Die E-Mail-Adresse … wird gesperrt

1. Dezember 2008 von Michael Kittlitz

Haben Sie gerade folgende oder eine ähnliche eMail in Ihrem Postfach gefunden?

Sehr geehrte Damen und Herren,

Ihre Email „name@domain.tld“ wird wegen Missbrauch innerhalb der naechsten 24 Stunden gesperrt. Es sind 27 Beschwerden wegen Spamversand bei uns eingegangen.
Details und moegliche Schritte zur Entsperrung finden Sie im Anhang.

Falls das der Fall ist, dann lachen Sie einmal über die lustige Behauptung und klicken Sie entspannt auf ‚löschen‘. In dem Anhang der Datei ‚sperrung.zip‚ oder ‚hinweis.zip‘ findet sich wieder einmal ein bösartiges Programm, das Ihren PC infizieren möchte.

Erneut setzen die Versender auf den bekannten und dennoch leider immer noch wirksamen Schock-Effekt. Schon die falschen Umlaute sollten jeden Internetnutzer sofort aufmerksam werden lassen.
Technisch kann übrigens höchstens der tatsächliche eigene Provider einem die eMail-Adresse abschalten. Und der wird Ihnen sicherlich nicht in dieser Form schreiben oder mit einem werkwürdigen Absender. Wenn sowas überhaupt zutrifft, dann wird dieser vorher anrufen, sich eindeutig, freundlich und nachvollziehbar authentifizieren und Ihnen dann höflich mitteilen, dass es ein Problem mit Ihrer Mailbox gibt oder sich per Briefpost melden. Üblicherweise schaltet einem sowieso kein Provider die Mailbox einfach so ab.

Eine dummdreiste Behauptung die auch noch eine ZIP-Datei oder eine andere gepackte Datei im Anhang mitsendet ist ein eindeutiges Indiz für Schadsoftware.

Also – bitte fallen Sie auch auf diesen Trick nicht herein.

Online-Banking sicher gemacht

28. November 2008 von Stella Regna

Hamburger Computer-Notdienst PC-Feuerwehr gibt Tipps zum sicheren Online-Banking

Hamburg, November/Dezember 2008 – Bequemer als vor dem heimischen Rechner können Bankgeschäfte kaum geregelt werden. Online-Banking ist eine der praktischsten Errungenschaften des Internets. Die Vorteile liegen auf der Hand: Überweisungen und andere Bankgeschäfte werden unkompliziert von zu Hause aus getätigt. Bei aller Einfachheit ist Online-Banking nicht immer so sicher, wie es scheint. Cyberkriminelle versuchen auf immer raffinierteren Wegen, das Banksystem zu knacken und sich das Geld anderer zu eigen machen. Dem kriminellen Treiben kann aber mit einfachen Mitteln ein Riegel vorgeschoben werden. Mit den Tipps der PC-Feuerwehr wird Online-Banking zu einer sicheren Sache.

Immer wieder sind die Nachteile des Online-Bankings in der Diskussion – welche Gefahren es birgt und wie schnell man auf die böse Masche von Angreifern im Internet hereinfällt. In der Regel gibt es zwei Möglichkeiten, wie sich Kriminelle im World Wide Web an den Bankkonten anderer zu schaffen machen. Zum einen dringen sie über eine Schadsoftware wie zum Beispiel Trojaner in fremde Systeme ein. Als nützliches Programm getarnt, erfüllt es im Hintergrund eine andere Funktion: Eingabedaten, PIN und TAN werden protokolliert und an den Angreifer weitergeschickt. Eine andere Variante zielt direkt auf den Benutzer ab. Über gefälschte Webseiten, die dem Original gleichen, werden die Daten der Bankkunden abgerufen. Gefälschte E-Mails verlinken auf diese Seiten und übermitteln die eingegebenen Daten direkt an die Betrüger.

