitte fallen Sie auch auf diesen Trick nicht herein.

Seit heute morgen kursieren wieder Viren in eMails mit dem bekannten Strickmuster eine angebliche sehr hohe Forderung zu haben.

Nach unseren Tests erkennt derzeit kein Virenscanner den in der gepackten ZIP-Datei versteckten Virus.

Der Betreff variert:
Mahngebuehren Nr9231
Unterlassungserklaerung Nr3425
Zahlungsaufforderung Nr4612
Abrechnung 395951858121

Der Text lautet folgendermaßen oder ähnlich:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.212939748270 ist erfolgt
Es wurden 6342.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.

… Inkasso GmbH & Co. KG
Fredeburger Str. xx
3699 Bielefeld

Derzeit heißt der Dateianhang stets: abrechnung.zip und lediglich der Betrag und die Nummer der Abrechnung variert.

Bitte fallen Sie nicht auf diese üblen Tricks herein. Es darf angenommen werden, dass auch dieses mal wieder die Virenversender den Virus leicht modifizieren, sobald die Antivirenhersteller diesen erkennen, so wie es ja bereits vor ein paar Wochen der Fall war.

Seit ca. 12.35 Uhr war SchlundTech und InternetX (beides Dienstleister für Reseller, die zwar unter verschiedenen Marken am Markt auftreten, jedoch wohl die gleiche Technik verwenden dürften) Opfer eines DDoS-Angriffs. DDoS steht für Distributed Denial of Services und bedeutet sinngemäß, dass ein Angriff von ferngesteuerten Computern die Nameserver mit falschen Anfragen und Datenpaketen so massiv unter Last setzt, bis die normale Nutzung aufgrund der Datenflut den Dienst zum erliegen gebracht wird.
Doch schon morgens waren die ersten Ausfallerscheinungen temporär und nur kurzzeitig zu verzeichnen. Offensichtlich wurde der Angriff im Laufe des Tages heftiger.

Man kann es sich so ähnlich wie mit zu vielen Weihnachtspaketen vorstellen, wenn zudem gleichzeitig das Personal krank wird. Auch dann kommen Pakete zu später oder womöglich gar nicht an. In diesem Fall wurden massenweise künstliche Pakete im Internet mit dem Ziel den Name-Server-Dienst zu stören verschickt. Der Name-Server-Dienst ist im Prinzip das Telefonbuch des Internet. Es löst die Namen zu den verschiedenen Computern, bzw. deren technischen IP-Adressen auf. Obwohl die Computer über die IP-Adressen erreichbar gewesen wären, konnten die PCs die hinter den Domainnamen liegenden IP-Adressen aufgrund des DDoS nicht mehr abfragen, bzw. auflösen und somit die Computer nicht erreichen.

SchlundTech und InternetX gehören beide zur börsennotierten United Internet AG die immerhim im TecDax gelistet ist und wohl bekannter unter den Marken 1&1, GMX und web.de ist.

Immerhin knapp 18.000 Reseller haben bei den oben genannten Dienstleistern knapp 2,3 Mio Domains gehostet. Selbst wenn nur nur etwas über die Hälfte der dort gehosteten Domains die .de-TLD betroffen haben sollte,  dann wären also von den derzeit ~12,3 Millionen .de-Domains immerhin noch knapp 10% von dem Angriff betroffen gewesen.

Wenn selbst das sehr gut ausgestattete Rechenzentrum und Personal der United Internet AG über drei Stunden mit dem DDoS-Agriff kämpfen mußte, dann kann man sich vorstellen wie extrem stark die Attacke gewesen sein muß.

Auch uns traff der Angriff. Wir bedauern die Störung und Unannehmlichkeiten sehr und bitten alle ebenfalls davon betroffenen Kunden um Verständnis. In wenigen Stunden sollte wieder alles wie gewohnt funktionieren, so funktioniert seit 15.50 Uhr bei uns bereits wieder alles wie es soll.

Entsprechender der Menge der betroffenen Domains ist bei der Grafik des DeCIX (Deutschlands zentralem und wichtigsten Internetknoten in Frankfurt/Main) ein analog zu der Menge der betroffenen Domains geringer Datenverkehr in deren Statistiken sichtbar:

Quelle: DeCIX.

