DB0FHN

DB8AS  > VIRUS    29.03.12 17:14l 214 Lines 12029 Bytes #999 (0) @ DL
BID : T32DB0EAM001
Read: DK3UZ GUEST DL1LCA
Subj: BSI Newsletter 120329
Path: DB0FHN<DB0FOR<DB0SIF<DB0EAM
Sent: 120329/1453z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:T32DB0EAM001
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 29.03.2012
Nummer: NL-T12/0006

Die Themen dieses Newsletters:
1. Falsche Online-Banking-App: Android-Trojaner stiehlt mTANs
2. Rechner in Geiselhaft: Schadprogramm sperrt Rechner im Namen von GVU und BSI
3. Imuler tarnt sich als Model: Neue Variante des Mac-Trojaners aufgetaucht
4. Sicherheitsupdate für VLC-Mediaplayer: Version 2.0.1 schließt zwei Schwachstellen
5. Update für Google Chrome: Neun Sicherheitslücken werden geschlossen
6. Warum E-Mails im Spam-Ordner landen: Google-Mail erklärt automatischen Filter
7. äZeus“-Botnetz teilweise lahmgelegt: Teilerfolg im Kampf gegen organisierte Cyberkriminalität

EDITORIAL
    Guten Tag,
    im Kampf gegen die Cyberkriminalität wird es sicherlich nie möglich sein,
    absolute Sicherheit für alle Anwender und Systeme zu erreichen. Doch der
    erfolgreiche Schlag von US-Behörden und Microsoft gegen die Betreiber von
    Botnetzen in den USA zeigt, dass sich die Mühe um jedes Stück mehr
    Sicherheit am Ende auszahlt. äWer sich nicht wehrt, hat schon verloren“ –
    so lautet ein Sprichwort, das auch für das Thema IT-Sicherheit zutrifft.
    Mehr Infos zu diesem Thema sowie weitere Meldungen rund um die Sicherheit
    im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und
    sichere Stunden im globalen Netz wünscht Ihnen
    Ihr BUERGER-CERT-Team

STÖRENFRIEDE
    1. Falsche Online-Banking-App: Android-Trojaner stiehlt mTANs

    Ein neues Schadprogramm für mobile Geräte mit Android-Betriebssystem ist
    in der Lage, mTANs zur Abwicklung von Online-Bankgeschäften zu stehlen.
    Dies berichtet u.a.
    pcwelt.de [http://www.pcwelt.de/news/Malware-Neuer-Android-Trojaner-stiehlt-mTANs-5065939.html]
    in Berufung auf eine Meldung von
    McAfee [http://blogs.mcafee.com/mcafee-labs/android-malware-pairs-man-in-the-middle-with-remote-controlled-banking-trojan].
    Das Unternehmen hat das Schadprogramm aufgespürt und
    äAndroid/FakeToken.A“ genannt.
    Die Malware tarnt sich als mTAN-Generator-App in der Optik von Großbanken
    und wird aktuell im spanischen Raum über E-Mails und SMS verbreitet. Das
    Programm fordert Anwender auf, sich per PIN beim vermeintlichen
    Banking-Portal anzumelden, um Transaktionscodes zu erhalten. Die
    dargestellten Codes sind jedoch nutzlose Zahlenkombinationen. Im
    Hintergrund sendet das Programm die Zugangsdaten sowie Informationen zum
    Gerät und der SIM-Karte an einen entfernten Server. Die Angreifer können
    mit diesen Informationen echte mTANs bei der Bank anfordern, die
    entsprechenden SMS abfangen und weiterleiten. Zudem werden die
    gespeicherten Kontakte abgerufen.

