Aktuelles Archiv 6 (IT-Blog von Thomas Murr)

Sun Java-Runtime und Java Web Start: Sicherheitslücken (14.06.2005)

Wer mit Java-Runtime oder Java Web Start von der Fa. Sun arbeitet, sollte umgehend das bereitgestellte Update installieren, um die derzeitigen als kritisch eingestuften Sicherheitslücken zu schliessen. So ist es möglich, dass nicht vertrauenswürdige (untrusted) Java-Applets (und JLNP-Dateien) die Sandbox durchdringen und Vollzugriff auf beliebige Dateien des Rechners haben. Selbst das Starten einer bereits auf dem Computer installierten Anwendung ist möglich. Ist Java im Webbrowser installiert, kann beim Besuch einer Website Schadcode auf den Rechner gelangen, ohne dass der Anwender etwas davon merkt. Die Lücken sind ab Version 5.0 Update 2 beseitigt, obwohl bereits schon ein Update 3 zur Verfügung steht. Aller früheren Versionen sollten schleunigst aktualisiert werden.

Die im Zusammenhang mit Java /JavaScript / Flash und ActiveX-Controls immer wieder aufgedeckten Sicherheitslücken untermauern unsere Ansicht, auf Browser-Plugins aller Art soweit wie möglich zu verzichten; zumindest sollten diese nicht generell, sondern nur bei Bedarf und da ist auch abzuwägen, aktiviert sein.

Fortsetzung “Forum” (13.06.2005)

Unser Forum steht wieder zur Verfügung; obwohl die rechtlichen Obskuritäten noch nicht aus der Welt geschafft wurden, sondern sich eher verschärft haben (siehe Fortsetzung des Dilemmas von www.ironsport.de). Unsere Nutzungsbedingungen wurden an die lausigen Gegebenheiten angepasst.

In eigener Sache: Forum wird ausgesetzt (12.06.2005)

Ein privater Forenbetreiber wurde jüngst abgemahnt (Streitwert € 100.000,-), weil ein Forum-Mitglied einen markenrechtlich geschützten Namen als Pseudonym/Usernamen verwendet hat. Der Markenname war bisher nicht einmal benutzt, sondern lediglich geschützt und der Öffentlichkeit nicht bekannt (Details: siehe Veröffentlichung des abgemahnten Forumbetreibers). Sollte die Klage Erfolg haben, hätte das katastrophale Auswirkungen auf alle derzeitigen Diskussionsforen und kostenlose E-Mail-Dienste. Unser Forum ist aus diesem Grund vorübergehend ausgesetzt und wird bis zur Anpassung der Nutzungsbedingungen nicht mehr erreichbar sein, weil wir nicht bereit sind uns für einen kostenlosen Dienst - dem ursprünglichen, freiheitlichen Internetgedanken folgend -  einem solch immensen Risiko auszusetzen. Denn dies ist eine neue ”Qualität” der heute gängigen und moralisch verwerflichen Abmahnungswellen im “Netz”. Schmarotzer mit parasitärem Verhalten werden, wie in vielen anderen Lebensbereichen unserer Gesellschaft, offensichtlich immer belohnt! Weiter so...

Staatliche Überwachung elektronischer Nachrichtenübermittlung (11.06.2005)

Die derzeitige heftige Diskussion um eine weitere Verschärfung der Telekommunikations-Überwachungsverordnung hat uns veranlasst die Seite “E-Mail-Verschlüsselung” zu überarbeiten und die neue Seite “Steganographie” einzustellen. Zur Info: seit 01.01.2005 wird elektronische Post überwacht und die Providern sind verpflichtet jede E-Mail zu speichern.....jetzt soll das Verschlüsseln von E-Mails reglementiert werden, indem der Krypto-Nutzer Vater Staat einen Nachschlüssel überlassen soll :-).....Wir raten unseren Lesern die elektronische Post weiterhin auf´s schärfste zu verschlüsseln und sollte die Reglementierung wahr werden, auf Steganographie umzusteigen bzw. mit den bereits verwendeten Verschlüsselungsmethoden zu kombinieren.

Trojaner Bagle.AR / Wurm MyTob.AR (01.06.2005)

Derzeit sind mehrere neue Varianten der Würmer “Bagle” und “MyTob” unterwegs. “MyTob” ist in einer E-Mail mit englischem Text versteckt und spielt eine Provider-Benachrichtigung über einen gesperrten bzw. abgelaufenen Account vor. Die gefälschte Absenderadresse trägt die Domain der Empfängeradresse. Im Anhang befindet eine Zip-Datei, die beim Ausführen den Windows-Rechner infiziert und zusätzlich Backdoorports (Hintertürchen zur Fernsteuerung) aufmacht. Der neue Mutant zu “Bagle-Familie” ist ein trojanisches Pferd und hat im grossen und ganzen dieselbe Schadroutine wie seine Vorgänger (siehe Archiv). Die aktuellen Virendefinitionsdateien der Antivirensoftware-Hersteller haben die neuen Würmer im Repertoire, so dass man mit einem Update des Virenscanners auf der sicheren Seite unterwegs ist. Wie immer der gleiche Ratschlag am Ende: Keine verdächtigen E-Mails öffnen und bei nicht bekanntem Absender größte Vorsicht walten lassen.

In eigener Sache (30.05.2005)

Unser Down- und Uploadrechner wurde erneut an die gegebenen Geschwindigkeiten angepasst und der Downstream mit 6.016 kbit/s sowie der Upstream mit 512 kbit/s eingearbeitet und dafür die uralten Analog-Modem-Geschwindigkeiten mit 9.6 kbit/s und 14.4 kbit/s herausgenommen.