Wie der Heise-Newsticker in einem Update berichtet, hat Frau Petra Stubenrauch von InternetX / SchlundTech inzwischen per eMail über den extrem aggressiven Charakter der DDoS-Attacke technische Hintergrundinformationen geliefert. Demnach hält der Angriff noch immer an und es steht dementsprechend nur eine begrenzte Bandbreite zur Verfügung. Der Angriff liegt bei ca. 40.000 Hosts (PCs / Computer) und nutzt eine Gesamtbandbreite an Daten von 20 Gbit pro Sekunde.
Zum Vergleich: Der Durchsatz des DeCIX liegt in der Spitze derzeit bei 500 Gbit/s an einem Tag – der Angriff beträgt also von der Datenmenge her in etwa 4% der Spitze des gesamten Internetverkehrs über diesen zentralen Knoten in Deutschland. In modernen 16/1 MBit-DSL-Leitungen gesprochen heißt dies das ca. 20.000 voll ausgelastete DSL-Upstreams notwendig wären um dieses Volumen zu erreichen. Mit normalen älteren DSL-, ISDN- und Analogleitungen würden hierfür entsprechend noch wesentlich mehr Verbindungen benötigt. Man kann sicherlich ohne Übertreibung von einem extremen Ausmaß sprechen.

Die Meldung vom 25.10.2008 bezog sich auf einen Wurm der offensichtlich keine echte Weiterverbreitungsfunktion hatte. Doch inzwischen ist eine neue Variante unterwegs die sich nun aggresiv selbst vermehrt.

Solange die Windows-Firewall aktiviert ist oder ein Router mit Firewallfunktion die Filterung der eingehenden Pakete übernimmt, ist das Ansteckungsrisiko wohl sehr gering. Lediglich Computer die von außen über die Ports 135 – 139 und/oder 445 erreichbar sind könnten infiziert werden, solange die aktuellen Patches von Microsoft nicht installiert sind, die den bekannten Bug und damit die Angriffsfläche beheben.

Gerne prüfen wir Ihr System, ob es verwundbar ist oder gar schon infiziert wurde. Selbstverständlich installieren wir Ihnen auch gerne eine Lösung die Sie vor diesem und künftigen Würmern zuverlässig schützt.

Fast alle haben in den letzten Tagen die Aufforderung Ihre Microsoft-Betriebssystemes ein Update zu installieren und unmittelbar danach den Rechner neu zu starten gesehen. Wer das Update bisher ignoriert hat, sollte es nunmehr umgehend installieren, denn seit kurzem soll sich ein Wurm namens ‚Gimmiv.A‘ im Internet auf Angriffstour befinden.
Der Wurm findet seinen Weg über eine RPC-Lücke in das Betriebssystem. Dafür genügt es wenn auf dem attakierten PC die Netzwerk- und Druckerfreigabe aktiviert ist. Die lokale Firewall hilft in diesem Fall nicht. Sofern Sie einen DSL-Router oder eine andere Hardwarefirefall zwischem dem Internet und Ihrer IT-Anlage haben, sollten Sie jedoch keine Probleme bekommen.
Insofern ist nicht mit einer so großen Verbreitung und so extremen Schäden zu rechnen, wie sie damals bei dem Wurm Sasser zu verzeichnen waren.

Dennoch raten wir Ihnen dazu die Windows-Updates stets einzuspielen. Und zwar sowohl für Ihr Betriebssystem als auch für das Office. Ebenso müssen regelmäßig die Browserupdates und deren Plugins installiert werden (Flash, Java, etc.).

Eine wichtige Aufgabe, bei der wir Ihnen gerne helfen oder die wir für Sie übernehmen. Nur durch kontinuierliche Prophylaxe kann das Risiko einen Schädlingsbefall zu erleiden minimiert werden.

Seit gestern Abend kursieren wieder bösartige eMails im Internet, die im Anhang die Datei RECHNUNG.ZIP haben. Wer die ZIP-Datei öffnet, findet zwei Dateien in dem Ordern ‚RECHNUNG‘:

rechnung.txt.lnk – die jedoch im Windowsexplorer nur als rechnung.txt angezeigt wird und
zertifikat.ssl

Wer sich jetzt von dem Betreff und der Text der eMail hat einschüchtern lassen oder emotional aufgeregt ist, hat gute Chancen sich den Trojaner einzufangen, denn nur einige Antivirenprogramme erkennen den Trojaner bisher. Unser Test hat ergeben, dass AntiVir diesen derzeit noch nicht erkennt und Dr. Web dies erst seit heute Vormittag kann. Andere Produkte von Herstellen wie ClamAV, Command, Kaspersky und Sophos sollen ihn ebenfalls bereits erkennen.

Wie immer ist bei merkwürdigen und unbekannten Absenderadressen und vorallem .ZIP-Dateien im Anhang höchste Vorsicht geboten. Auffällig sind auch die falschen deutschen Sonderzeichen, die durch ‚ue‘, ‚ae‘, etc ersetzt werden. Ein deutliches Indiz für einen Virus oder Trojaner in der eMail. Am Besten läßt man solche eMails zunächst entweder ein paar Tage liegen, damit die Antivirenhersteller eine Chance haben die bösartige eMail zu erkennen und einen dann zu warnen oder löscht diese eMail gleich.

