Auch die US-Bundespolizei warnte vor Mails, die im Namen des FBI verschickt werden. Dem Empfänger werde darin mitgeteilt, das FBI überwache seinen Internet-Zugang und habe den Besuch illegaler Internet-Seiten festgestellt. Der Empfänger werde zudem angewiesen, einen Anhang zu öffnen und Fragen zu beantworten. Auch diese Mails stammen nicht vom vorgeblichen Absender und sollten nicht geöffnet werden, teilte das FBI mit.

Folgend Original Meldung des FBI

FBI ALERTS PUBLIC TO RECENT E-MAIL SCHEME E-mails purporting to come from FBI are phony

Washington, D.C. - The FBI today warned the public to avoid falling victim to an on-going mass e-mail scheme wherein computer users receive unsolicited e-mails purportedly sent by the FBI. These scam e-mails tell the recipients that their Internet use has been monitored by the FBI’s Internet Fraud Complaint Center and that they have accessed illegal web sites. The e-mails then direct recipients to open an attachment and answer questions. The attachments contain a computer virus. These e-mails did not come from the FBI. Recipients of this or similar solicitations should know that the FBI does not engage in the practice of sending unsolicited e-mails to the public in this manner. Opening e-mail attachments from an unknown sender is a risky and dangerous endeavor as such attachments frequently contain viruses that can infect the recipient’s computer. The FBI strongly encourages computer users not to open such attachments. The FBI takes this matter seriously and is investigating. Users receiving e-mails of this nature are encouraged to report it to the Internet Crime Complaint Center via http://www.ic3.gov.

Welchen Schaden richtet der Wurm an?
Beim Öffnen des Dateianhangs verschickt sich Sober automatisch an alle Adressen, die im Adressbuch des Rechners enthalten sind. Diesen Mail-Versand führt er bei jedem Rechner-Start erneut durch. Das verstopft nicht nur Mailfächer, sondern kann auch zu Computer-Abstürzen führen.

Was mache ich, wenn ich eine solche Mail in meinem Postfach finde?
Das BKA warnt dringend davor, den Dateianhang der Mail zu öffnen. Stattdessen rät die Behörde, die E-Mails sofort zu löschen und einen Virenscanner über den Rechner laufen zu lass

 Wie entferne ich Viren, Troyaner und Dialer korrekt und kostenlos ?

3-11-2005 Angebliches Symantec-Mail verschickt Zip-file mit Wurm!

Folgende E-mail hat uns und ebenfalls bereits einige unserer User erreicht!

 DIESE IST BEI ERHALT SOFORT ZU ENTFERNEN !!!

PRINTSCREEN 01

PRINTSCREEN 02

 28-10-2005 Sicherheitslücken in Skypes VoIP-Software

Kaum meldet das BSI, dass VoIP derzeit unsicher ist, tritt Skype den Beweis dafür zumindest im Bereich Softwarefehler an — mit drei schwerwiegenden Sicherheitslücken, die Einschmuggeln und Ausführen von fremdem Code wie etwa Viren, Würmer und Trojaner erlauben. Der erste Pufferüberlauf kann durch manipulierte Skype-URIs der Form callto:// beziehungsweise skype:// auftreten. Ein zweiter Pufferüberlauf kann durch den Import von präparierten Skype-Visitenkarten ausgelöst werden. Diese beiden Lücken betreffen nur die Windows-Versionen 1.1.*.0 bis 1.4.*.83 der Internet-Telefonie-Software.

Die Entwickler weisen darauf hin, dass diese Fehler auf einen Bug in Borland Delphi zurückzuführen sind, den das Borland Developer Network dokumentiert. Schon in der Vergangenheit fand über diesen Bug ein kritischer Fehler den Weg in den VoIP-Client.