W32/Sober.O - W32/Sober.P (21.05.2005)

Der aktuelle Wurm W32.Sober.P wird am kommenden Montag (23.05.2005) von diversen Webservern neue Programme nachladen. Die Auswirkung dieser Programme ist derzeit noch unbekannt. Sober.P hat bisher auf befallenen Windowsrechnern E-Mails mit rechstradikalem Inhalt und gefälschter Absenderadresse verbreitet, indem er die PCs zum Spamserver umfunktionierte. Die Texte sind in deutscher und englischer Sprache verfasst. Ferner löscht der Wurm Dateien des AV-Herstellers Symantec und deaktiviert Sicherheitssoftware wie die Windows XP-Firewall und das Automatische Update und verhindert den Start spezieller Entfernungstools. Sober.P gelangt auf Computer, die zuvor mit W32.Sober.O* infiziert wurden. Dieser lädt die entsprechenden Dateien, die Sober.P beinhalten, nach. Während Sober.O ein reiner Massenmailing-Wurm ist und zur Weiterverbreitung dient, handelt es sich bei Sober.P um ein trojanisches Pferd, das sich (bisher) nicht automatisch weiterverbreitet. Als Schutzmassnahme sollte das verwendete Virenschutzprogramm unbedingt aktualisiert werden.

* Sober.O gelangt als Zip-Datei in einer E-Mail auf den Computer. Wird diese entpackt, erhält man die Datei “Winzipped-Text_Data.txt” mit der zusätzlichen Dateierweiterung .pif oder .exe. Bei der Ausführung dieser Datei wird der Computer infiziert und es erscheint folgende WinZip Self-Extractor-Fehlermeldung: “ERROR: CRC not complete”.

Keylogger-Trojaner im Kommen (06.05.2005)

Account-Phishing ist (wieder) “in”. Wurden vor einem Jahr noch eine bis zwei Varianten von neuen Keylogger-Trojanern entdeckt, so sind es heute acht bis zehn pro Woche. Ebenso stieg die Anzahl der Webseiten, die ahnungslosen Surfern mittels JavaScript solche Trojaner unterschieben, um ein Vielfaches. Einmal infiziert, werden alle Tastatureingaben geloggt (gespeichert) und im Hintergrund dem Account-Phisher gesendet. Ziel sind vor allem Onlinebanking-Kunden, was andere vielzählige Missbrauchsmöglichkeiten jedoch nicht ausschliesst. Ausreichend Schutz bietet nur ein aktueller Virenscanner, ein aktuelles AntiSpyprogramm (jeweils mit Wächterfunktionen), Deaktivierung von Java und Co. bei nicht absolut vertrauenswürdigen Websites und nicht zuletzt gesunder Menschenverstand, welcher unseres Erachtens im Zusammenhang mit verantwortlichem Internet- bzw. Surfverhalten bei vielen Usern im “Offlinezustand” verharrt. Denn nur so sind die vielzähligen Infizierungen von Rechnern mit Trojanern und Co., zumal auch noch mit meist stümperhaften und offensichtlichen Angriffsmethoden durchgeführt, zu erklären.

Filesharing-Wurm: W32/Nopir-B (28.04.2005)

Dieser Wurm löscht auf befallenen Windows-Rechnern alle .mp3-Dateien, verammelt den Zugriff auf den Taskmanager und die Registry-Tools. Die Verbreitung erfolgt über Filesharing-Netze; er kopiert sich in das Verzeichnis “\eMule\Incoming\” als DVD-Kopiertool inkl. Crack “AnyDVD 5.1.0.1 Crack+Keygen By Razor.exe” und wartet dort auf seinen Abruf. Es ist höchste Vorsicht geboten. W32/Nopir-B ist seit gestern unterwegs.

Wurm: Sober.M (19.04.2005)

Seit heute morgen verbreitet sich eine neue Variante des Wurms W32.Sober mit fortlaufender Endung .M. Wie die Vorgängerversionen verbreitet er sich mit eigener SMTP-Engine per Massenmailing.

deutsche Variante: im Betreff  “FwD: Ich bin´s nochmal” mit Anhang “Private-Texte.zip”

englische Variante: im Betreff “I´ve_got your EMail on my_account” mit Anhang “your_text.zip”

Bei Ausführung der Anlagen wird der Windows-Computer infiziert. Die meisten Hersteller von Antivirensoftware haben ihre Virendefinitionsdateien aktualisiert, so dass Sie Ihren Virenscanner umgehend updaten sollten. E-Mails mit o.g. Betreffzeilen und Anlagen sind sofort zu löschen !

Phishing: erneuter Versuch bei Postbankkunden (04.04.2005)

Erneut wird versucht mittels einer Phishing-Mail an die PIN und TANs von Postbankkunden zu kommen. Beim Klick auf den Link in der letzten Zeile der Phishing-Mail mit diesem Text gelangt man auf eine nachgebaute Postbank-Website, auf welcher die Daten (Konto-Nr., PIN, TAN) in ein Formular eingegeben werden sollen. Löschen Sie eine derartige E-Mail sofort und klicken Sie keinesfalls auf den angebotenen LINK!

Internet-Telefonie - VoIP (31.03.2005)

Das Thema wird mit immer schnelleren DSL-Anschlüssen zunehmend interessanter, weshalb wir hierzu eine Seite eingerichtet haben. Siehe Internet-Telefonie.

zum Archiv5 (15.01.2005-24.03.2005)

Home | Angebot | IT-Forensik | IT-Risiken | WWW | Sicherheit | Tipps | Aktuelles | Kontakt | Links | Newsletter | AGB | Impressum | Sitemap |