„Um sich vor solchen Angriffen zu schützen, sollte man sich erkundigen, ob das Bankinstitut auch Verfahren zum Online-Banking anbietet, die nicht auf PIN- und TAN-Nummern angewiesen sind“, rät Michael Kittlitz, Gründer und Geschäftsführer der PC-Feuerwehr. „Kartenlesegeräte für die Bankkarte oder USB-Sticks, die ausschließlich in Verbindung mit einer TAN-Nummer benutzt werden, sind beispielsweise sichere Alternativen.“ Diese so genannten Home Banking Computer Interface (HBCI) Lösungen stehen für sicheres und multibankfähiges Online-Banking zwischen Kundensystemen und Bankrechnern. Beide vorgestellten Möglichkeiten verhindern, dass die TAN von Systemfremden abgefangen wird. Bei dem USB-Stick handelt es sich beispielsweise um ein unabhängiges Gerät, das per USB an einem Computer angeschlossen wird. Er baut eine direkte Verbindung zum Online-Banking-Server des Bankinstitutes auf, die den Rechner selbst umgeht. Auf diese Weise weicht man der Gefahr von Viren oder Trojanern direkt aus. Ein hilfreiches Tool, das beim Online-Banking genutzt werden sollte, ist die virtuelle Tastatur. Anhand der Mouseklicks, die auf diese Weise irgendwo auf dem Desktops gemacht werden, kann kaum rückverfolgt werden, welche Tasten eingegeben wurden. Wählt man im Startmenü „Ausführen“ und gibt den Befehl „OSK“ ein, erscheint die virtuelle Tastatur auf dem Desktop.
Noch besser ist es, das Betriebssystem Linux gegebenenfalls von einer Boot-CD zu starten und es ausschließlich für Online-Banking Aktionen zu nutzen. Der Vorteil liegt darin, dass dieses System dann lediglich in der Lage ist, Befehle auszuführen und nicht durch Schadsoftware manipuliert werden kann. So können sich dort auch Viren und Trojaner nicht einnisten.

„Kommt der Verdacht auf, dass mit dem Rechner etwas nicht in Ordnung ist, beispielsweise Trojaner ins System eingeschleust wurden, ungewöhnliche viele Pop-ups aufblinken oder man trotz manuell eingegebener Links auf anderen Webseiten landet, sollten auf keinen Fall weitere Überweisungen am PC durchgeführt werden“, so Kittlitz.

Weitere Tipps zum sicheren Online-Banking:

– Die Website des Bankinstitutes sollte nie über einen Link aufgerufen werden. Die PC-Experten raten, die Adresse immer manuell über den Browser einzutippen.
– Der Rechner sollte immer mit der aktuellsten Sicherheitssoftware ausgestattet sein: Antivirus-Software, Personal Firewall und einem Antispyware-Tool.
– Bankkunden sollten nur mit aktueller Software online gehen, da Angreifer bekannte Sicherheitslücken älterer Versionen für ihre Zwecke nutzen.
– Ob die Webseite des Bankinstitutes verschlüsselt ist, erkennt man an dem vorangestellten „https“ (anstatt „http“) der Web-Adresse.
– Die PC-Feuerwehr weist ausdrücklich darauf hin, dass man niemals einem Link in einer E-Mail folgen oder Aufforderungen in E-Mails nachgehen sollte, Kundendaten zu verschicken. Banken verschicken keine E-Mails mit der Bitte, Log-in-Daten zu aktualisieren.

VDSL wird für kleine und mittlere Unternehmen verfügbar

von Michael Kittlitz

VDSL ist heutzutage vielen besser unter T-Home und dem Premiumprodukt für Fernsehen über das Internet der Deutschen Telekom AG bekannt. VDSL ist die Technik für die vor einigen Jahren mehrere Milliarden EUR investiert wurden. So wurden damals die knapp 300.000 grauen Schaltkästen an den Straßen gegen ungefähr doppelt so große Kästen ausgetauscht. Von den Schaltkästen gehen die Kupferdrähte direkt zu den Anschlüssen in den Häusern (APL).

Früher lief der Kupferdraht von dort teilweise kilometerlang weiter bis in die sogenannten Vermittlungsstellen (VSt) von denen es wohl in Deutschland um die 6.000 gibt. Doch mit der neuen VDSL-Technik und dem neuen Platz in den Schaltschränken wurde das geändert. So sind diese Schaltschränke jetzt per Lichtwellenleiter mit dem Internet verbunden und ermöglichen so wegen der nunmehr sehr kurzen Kupferkabellänge zwischen den Schaltkästen und dem Hausanschluß also problemlos Verbindungsgeschwindigkeiten von 25 oder 50 MBit Downstream und 5 MBit Upstream.