Mit bestimmten Netzwerk-Paketen könnte ein Angreifer in den Skype-Clients für Linux (bis einschließlich Version 1.2.*.17), Mac OS X (Version 1.3.*.16 und frühere), PocketPC (Version 1.1.*.6 und davor) und Windows (bis einschließlich Version 1.4.*.83) durch fehlerhafte Längenprüfungen ein Überschreiben des Heaps provozieren. Dies kann zum Absturz des Clients führen. Den Skype-Entwicklern ist es laut ihrer Sicherheitsmeldung jedoch nicht gelungen, Code über die Lücke einzuschleusen und auszuführen — was aber nicht bedeutet, dass dies nicht möglich wäre.

Auf den Download-Seiten des Unternehmens stehen neue Programmversionen für alle Plattformen bereit. Skype-Nutzer sollten umgehend auf diese Versionen aktualisieren, um ihr System nicht unnötig zu gefährden.

 Sicherheits-CD von Microsoft fällt im c't-Test durch

Nach langer Vorbereitungszeit hat Microsoft eine Sicherheits-Check-CD zusammengestellt, die sogar Trojaner und Viren aufspüren soll, welche den installierten Virenscanner außer Gefecht gesetzt haben. Dieser jüngste Beitrag von Microsoft zur Initiative "Deutschland sicher im Netz", die kürzlich eine Zwischenbilanz zog, wird laut c't den hohen Erwartungen allerdings nicht gerecht.

Als einziges von der Boot-CD startbares Tool zum Entfernen von Schädlingen liefert der Software-Konzern das Malware Removal Tool, das in c't-Tests regelmäßig vergleichsweise schlecht abgeschnitten hat: Es erkennt und beseitigt nur circa 80 Prozent der Schädlinge und kann einem mit aktuellen Signaturen ausgestatteten Virenscanner nicht das Wasser reichen. Da ein direktes Update via Internet nicht vorgesehen ist, können damit gerade neue Viren und Trojaner prinzipiell nicht erkannt werden.

Die Microsoft-CD liegt der ab 31. Oktober im Handel erhältlichen c't 23/05 bei, sodass sich jeder c't-Leser ein eigenes Bild von deren Funktionsfähigkeit machen kann. Auf einer zweiten CD liefert eine Neuauflage der c't-Edition des PEBuilder die notwendigen Zutaten, um sich ein eigenes Rettungs-Windows mit Virenscanner und weiteren Werkzeugen herzustellen. Außerdem enthält die Heft-CD das Knoppicillin-4, den bootfähigen c't-Virenscanner auf Basis des Live-CD-Linux Knoppix in Version 4.0.2. Beide Lösungen bieten hochwertige Antivirus-Software und einen Online-Zugang zum Aktualisieren der Signaturen sowie Antispyware-Tools, die heimlich installierte Spionageprogramme aufspüren. Ausführliche Artikel erklären den richtigen Umgang mit diesen Werkzeugen. (anm/c't)

 AntiVir PersonalEdition Classic

Releasewechsel am 13. September 2005

Es ist wieder soweit: Ab dem 13. September 2005 steht die neue Programmversion 6.32 hier unter www.free-av.de (Classic/Freeware) und unter www.antivir-pe.de (Premium) zum Download zur Verfügung.

Die regelmäßige Aktualisierung des Programms ist für Ihre Sicherheit notwendig, bedeutet jedoch eine stark erhöhte Belastung der Downloadserver. Trotz unserer ständigen Bemühungen, die technischen Möglichkeiten zu optimieren, kann es dennoch zu Verzögerungen beim Download kommen.