Die eMail selbst lautet:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.950849253860 ist erfolgt
Es wurden 8070.48 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung

TESCHINKASSO Forderungsmanagement GmbH
….

Im Betreff stehen dabei verschiedenste Anganben wie z.B.:
TESCHINKASSO
Auflistung der Kosten
1 Rate
Ratenzahlung
Abbuchung
Amtsgericht
Amtsgericht Koeln
Srayfriends Anmeldung

Update I: Nachdem vor diesen Viren gewarnt wird, gibt es jetzt zusätzlich auch den Mißbrauch von StayFriends mit folgender eMail:

…vielen Dank fur Ihre Anmeldung bei stayfriends.de Sie haben Sich fuer unseren kostenpflichtigen Suchservice entschieden. 295,96- Euro werden Ihrem Konto fur ein Jahresvertrag zu Last gelegt. Wir mailen Ihnen alle Antworten auf Ihre Suchanfrage 2 Mal woechentlich zu, Sie koennen sich auch zu jeder Zeit einloggen und den aktuellen Stand einsehen. Entnehmen Sie Ihre Rechnung und den Zugang zu Ihrem Profil den unten angefuehrten Anhang. Bitte diesen genauestens durchlesen und bei einer Unstimmigkeit uns kontaktieren. Zum Lesen wird kein zusaetzliches Programm benoetigt.Falls die Anmeldung von einer dritten Person ohne Ihre Zustimmung durchgefuehrt wurde, fuehren Sie unverzueglich, den in dem Anhang aufgefuehrten Abmeldevorgang aus.Der Widerspruch ist nach unseren AGB’s innerhalb von 7 Tagen schriftlich zulaessig!
Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen per Post zugestellt.

Update II: Inzwischen gibt es eine dritte Welle die aber genau in die gleiche Kerbe zu schlagen versucht, hier der eMail-Text:

Sehr geehrte Damen und Herren,

Usenet GmbH – usenext.de
69,85 EUR

Beate Uhse GmbH  beate-uhse.de
35,59 EUR

bisherige Mahnkosten unserer Mandanten:
68,17 EUR

vorgerichtliche Inkassogebuehren:
52,92 EUR

noch offener Gesamtbetrag inklusive unserer Bearbeitungskosten:
226,64 EUR

bislang ist der von uns angemahnte Betrag nicht ausgeglichen worden!

Als Vertragspartner der SCHUFA Holding AG weisen wir darauf hin, dass wir Daten ueber aussergerichtliche und gerichtliche Einziehungsmassnahmen bei ueberfaelligen und unbestrittenen Forderungen an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, uebermitteln. Vertragspartner der SCHUFA sind vor allem Kreditinstigute sowie Kreditkarten- und Leasinggesellschaften.
Moechten Sie diese Schritte vermeiden, zahlen Sie bitte bis zum 09.12.2008 Ihren Schuldbetrag unter Angabe Ihres
Aktenzeichens (siehe Anhang) auf die in der Auflistung genannte Bankverbindung.
Die detailierte Auflistung Ihrer Rechnungen, Mahngebuehren und die Zahlungs bzw. Wiederspruchshinweise finden Sie im Anhang.

Diesmal heißt die Datei im Anhang: Anhang.zip in der wiederum der Trojaner steckt und scheinbar wieder in einer leicht anderen Version, denn weder Dr. Web noch Antivir erkennen ihn derzeit bei unseren ersten Tests.

Update III: Kaum haben die Antivirenhersteller die Signaturen angepaßt, so daß die auch die bösartigen eMails der zweiten Welle zuverlässig erkannt werden, ändern die Angreifer Ihre Dateinamen und den Code des Trojaners. Jetzt heißt die Datei Mahnung.zip die den Schadcode enthält. Wir werden sehen, wie lange dieses Katz- und Mausspiel noch andauern wird.
Eine so exzessive und massenweise eMail-Flut dieser Art hat es lange nicht gegeben.

Unser Rat: Lassen Sie sich nicht von solchen eMails einschüchtern oder aufregen! Die Beträge varieren und sind in der Regel mit Absicht sehr hoch angesetzt. Ebenso wird das Thema Erotik genutzt. Beides nur um Sie dazu zu verleiten diese sofort und ohne Nachzudenken zu öffnen und somit die sonst üblichen Bedenken in der Aufregung zu vergessen und jegliche Vorsicht zu mißachten. Genau darauf zielen diese eMail stets ab. Lassen Sie sich bitte nicht reinlegen!

P.S. Wie Spiegel Online berichtet, warnt sogar die Polizei Köln vor diesen eMails, die leider auch schon einige Opfer gefunden hat, wie wir aus unseren Aufträgen am Freitag und am Wochenende wissen.