Herr René Obermann hat gestern Abend im Astratower bei seinem vor knapp 1,5 Jahren mit Herrn Peer-Arne Böttcher verabredeten Besuch im Business Club Hamburg unter ‚drei Augen‘, also ohne Kamera und ohne Verbindlichkeit über seine Erfahrungen bei der Deutschen Telekom AG, über seine Zukunftsaussichten und natürlich auch über Umbaumaßnahmen innerhalb der Telekom gesprochen.

Dabei hat er unter anderem darauf hingewiesen, dass der Bedarf nach Bandbreite und Geschwindigkeit im Internet ständig und sehr schnell wächst und wir innerhalb der EU und innerhalb Deutschlands unbedingt mehr Bandbreite brauchen. Diese Beobachtung deckt sich mit unserer Erfahrung bezüglich des wachsenden Geschwindgkeitsbedarfs unserer Kunden. Über VDSL berichtete er, dass das Produkt am Anfang Startschwierigkeiten hatte und 2007 knapp 150.00 Nutzer, heute ungefähr 400.000 und bis Ende 2008 sogar die 500.000 Nutzer haben soll.

In der offenen Fragerunde nach dem Interview sprach ich ihn deshalb auf seine löblichen Worte bezüglich der Wichtigkeit von guten Service, guten Produkten für unsere gemeinsamen Kunden – die kleinen und mittleren Unternehmen – an und fragte, weshalb denn nun gerade das preislich und technische hochattraktive Produkt VDSL welches von vielen KMUs genutzt werden würde und viele Anforderungen unserer Kunden bestens lösen würde nun gerade nicht verfügbar sei und weshalb seine Außendienstmitarbeiter klar signalisieren, dass der Verkauf dieses Produktes firmenpolitisch nicht gewollt sei.

Herr Obermann stellt klar, dass VDSL für kleine Betriebe bald verfügbar sein würde und das genau diese Problematik der Grund der erneute Umstellung der Strukturen in der Deutschen Telekom AG sei, auf die ihn vorher der Journalist im Interview und Gespräch angesprochen hatte.

Unser Appell an Sie Herr Obermann: Bitte beeilen Sie sich mit dem Umbau – der Markt wartet dringend auf die Verfügbarkeit Ihres Produktes und der Wettbewerb zieht ja bereits langsam nach!

Die gute Nachricht lautet, dass die Telekom und Herr Obermann die Zeichen der Zeit sieht und handelt. Wie immer bei großen Unternehmen dauert es länger – doch es soll kommen.  Hoffentlich dürfen wir dies dann auch wie alle anderen Anschlüsse der Telekom unseren Kunden anbieten.

Wir freuen uns darauf!

Erneut Viren in falschen Inkasso-eMails

24. November 2008 von Michael Kittlitz

Seit heute morgen kursieren wieder Viren in eMails mit dem bekannten Strickmuster eine angebliche sehr hohe Forderung zu haben.

Nach unseren Tests erkennt derzeit kein Virenscanner den in der gepackten ZIP-Datei versteckten Virus.

Der Betreff variert:
Mahngebuehren Nr9231
Unterlassungserklaerung Nr3425
Zahlungsaufforderung Nr4612
Abrechnung 395951858121

Der Text lautet folgendermaßen oder ähnlich:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.212939748270 ist erfolgt
Es wurden 6342.00 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Abrechnung.

… Inkasso GmbH & Co. KG
Fredeburger Str. xx
3699 Bielefeld

Derzeit heißt der Dateianhang stets: abrechnung.zip und lediglich der Betrag und die Nummer der Abrechnung variert.

Bitte fallen Sie nicht auf diese üblen Tricks herein. Es darf angenommen werden, dass auch dieses mal wieder die Virenversender den Virus leicht modifizieren, sobald die Antivirenhersteller diesen erkennen, so wie es ja bereits vor ein paar Wochen der Fall war.

ca. 2,3 Millionen Domains für drei Stunden unerreichbar

21. November 2008 von Michael Kittlitz

Seit ca. 12.35 Uhr war SchlundTech und InternetX (beides Dienstleister für Reseller, die zwar unter verschiedenen Marken am Markt auftreten, jedoch wohl die gleiche Technik verwenden dürften) Opfer eines DDoS-Angriffs. DDoS steht für Distributed Denial of Services und bedeutet sinngemäß, dass ein Angriff von ferngesteuerten Computern die Nameserver mit falschen Anfragen und Datenpaketen so massiv unter Last setzt, bis die normale Nutzung aufgrund der Datenflut den Dienst zum erliegen gebracht wird.
Doch schon morgens waren die ersten Ausfallerscheinungen temporär und nur kurzzeitig zu verzeichnen. Offensichtlich wurde der Angriff im Laufe des Tages heftiger.