Sie können mithelfen das Datenaufkommen auf den Servern zu reduzieren:

Starten Sie Ihren Download zu Zeiten in denen weniger Zugriffe auf die Server stattfinden (später Abend, nachts, früher Morgen). Brennen Sie eine aktuelle Programmversion auf CD und machen sie damit einem größeren Personenkreis (Bekannte, Freunde, Familie) offline verfügbar. Anwendern, denen diese Möglichkeiten zu umständlich erscheinen und die sich über ein Plus an Service und Komfort freuen, steht unter www.antivir-pe.de die Antivir PersonalEdition Premium mit ihrem erweiterten Leistungsumfang sowie den exklusiven Downloadservern zur Verfügung

 Katrina" als Trojaner-Falle im Web unterwegs

Düsseldorf (rpo). Derzeit befinden sich diverse E-Mails im Umlauf, die dem Internet-User in der Betreffzeile vorgaukeln, neue Informationen zum Hurrikan "Katrina" und den Folgen in New Orleans zu beinhalten. Doch Vorsicht: Es handelt sich hierbei um Links zu Webseiten, die mit Trojanern präpariert sind.

Der Hurrikan hatte weite Teile der US-amerikanischen Golfküste verwüstet; inzwischen werden tausende Tote befürchtet. In der Betreffzeile der vermeintlichen Info-Mails steht beispielsweise "Katrina killed as many as 80 people" oder auch "Hurricane! We probably have 80 percent of our city underwater".

Im Hintergrund nutzen die Seiten einen alten Fehler des Internet Explorer, um auf dem System des Anwenders eine Datei C:\fh4uh.exe zu erzeugen und zu starten. Dabei handelt es sich um einen einfachen Downloader, der eine neue Borobot-Variante herunterlädt. Diese Backdoor kann den infizierten PC über IRC fernsteuern und verfügt über eine eigene SMTP Engine. Zudem versucht der Schädling weitere Programme nachzuladen, die derzeit aber nicht verfügbar sind.

Vorsicht bei unbekannten Webseiten

Und auch das auf der Web-Seite beworbene Zotob Removal Tool stellt in Wirklichkeit eine Schadsoftware dar. Nach ersten Tests von AV-Test ist die Erkennungsquote der AV-Programme für die beiden Borobots noch nicht sonderlich gut.

Grundsätzlich gilt, bei allen größeren Ereignissen auf Trittbrettfahrer gefasst zu sein. Besonders vorsichtig sollte man bei Meldungen sein, die auf unbekannte Webseiten verweisen und bei angeblichen Bildern oder Videos, die man unaufgefordert per Mail zugeschickt bekommt. Oft verbergen sich dahinter ausführbare Dateien, die beim Öffnen gestartet werden und den Rechner infizieren

Kritische Lücke in Firefox 1.0.3  (18.07.2005)

Ein Exploit des French Security Incident Response Team besagt, dass in Firefox 1.0.3 eine Lücke existiert, wodurch Internetseiten Code im Chrome-Kontext auf dem Computer ausführen können. Die Ursache ist womöglich ein Fehler bei der Verarbeitung der Firefox-Extensions durch bestimmte JavaScripte.

Chrome-URLs, die den Zugriff auf beliebige lokale Resourcen haben, können aus Websites heraus normalerweise nicht aufgerufen werden. Doch ältere Sicherheitslücken von Firefox zeigen, dass diese Restriktionen leicht umgangen werden können.

Ein vor kurzem aufgetauchter Exploit schreibt eine Batch-Datei auf das Laufwerk C. Diese wird gestartet, sobald man an eine beliebige Stelle des Firefox-Fensters klickt. Die Demo öffnet nur eine Eingabeaufforderung, ein echter Schadcode aber hätte auf diese Weise eine Backdoor oder einen Trojaner installieren können. Firefox 1.0.2 ist angeblich nicht betroffen.

Leider wird zurzeit noch kein Patch angeboten, die Entwickler von Firefox raten aber, unter Extras/Einstellungen/Web-Features den Punkt „Websites das Installieren von Software erlauben“ zu deaktivieren. Außerdem wird empfohlen, JavaScript abzuschalten.

Drei Sicherheitslücken im Internet Explorer (14.06.2005)

Die Sicherheits-Unternehmen Security Focus und FRSIRT berichten über mehrere Sicherheitslücken im Internet Explorer. Diese können über speziell präparierte Internet-Seiten ausgenutzt werden, sodass der Browser schließlich zum Absturz gebracht werden kann.