    2. Rechner in Geiselhaft: Schadprogramm sperrt Rechner im Namen von GVU
    und BSI

    Ein Schadprogramm sperrt Rechner zu Unrecht und angeblich im Namen der
    Gesellschaft zur Verfolgung von Urheberrechtsverletzungen (GVU) und des
    Bundesamtes für Sicherheit in der Informationstechnik (BSI).
    Gemäß der Pressemitteilung des
    BSI [https://www.bsi.bund.de/ContentBSI/Presse/Pressemitteilungen/Presse2012/Erpressungsvariante-mit-BSI-Logo_20032012.html]
    handelt es sich um eine neue Variante einer bereits seit 2011 bekannten
    Schadsoftware, mit der Kriminelle versuchen, Geld von PC-Besitzern zu
    erpressen. Die Schadsoftware sperrt die betroffenen Systeme und fordert
    die Nutzer in einer Einblendung auf, einen Geldbetrag zu entrichten, da
    mit dem Rechner angeblich illegale Raubkopien heruntergeladen wurden.
    Gegen Zahlung einer Gebühr von 50 Euro, zahlbar via Paysafecard, werde
    der Computer automatisch entsperrt. Es folgt eine schrittweise Anleitung
    zur Bezahlung mit diesem Bezahlsystem sowie eine Eingabemaske.
    Die Malware versucht, durch die missbräuchliche Nutzung der Logos des BSI
    und der GVU vertrauenswürdig zu erscheinen und suggeriert, die beiden
    Institutionen stünden hinter der Sperrung. Dies ist jedoch nicht der
    Fall. Eine Zahlung nach dem im Schreiben angegebenen Vorgehen führt nicht
    zur äEntsperrung“ des Rechners.

    3. Imuler tarnt sich als Model: Neue Variante des Mac-Trojaners
    aufgetaucht

    IT-Sicherheitsexperten der Softwarehersteller
    Sophos [http://nakedsecurity.sophos.com/2012/03/20/topless-supermodel-photos-used-to-spread-mac-malware/]
    und
    Intego [http://www.zdnet.de/news/41560995/intego-meldet-neuen-mac-trojaner.htm]
    warnen vor einer neuen Variante des Mac-Trojaners Imuler, der im
    September 2011 erstmals aufgetaucht ist. Die als äImuler.B“ bzw.
    äImuler.C“ bezeichnete Malware tarnt sich als Bilddatei. Dabei wird
    ausgenutzt, dass Mac OS die volle Dateiendung standardmäßig nicht
    anzeigt. So können Bilder in der Vorschau für den Augenschein
    unverdächtig präsentiert werden.
    Der Schadcode ist in ZIP-Dateien versteckt, die mehrere Bilddateien mit
    erotischen Aufnahmen der Models Renzin Dorjee und Irina Shayk enthalten.
    Die Dateien tragen die Bezeichnung äPictures and the Ariticle of Renzin
    Dorjee.zip“ oder äFHM Feb Cover Girl Irina Shayk H-Res Pics.zip“. Laut
    golem.de [http://www.golem.de/news/mac-trojaner-supermodel-als-virustraeger-1203-90664.html]
    verfügt das Schadprogramm nicht nur über eine gute Tarnung, es verwischt
    sogar seine Spuren. Sobald die Anwendung mit dem Model-Bild gestartet
    wird, wird eine JPEG-Bild-Datei erzeugt, der Virus installiert und die
    Installationsdatei für den Virus gelöscht. Für den Anwender wird die
    Dateierweiterung ä.jpg“ sichtbar und das Programm öffnet eine Hintertür
    und sendet u.a. Daten und Screenshots an einen entfernten Server. Die
    Malware vergibt jedem infizierten Mac eine Identifikationsnummer, um die
    gesendeten Dateien zuordnen zu können.
    Anwender können sich schützen, indem sie eine aktuelle
    Anti-Virus-Software nutzen und die Dateiendungen für alle Dateien
    einblenden. Um diese Funktion zu aktivieren, muss unter Finder ->
    Einstellungen -> erweiterte Einstellungen in der Checkbox äAlle
    Dateinamensuffixe einblendenö ein Haken gesetzt werden.

SCHUTZMASSNAHMEN
    4. Sicherheitsupdate für VLC-Mediaplayer: Version 2.0.1 schließt zwei
    Schwachstellen

    Der kostenlose und quelloffene Media-Player VLC ist in einer
    aktualisierten Version verfügbar. Der VLC 2.0.1 beseitigt nach Angaben
    des Entwickler-Konsortiums u.a zwei Sicherheitslücken
    (siehe VideoLAN-SA-1201
     [http://www.videolan.org/security/sa1201.html] und
    VideoLAN-SA-1202 [http://www.videolan.org/security/sa1202.html]).
    Die Schwachstellen können es Angreifern ermöglichen, mit speziell
    präparierten Mediendateien Code einzuschleusen und auszuführen. Betroffen
    sind die Streaming-Formate RTSP (Real Time Streaming Protocol) und MMS
    (Microsoft Media Server). Zur erfolgreichen Ausnutzung dieser
    Schwachstellen muss der Angreifer den Anwender dazu verleiten, speziell
    manipulierte MMS- oder RTSP-Streams zu öffnen. Die aktuelle Version des
    Players ist über die integrierte Update-Funktion des VLC Media-Players
    oder über einen manuellen Download auf der Webseite des
    Videolan-Projekts [http://www.videolan.org/vlc/#download] möglich.