Man kann es sich so ähnlich wie mit zu vielen Weihnachtspaketen vorstellen, wenn zudem gleichzeitig das Personal krank wird. Auch dann kommen Pakete zu später oder womöglich gar nicht an. In diesem Fall wurden massenweise künstliche Pakete im Internet mit dem Ziel den Name-Server-Dienst zu stören verschickt. Der Name-Server-Dienst ist im Prinzip das Telefonbuch des Internet. Es löst die Namen zu den verschiedenen Computern, bzw. deren technischen IP-Adressen auf. Obwohl die Computer über die IP-Adressen erreichbar gewesen wären, konnten die PCs die hinter den Domainnamen liegenden IP-Adressen aufgrund des DDoS nicht mehr abfragen, bzw. auflösen und somit die Computer nicht erreichen.

SchlundTech und InternetX gehören beide zur börsennotierten United Internet AG die immerhim im TecDax gelistet ist und wohl bekannter unter den Marken 1&1, GMX und web.de ist.

Immerhin knapp 18.000 Reseller haben bei den oben genannten Dienstleistern knapp 2,3 Mio Domains gehostet. Selbst wenn nur nur etwas über die Hälfte der dort gehosteten Domains die .de-TLD betroffen haben sollte,  dann wären also von den derzeit ~12,3 Millionen .de-Domains immerhin noch knapp 10% von dem Angriff betroffen gewesen.

Wenn selbst das sehr gut ausgestattete Rechenzentrum und Personal der United Internet AG über drei Stunden mit dem DDoS-Agriff kämpfen mußte, dann kann man sich vorstellen wie extrem stark die Attacke gewesen sein muß.

Auch uns traff der Angriff. Wir bedauern die Störung und Unannehmlichkeiten sehr und bitten alle ebenfalls davon betroffenen Kunden um Verständnis. In wenigen Stunden sollte wieder alles wie gewohnt funktionieren, so funktioniert seit 15.50 Uhr bei uns bereits wieder alles wie es soll.

Entsprechender der Menge der betroffenen Domains ist bei der Grafik des DeCIX (Deutschlands zentralem und wichtigsten Internetknoten in Frankfurt/Main) ein analog zu der Menge der betroffenen Domains geringer Datenverkehr in deren Statistiken sichtbar:

Quelle: DeCIX.

Wie der Heise-Newsticker in einem Update berichtet, hat Frau Petra Stubenrauch von InternetX / SchlundTech inzwischen per eMail über den extrem aggressiven Charakter der DDoS-Attacke technische Hintergrundinformationen geliefert. Demnach hält der Angriff noch immer an und es steht dementsprechend nur eine begrenzte Bandbreite zur Verfügung. Der Angriff liegt bei ca. 40.000 Hosts (PCs / Computer) und nutzt eine Gesamtbandbreite an Daten von 20 Gbit pro Sekunde.
Zum Vergleich: Der Durchsatz des DeCIX liegt in der Spitze derzeit bei 500 Gbit/s an einem Tag – der Angriff beträgt also von der Datenmenge her in etwa 4% der Spitze des gesamten Internetverkehrs über diesen zentralen Knoten in Deutschland. In modernen 16/1 MBit-DSL-Leitungen gesprochen heißt dies das ca. 20.000 voll ausgelastete DSL-Upstreams notwendig wären um dieses Volumen zu erreichen. Mit normalen älteren DSL-, ISDN- und Analogleitungen würden hierfür entsprechend noch wesentlich mehr Verbindungen benötigt. Man kann sicherlich ohne Übertreibung von einem extremen Ausmaß sprechen.