Die Ursache der ersten aufgedeckten Lücke ist ein modelierter „OBJECT“-Tag (gegenseitige Einbettung von zwei Seiten), da der Internet Explorer in eine Endlosschleife gerät und abstürzt. Eine weitere Schwachstelle wird durch die Datei „jsscript.dll“ hervorgerufen. Denn sobald eine angepasste Seite den Typ „onLoad“ enthält und letztlich auch nutzt, kann dies ebenfalls zu einem Absturz des Programms führen. Meist reicht hier das Aufrufen einer ungültigen oder nicht vorhandenen Funktion.

Die letzte Sicherheitslücke, die entdeckt wurde, wird in Verbindung mit der Datei „urlmon.dll“ dem Anwender zum Verhängnis. Nachdem eine präparierte Internet-Adresse in die Sicherheitszone „eingeschränkte Sites“ hinzugefügt wurde, reagiert der Internet Explorer auch hier nicht mehr.

Diese Bugs kommen in der Internet Explorer-Version mit installiertem Service Pack 2 vor, aber auch ältere Versionen seien betroffen. Security Focus ist der Ansicht, dass die zweite der oben angesprochenen Lücken bereits in Vorgänger-Versionen behoben worden war und nun versehentlich in der SP2-Version wieder eingebaut wurde, wogegen FRSIRT das Gleiche über die dritte Sicherheitslücke vermutet. Sämtliche Mozilla-Browser und Opera 8 bleiben verschont.

Trojaner in Windows-Media-Dateien (06.06.2005)

Der Hersteller von Antivirenprodukten Panda Software weist auf zwei Trojaner hin, die sich der neuen DRM-Technik (Digital Rights Management) im Windows Media Player 10 unter XP mit Service Pack 2 bedienen, um Systeme zu infizieren. Bereits Anfang Januar gab es erste Hinweise, dass bestimmte WMV-Dateien beim Abspielen Ad- und Spyware installieren.

Ist eine Mediadatei lizenzgeschützt und eine Lizenz lokal nicht vorhanden, so versucht der Player, diese aus dem Netz nachzuladen. Dazu öffnet er ein Browserfenster, meist den Internet Explorer, und ruft die Seite des jeweiligen Herausgebers auf. Allerdings kam es bei Dateien, die vom Software-Dienstleister Overpeer stammen, dazu, dass Anwender beim Abspielen mit ungewünschten Werbe-Pop-ups überhäuft wurden.

Nach Angaben von Panda Software enthalten die über P2P-Netze verteilten Dateien von Overpeer zusätzlich den Trojaner Trj/WmvDownloader.A. Beim Öffnen im Media Player täuscht die Datei vor, eine Lizenz laden zu wollen. Stattdessen lenkt sie den Browser auf eine weitere Web-Seite um, die versucht, auf dem PC Adware, Spyware, Dialer und andere Viren per automatischem Download zu installieren. Auch die vom Dienstleister Protectmedia herausgegebenen Dateien sollen einen ähnlichen Schädling enthalten (Trj/WmvDownloader.B).

Ein Sprecher von Overpeer erklärte, man habe nichts mit derlei Malware zu tun. Die von ihnen verbreiteten Dateien würden nur auf legale Online-Musik-Shops führen. Overpeer ist unter anderem von Herstellern damit beauftragt, falsche Musikstücke (Decoy Files) als Köder in Filesharing-Netzen zu verteilen. Wer die trojanisierten Mediadateien in Umlauf gebracht habe, wisse man bei Overpeer auch nicht.

Medienberichten zufolge erklärte Microsoft, dass automatische Downloads unter Windows XP mit Service Pack 2 in den Voreinstellungen blockiert würden. In älteren Versionen könne man sich durch das Setzen der Sicherheitseinstellungen auf "Hoch" schützen. Es gebe auch keinen Weg, den Anwender zum Ausführen solcher Downloads zu zwingen. Zudem sei das Problem weder auf Fehler im Media Player noch auf eine Schwachstelle im DRM zurückzuführen.

