OpenBCM V1.07b12 (Linux)

Packet Radio Mailbox

DB0FHN

[JN59NK Nuernberg]

 Login: GUEST





  
DB8AS  > VIRUS    19.04.11 22:47l 109 Lines 5029 Bytes #999 (0) @ DL
BID : J41DB0EAM000
Read: DK3UZ GUEST DL1LCA DD3IA DB1YAK
Subj: BSI Extraausgabe 19.04.2011
Path: DB0FHN<DB0FOR<DB0SIF<DB0EAM
Sent: 110419/2033z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:J41DB0EAM000
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
Extraausgabe vom 19.04.2011

Verbreitung durch "Drive-by-Exploits"

Erpressungsversuche durch Schadsoftware

In einer Pressemitteilung
http://www.bka.de/pressemitteilungen/2011/pm110401.html
[http://www.bka.de/pressemitteilungen/2011/pm110401.html]
vom 01.04.2011 warnen die Bundespolizei und das Bundeskriminalamt vor
einer aktuellen Erpressungsvariante durch Schadsoftware. Die Infektion
des PCs zeigt sich durch ein Pop-Up-Fenster, in dem der Nutzer zur
Zahlung einer vermeintlichen "Strafe" aufgefordert wird. Andernfalls
werde seine Festplatte geloescht. Die Taeter nutzen dabei rechtswidrig
die Logos des Bundeskriminalamtes, der Bundespolizei und anderer
Institutionen, wie zum Beispiel der Hersteller von
Virenschutzprogrammen.

Die Verbreitung dieses Schadprogramms findet nach aktuellem
Kenntnisstand durch so genannte "Drive-by-Exploits" statt. Dabei werden
beim Surfen im Internet Schwachstellen im Betriebssystem oder einer
Anwendungssoftware ausgenutzt, um ohne weitere Nutzerinteraktion
schaedliche Programme auf dem PC zu installieren.

Nach der Infektion des PCs ist der Zugriff auf den Desktop blockiert.
Im laufenden Betrieb kann das Schadprogramm daher nicht entfernt werden.
Abhilfe ist durch die Verwendung einer so genannten "Rescue-CD"
moeglich, wie sie von verschiedenen Herstellern von Antivirus-Software
kostenfrei zur Verfuegung gestellt wird.

Nicht alle dieser Rescue-CDs entfernen das Schadprogramm jedoch
vollstaendig und setzen die durch das Schadprogramm durchgefuehrten
weiteren Modifikationen am Betriebssystem korrekt zurueck. Weitere
Informationen hierzu koennen Sie bei den einzelnen Herstellern erfragen.

Nach aktuellem Kenntnisstand des BSI ist kostenfrei zumindest die vom
Hersteller Kaspersky zum Download angebotene "Rescue Disk 10" in der
Lage, die aktuelle Variante des Schadprogramms vollstaendig zu entfernen
und weitere Modifikationen rueckgaengig zu machen. Informationen und
Download "Kaspersky Rescue Disk 10"
http://support.kaspersky.com/de/viruses/rescuedisk
[http://support.kaspersky.com/de/viruses/rescuedisk].

Das Service-Center des Bundesamts fuer Sicherheit in der
Informationstechnik steht fuer Fragen von Privatnutzern unter
01805-274100 (14 ct/Minute aus dem deutschen Festnetz) oder unter
mail@bsi-fuer-buerger.de zur Verfuegung.

Weiterer Angriff: Angebliche Probleme mit der Lizenz des
Betriebssystems

Eine weitere aktuelle Erpressungsvariante durch Schadsoftware sperrt
den Benutzer von seinem System aus und fordert ihn auf, die Lizenz
seines Betriebssystems ueberpruefen zu lassen. Dazu sei es notwendig,
eine Telefonnummer im Ausland anzurufen, um einen Entsperrcode fuer
seinen PC zu erhalten.

Auch hierbei handelt es sich um eine Erpressungsvariante, bei der die
Taeter das bekannte Layout von Meldungen zur Lizenzierung des
Betriebssystems Microsoft Windows nachbilden. Ruft ein Betroffener eine
dieser Nummern an, entstehen hohe Telefonkosten, bis er einen
Entsperrcode erhaelt, wie der Sicherheitsdienstleister F-Secure
herausgefunden hat http://www.f-secure.com/weblog/archives/00002139.html
[http://www.f-secure.com/weblog/archives/00002139.html].

In diesem konkreten Fall koennen Betroffene auf einen teuren Anruf
verzichten, und sich stattdessen mit dem fuer diese Schadsoftware
generischen Freischaltcode 1351236 behelfen. Bisherige Untersuchungen
zeigen, dass der Zugriff auf den PC nach Eingabe dieses Freischaltcodes
wieder moeglich ist.

In beiden Faellen jedoch gilt: Es kann nicht ausgeschlossen werden,
dass bei der Infektion zeitgleich auch noch weitere Schadsoftware auf
dem PC installiert wurde. Daher empfiehlt das BSI, infizierte Systeme
grundsaetzlich neu aufzusetzen oder eine Komplettsicherung (Backup) des
PCs von einem Zeitpunkt vor der Infektion zurueck zu spielen.

Zum Schutz vor Infektionen durch Drive-by-Exploits sollten Anwender
darauf achten, neben der Verwendung eines aktuellen Virenschutzprogramms
zeitnah alle jeweils verfuegbaren Sicherheitsupdates fuer das
Betriebssystem und Anwendungssoftware (wie beispielsweise Webbrowser,
Acrobat Reader, Flash, Java, Multimedia-Player, usw.) zu installieren.


-----------------------------------------------------------------------

Die Extraausgabe "SICHER o INFORMIERT" ist ein kostenloses
Service-Angebot des Buerger-CERT. Die Informationen werden vom Bundesamt
fuer Sicherheit in der Informationstechnik, http://www.bsi.bund.de, mit
groesster Sorgfalt recherchiert und aufbereitet. Dennoch kann eine
Gewaehr oder Haftung fuer die Vollstaendigkeit und Richtigkeit nicht
uebernommen werden.

Unter http://www.buerger-cert.de haben Sie die Moeglichkeit, den
Newsletter zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.

vy 73, Jochen

ax.25 : db8as at db0eam.deu.eu
e-mail: db8as at db0eam.de



Read previous mail | Read next mail

 15.09.2025 00:12:14lGo back Go up