IT-Dokumentation oft mangelhaft – oder: die Abhängigkeit vom Systemadministrator

18. November 2008 von Michael Kittlitz

In unserem Alltag erleben wir es bei kleineren und mittleren Unternehmen immer wieder: Es gibt oft keine Dokumentation der Netzwerkstruktur. Im besten Fall sind gerade mal die Zugangsdaten zu den verschiedenen Diensten wie DSL und Internethosting an einem zentralen Platz. Die Lizenzen der verschiedenen Softwareprodukte und die Anzahl wie viele es überhaupt gibt, ist ebenso oft nicht erfaßt oder wild in verschiedensten Schubladen verstreut.

Das kann bereits bei einem kleinen Betrieb mit nur wenigen IT-Arbeitsplätze im Notfall durchaus einige Stunden an Suchen bedeuten und hier geht dann wertvolle Arbeitszeit der Mitarbeiter und natürlich auch unserer Experten verloren. Nach unseren Berechnungen gehen hier durchschnittlich ca. 750-1.000 € pro Ersteinsatz beim Notfall alleine für die Aufarbeitung dieses Probleme und der fehlenden Dokumentation verloren. Ein unnötiger Kostenfaktor, dem man mit Sorgfalt und dem Bewußtsein um die Notwendigkeit der Dokumenation frühzeitig vorbeugen kann.

Wesentlich dramatischer ist die Situation bei Kunden die einen eigenen Systemadministrator haben – sei es ein Student oder jemand der fest angestellt ist. Hier ist üblicherweisen das gesamte IT-Wissen als auch alle Passwörter nur im dem Kopf dieser einen Person vorhanden. Damit macht man sich als Chef in seinem eigenen Unternehmen von dem Good-Will dieser Person sehr abhängig. Eine internationale Studie hat aufgezeigt, dass angeblich 88% dieser Personen im Falle einer Kündigung firmenrelevante und sensible Daten mitnehmen würden.

Dieses Risiko sollte nicht unterschätzt werden. Die Möglichkeit in eine solche Abhängigkeit zu geraten ist bei einem externen Dienstleister allerdings ebenfalls gegeben. Eine ruhige und sorgfältige Auswahl des Dienstleisters, sowie die regelmäßige Überprüfung der Dokumentation und der Zugriff darauf sollte hier ebenso zur Standartüberprüfung des Anbieters gehören, wie die Erhaltung der IT-Infrastruktur in Form von Hardware im eigenen Zugriff und Eigentum. Denn gerade wenn man auch die Server auslagert und bei einem Drittanbieter virtualisiert kann man sich sehr schnell äußerst abhängig machen und der Rückweg ist dann womöglich sehr teuer, wie z.B. das Manager-Magazin gerade ausführlich berichtet hat.

Achten Sie deshalb darauf, dass Ihr IT-Dienstleister oder Mitarbeiter sorgfältig Ihr IT-Strukturen dokumentiert, damit Sie nicht wie im Sommer 2008 die Stadt San Francisco plötzlich erleben müssen, dass Sie – aus welchen Gründen auch immer – keine Kontrolle mehr über Ihr eigenes Netzwerk haben.

Sollte Sie unsicher bezüglich der Qualität Ihres SysOps sein, so bieten wir Ihnen ein Audit der IT-Dokumentation Ihres Systemadministrators an. Sie können unsere IT-Experten auch Abends nach dessen Feierabend oder am Wochenende zu sich bestellen und prüfen lassen, ob wir oder ein anderer Fachmann im Falle eines Falles mit der Dokumentation Ihre Anlage warten und pflegen könnten und ob die angegebenen Passwörter überhaupt noch gültig und korrekt sind.
Auf diese Art und Weise bekommen Sie Gewissheit ohne jedoch das Betriebsklima zu gefährden.

Selbstverständlich pflegen wir bei unseren Wartungsvertragskunden eine ausführliche transparente Dokumentation die den genannten Anfoderungen entspricht, so dass jeder versierte Techniker in der Lage ist den Service für Ihre Anlage jederzeit problemlos zu erbringen.

Datenschutz im Außendienst

6. November 2008 von Michael Kittlitz

In den vergangenen Wochen war immer wieder von verlorenen Daten und Skandalen beim Datenschutz in den Medien vielfältigste berichtet worden. So trat z.B. Herr Philipp Humm als Sprecher der Geschäftsführung aufgrund des Datendiebstahls bei T-Mobile zurück. Oder es z.B. in Groß Britanien eine Regierungswebseite aufgrund des Verlustes eines USB-Sticks geschlossen.