Allerdings sind in der Vergangenheit mehrfach Sicherheitslücken im Internet Explorer bekannt geworden, bei der allein der Besuch einer Webseite ausreicht, um Trojaner und Dialer untergeschoben zu bekommen. Erst beim letzten Patch-Day veröffentlichte Microsoft ein Sicherheits-Update, um genau solch eine Lücke in allen IE6-Versionen zu schließen.

Microsoft will das Problem jedenfalls weiter verfolgen. Man sei besorgt, wie die DRM-Funktion nun mißbraucht werde. Die Redmonder planen ein Update für den Windows Media Player herauszugeben, das das automatische Öffnen von Web-Seiten verhindern soll.

[Update]: ADAWARE PERSONAL EDITION (03.06.2005)

In einigen Tagen (wenn nicht schon jetzt) ist ein Update des Programms Adaware von Lavasoft nicht mehr möglich. Klicken Sie auf folgenden Link um die neueste Version zu installieren. Die Datei hat etwa 3.5 Mb. Eine Deinstallation der alten Version ist nicht nötig, dies tut das Update automatisch. Nach der Installation wird ein kompletter Check Ihres Systems gemacht, nach dessen Beendigung werden Ihre alten Einstellungen in das neue Programm übernommen.

UPDATE VON ADAWARE STARTEN

Sober-Wurm tarnt sich als Benachrichtung zur WM-Ticket-Auslosung [2. Update]

Seit wenigen Minuten kursiert eine neue Version des Sober-Wurms, die unter anderem als eine in Deutsch verfasste Benachrichtigung über ein gewonnenes Ticket zur Fußball-WM 2006 daherkommt. Daneben tragen die Nachrichten auch Betreffzeilen wie: "Ich bin's, was zum Lachen", "Mail-Fehler", "Ihr Passwort" und "Ihre E-Mail wurde verweigert." Die Absenderadressen der Mails sind wie üblich gefälscht, unter anderem ist die FIFA als Absender eingetragen.

Bislang erkennen ihn nur wenige Virenscanner anhand einer generischen Signatur. Im Anhang der Mails befinden sich ZIP-Archive, in denen sich der Wurm (Winzipped-Text_Data, autoemail.txt und weitere) als PIF, EXE oder mit einer anderen Endung für ausführbare Dateien befindet. Ob der Schädling sich nur verbreitet oder auch eine Schadfunktion in sich trägt, konnte noch nicht festgestellt werden.

Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und welche Einstellungen vorgenommen werden sollten.

[Update]:
Die Hersteller von Antivirensoftware haben den neuen Schädling in ihre Signaturdatenbanken aufgenommen und erkennen ihn als Sober.O, .P, .N oder S. Eine Schadroutine trägt der Wurm nach bisherigen Erkenntnissen nicht in sich, er öffnet auch keine Hintertüren auf befallenen PCs.

[2. Update]:
Mittlerweile sieht sich auch das Organisationskomitee der Fußball-Weltmeisterschaft 2006 zu einer Reaktion auf den Wurm veranlasst, da er rasante Ausbreitung zumindest in Deutschland findet und das auf Grund des komplizierten und undurchsichtigen Karten-Vergabeverfahrens angekratze Image der Organisation weiter zu beschädigen droht. "Ticketkäufer, die bei der zweiten Verkaufsphase am 2. Mai 2005 erfolgreich waren, erhielten ihre erste Bestätigung direkt während des Bestellvorganges online", erklärte das Komitee in einer Warnung vor dem Wurm. Die per E-Mail versandten Bestätigungen des OK FIFA WM 2006 hätten zudem keinen Anhang enthalten. "Ticket-Besteller, die sich an der ersten Verkaufsphase der WM-Tickets beteiligt hatten, waren bereits am 22. April 2005 benachrichtigt worden." Spätere Benachrichtigungen seien ausgeschlossen.