Kann man der Telekom und Ihrer Tochter evtl. noch ein mangelhaftes System in der Entwicklung vorwerfen, so ist der Verlust eines USB-Sticks oder Notebooks eine Sache die jedem reisenden widerfahren kann. Gleichgültig ob man privat oder geschäftlich unterwegs ist, das Gerät irgendwo vergißt oder es einem gestohlen wird: Das Risiko sensible Unternehmensdaten oder private Daten zu verlieren ist groß.

Aber auch wenn man ins Ausland reist um Geschäfte zu machen, kann es passieren, dass man sein Notebook an der Grenze abgeben muß. Die Annahme, dass der Geheimdienst dann die Firmendaten u.U. an die landeseigene Wirtschaft weitergeben würde, wäre natürlich reine Spekulation. Dennoch sollte jede sicherheitsbewußte Person unbedingt Vorsorge treffen.

So bietet die Verschlüsselungssoftware TrueCrypt hierfür eine optimale und kostenlose Lösung. Man kann die Festplatte komplett verschlüsseln, ebenso innerhalb der verschlüsselten Daten noch weiter versteckte ‚Container‘ anlegen, in denen man dann die richtig sensiblen Informationen verstecken kann, ohne dass diese gefunden werden könnten, wenn man das Passwort nicht kennt und nicht um den versteckten Bereich weiß.

Der Programmierer und Sicherheitsexperte Bruce Schneier hatte zusammen mit einer Forschergruppe die Software untersucht und einige eher theoretische Schwachstellen gefunden, die die Existenz eines versteckten Bereiches beweisen hätten können. Auch wenn diese Schwachstellen nicht durch TrueCrypt, sondern das Betriebssystem verursacht wurden, sind diese mit dem neuen Update jetzt beseitigt. Wir raten jedem Nutzer von TrueCrypt dazu die aktuelle Version zu benutzen.

Zudem empfehlen wir jedem der sensible Daten mit sich führt – gleichgültig ob privater Natur oder relevant für das Unternehmen – diese sicher zu verschlüsseln. Egal ob auf dem USB-Stick, dem Notebook und natürlich auch auf dem Handy, Blackberry, dem Communicator, dem iPhone oder was für ein mobiles Gerät man sonst nutzen mag – eine starke Verschlüsselung ist heutzutage ein muss!

Sollten Sie sich selbst die Installation und Verschlüsselung Ihres Gerätes nicht zu trauen, stehen wir mit unserem Expertenteam gerne für Sie an unseren Standorten bereit. Ein sicheres Passwort ist dabei natürlich ein wichter Bestandteil des Schutzes. Sie können die Sicherheit Ihres Passwortes schnell und bequem mit unserem kostenlosen Passwort-Check testen.

Wurm updated

von Michael Kittlitz

Die Meldung vom 25.10.2008 bezog sich auf einen Wurm der offensichtlich keine echte Weiterverbreitungsfunktion hatte. Doch inzwischen ist eine neue Variante unterwegs die sich nun aggresiv selbst vermehrt.

Solange die Windows-Firewall aktiviert ist oder ein Router mit Firewallfunktion die Filterung der eingehenden Pakete übernimmt, ist das Ansteckungsrisiko wohl sehr gering. Lediglich Computer die von außen über die Ports 135 – 139 und/oder 445 erreichbar sind könnten infiziert werden, solange die aktuellen Patches von Microsoft nicht installiert sind, die den bekannten Bug und damit die Angriffsfläche beheben.

Gerne prüfen wir Ihr System, ob es verwundbar ist oder gar schon infiziert wurde. Selbstverständlich installieren wir Ihnen auch gerne eine Lösung die Sie vor diesem und künftigen Würmern zuverlässig schützt.

Neuer Wurm attackiert Windows-Systeme

25. Oktober 2008 von Michael Kittlitz

Fast alle haben in den letzten Tagen die Aufforderung Ihre Microsoft-Betriebssystemes ein Update zu installieren und unmittelbar danach den Rechner neu zu starten gesehen. Wer das Update bisher ignoriert hat, sollte es nunmehr umgehend installieren, denn seit kurzem soll sich ein Wurm namens ‚Gimmiv.A‘ im Internet auf Angriffstour befinden.
Der Wurm findet seinen Weg über eine RPC-Lücke in das Betriebssystem. Dafür genügt es wenn auf dem attakierten PC die Netzwerk- und Druckerfreigabe aktiviert ist. Die lokale Firewall hilft in diesem Fall nicht. Sofern Sie einen DSL-Router oder eine andere Hardwarefirefall zwischem dem Internet und Ihrer IT-Anlage haben, sollten Sie jedoch keine Probleme bekommen.
Insofern ist nicht mit einer so großen Verbreitung und so extremen Schäden zu rechnen, wie sie damals bei dem Wurm Sasser zu verzeichnen waren.

Dennoch raten wir Ihnen dazu die Windows-Updates stets einzuspielen. Und zwar sowohl für Ihr Betriebssystem als auch für das Office. Ebenso müssen regelmäßig die Browserupdates und deren Plugins installiert werden (Flash, Java, etc.).

Eine wichtige Aufgabe, bei der wir Ihnen gerne helfen oder die wir für Sie übernehmen. Nur durch kontinuierliche Prophylaxe kann das Risiko einen Schädlingsbefall zu erleiden minimiert werden.

Erneut Trojaner in gefälschten Rechnungen

24. Oktober 2008 von Michael Kittlitz

Seit gestern Abend kursieren wieder bösartige eMails im Internet, die im Anhang die Datei RECHNUNG.ZIP haben. Wer die ZIP-Datei öffnet, findet zwei Dateien in dem Ordern ‚RECHNUNG‘:

rechnung.txt.lnk – die jedoch im Windowsexplorer nur als rechnung.txt angezeigt wird und
zertifikat.ssl

Wer sich jetzt von dem Betreff und der Text der eMail hat einschüchtern lassen oder emotional aufgeregt ist, hat gute Chancen sich den Trojaner einzufangen, denn nur einige Antivirenprogramme erkennen den Trojaner bisher. Unser Test hat ergeben, dass AntiVir diesen derzeit noch nicht erkennt und Dr. Web dies erst seit heute Vormittag kann. Andere Produkte von Herstellen wie ClamAV, Command, Kaspersky und Sophos sollen ihn ebenfalls bereits erkennen.

Wie immer ist bei merkwürdigen und unbekannten Absenderadressen und vorallem .ZIP-Dateien im Anhang höchste Vorsicht geboten. Auffällig sind auch die falschen deutschen Sonderzeichen, die durch ‚ue‘, ‚ae‘, etc ersetzt werden. Ein deutliches Indiz für einen Virus oder Trojaner in der eMail. Am Besten läßt man solche eMails zunächst entweder ein paar Tage liegen, damit die Antivirenhersteller eine Chance haben die bösartige eMail zu erkennen und einen dann zu warnen oder löscht diese eMail gleich.

Die eMail selbst lautet:

Sehr geehrte Damen und Herren!
Die Anzahlung Nr.950849253860 ist erfolgt
Es wurden 8070.48 EURO Ihrem Konto zu Last geschrieben.
Die Auflistung der Kosten finden Sie im Anhang in der Datei: Rechnung.

Alle unsere Rechnungen sind mit einem Sicherheitszertifikat versehen – der ist fuer Sie nicht von Bedeutung

TESCHINKASSO Forderungsmanagement GmbH
….

Im Betreff stehen dabei verschiedenste Anganben wie z.B.:
TESCHINKASSO
Auflistung der Kosten
1 Rate
Ratenzahlung
Abbuchung
Amtsgericht
Amtsgericht Koeln
Srayfriends Anmeldung

Update I: Nachdem vor diesen Viren gewarnt wird, gibt es jetzt zusätzlich auch den Mißbrauch von StayFriends mit folgender eMail:

…vielen Dank fur Ihre Anmeldung bei stayfriends.de Sie haben Sich fuer unseren kostenpflichtigen Suchservice entschieden. 295,96- Euro werden Ihrem Konto fur ein Jahresvertrag zu Last gelegt. Wir mailen Ihnen alle Antworten auf Ihre Suchanfrage 2 Mal woechentlich zu, Sie koennen sich auch zu jeder Zeit einloggen und den aktuellen Stand einsehen. Entnehmen Sie Ihre Rechnung und den Zugang zu Ihrem Profil den unten angefuehrten Anhang. Bitte diesen genauestens durchlesen und bei einer Unstimmigkeit uns kontaktieren. Zum Lesen wird kein zusaetzliches Programm benoetigt.Falls die Anmeldung von einer dritten Person ohne Ihre Zustimmung durchgefuehrt wurde, fuehren Sie unverzueglich, den in dem Anhang aufgefuehrten Abmeldevorgang aus.Der Widerspruch ist nach unseren AGB’s innerhalb von 7 Tagen schriftlich zulaessig!
Eine Kopie der Rechnung wird Ihnen in den nachsten Tagen per Post zugestellt.

Update II: Inzwischen gibt es eine dritte Welle die aber genau in die gleiche Kerbe zu schlagen versucht, hier der eMail-Text:

Sehr geehrte Damen und Herren,

Usenet GmbH – usenext.de
69,85 EUR

Beate Uhse GmbH  beate-uhse.de
35,59 EUR

bisherige Mahnkosten unserer Mandanten:
68,17 EUR

vorgerichtliche Inkassogebuehren:
52,92 EUR

noch offener Gesamtbetrag inklusive unserer Bearbeitungskosten:
226,64 EUR

bislang ist der von uns angemahnte Betrag nicht ausgeglichen worden!

Als Vertragspartner der SCHUFA Holding AG weisen wir darauf hin, dass wir Daten ueber aussergerichtliche und gerichtliche Einziehungsmassnahmen bei ueberfaelligen und unbestrittenen Forderungen an die SCHUFA Holding AG, Kormoranweg 5, 65201 Wiesbaden, uebermitteln. Vertragspartner der SCHUFA sind vor allem Kreditinstigute sowie Kreditkarten- und Leasinggesellschaften.
Moechten Sie diese Schritte vermeiden, zahlen Sie bitte bis zum 09.12.2008 Ihren Schuldbetrag unter Angabe Ihres
Aktenzeichens (siehe Anhang) auf die in der Auflistung genannte Bankverbindung.
Die detailierte Auflistung Ihrer Rechnungen, Mahngebuehren und die Zahlungs bzw. Wiederspruchshinweise finden Sie im Anhang.

Diesmal heißt die Datei im Anhang: Anhang.zip in der wiederum der Trojaner steckt und scheinbar wieder in einer leicht anderen Version, denn weder Dr. Web noch Antivir erkennen ihn derzeit bei unseren ersten Tests.

Update III: Kaum haben die Antivirenhersteller die Signaturen angepaßt, so daß die auch die bösartigen eMails der zweiten Welle zuverlässig erkannt werden, ändern die Angreifer Ihre Dateinamen und den Code des Trojaners. Jetzt heißt die Datei Mahnung.zip die den Schadcode enthält. Wir werden sehen, wie lange dieses Katz- und Mausspiel noch andauern wird.
Eine so exzessive und massenweise eMail-Flut dieser Art hat es lange nicht gegeben.

Unser Rat: Lassen Sie sich nicht von solchen eMails einschüchtern oder aufregen! Die Beträge varieren und sind in der Regel mit Absicht sehr hoch angesetzt. Ebenso wird das Thema Erotik genutzt. Beides nur um Sie dazu zu verleiten diese sofort und ohne Nachzudenken zu öffnen und somit die sonst üblichen Bedenken in der Aufregung zu vergessen und jegliche Vorsicht zu mißachten. Genau darauf zielen diese eMail stets ab. Lassen Sie sich bitte nicht reinlegen!

P.S. Wie Spiegel Online berichtet, warnt sogar die Polizei Köln vor diesen eMails, die leider auch schon einige Opfer gefunden hat, wie wir aus unseren Aufträgen am Freitag und am Wochenende wissen.

Standort Schnellsuche

oder

Seit 22 Jahren für Sie im Einsatz.

Ihr IT-Experte seit 1996 - Ihr digitaler Vorsprung. So leicht wie 1+1=2. Bundesweit.

Homepage

Zur PC112 - Hauptseite

Ihr digitaler Vorsprung. So leicht wie 1+1=2.