    5. Update für Google Chrome: Neun Sicherheitslücken werden geschlossen

    Google hat ein Sicherheitsupdate für seinen Browser Chrome
    veröffentlicht. Die Version 18.0.1025.142 für Windows, Mac, Linux und
    Chrome Frame schließt neun Sicherheitslücken. Das Risiko, dass von den
    Schwachstellen Gefahren für Anwendersysteme ausgehen, wird von Google
    in drei Fällen als ähoch“
    eingeschätzt [http://googlechromereleases.blogspot.de/2012/03/stable-channel-release-and-beta-channel.html].
    Der technischen Warnung des

    Bürger-CERT vom 29.03.2012
    zufolge [https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T12-0026]
    könnten die Sicherheitslücken von entfernten Angreifern genutzt werden,
    um Zugriffsbeschränkungen zu umgehen, Daten zu manipulieren, den Browser
    zum Absturz zu bringen und Schadcode innerhalb der Browser-Sandbox
    auszuführen. Die Aktualisierung des Programms kann über die automatische
    Update-Routine des Browsers erfolgen. Das Update wird im Hintergrund
    heruntergeladen und mit dem Beenden des Browsers installiert. Alternativ
    steht die aktuelle Chrome-Version bei Google zum
    Download [http://chrome.google.de/] bereit.

PRISMA
    6. Warum E-Mails im Spam-Ordner landen: Google-Mail erklärt automatischen
    Filter

    Google erklärt Nutzern seines E-Mail-Dienstes Google-Mail neuerdings,
    warum elektronische Post im Spam gelandet ist. Wer eine Spam-Mail öffnet,
    findet zwischen der Adresszeile und dem Text einen Kasten mit dem Titel
    äWarum ist diese E-Mail im Spamordner?“ sowie eine kurze Begründung und
    bei bestimmten Spam-Mails auch Handlungsanweisungen und Sicherheitstipps.
    Wer weiterführende Informationen wünscht, kann über einen Link zu den
    Hilfe-Seiten von Google gelangen. Dort gibt es beispielsweise
    detaillierte Erläuterungen zu den verschiedenen Arten von Spam-Mails und
    die von ihnen ausgehenden Risiken. Google hat den neuen Service
    im firmeneigenen
    Blog [http://gmailblog.blogspot.de/2012/03/learn-why-message-ended-up-in-your-spam.html]
    vorgestellt. Ziel sei es, den Anwendern Gelegenheit zu geben sich näher
    mit den Bedrohungen durch Spam auseinandersetzen.

    7. äZeus“-Botnetz teilweise lahmgelegt: Teilerfolg im Kampf gegen
    organisierte Cyberkriminalität

    US-Behörden ist ein Schlag gegen die organisierte Cyberkriminalität
    gelungen. Dies berichten u.a.
    golem.de [http://www.golem.de/news/cyberkriminalitaet-microsoft-schaltet-zeus-botnetze-aus-1203-90729.html]
    und
    sueddeutsche.de [http://www.sueddeutsche.de/digital/zeus-botnet-microsoft-legt-zombie-netzwerke-lahm-1.1318412]
    und berufen sich dabei auf eine Meldung der New York Times. Demnach haben
    US-Vollzugsbeamte gemeinsam mit Microsoft-Mitarbeitern zwei Bürogebäude
    in den US-Bundesstaaten Pennsylvania und Illinois durchsucht und Server
    des seit langem aktiven Botnetzes äZeus“ abgeschaltet. Im
    Youtube-Kanal von Microsoft [http://www.youtube.com/watch?v=hqPmrWHkeTQ]
    ist ein Video zu sehen, das die Aktion erläutert. Über die kaltgestellten
    Server sollen insgesamt 3357 Botnetze gesteuert worden sein. Da die
    gesamt Botnetz-Struktur hoch komplex ist, war das Ziel der Razzia laut
    Microsoft, der Infrastruktur der Cyberkriminellen zu schaden. Außerdem
    sollen die bei der Durchsuchung sichergestellten Informationen weitere
    Ermittlungen erleichtern und Internetprovidern helfen, Anwender besser zu
    schützen.
    Mit dem Zeus-Trojaner ist es möglich, über Man-in-the-Middle-Angriffe
    Zugangsdaten zu Bankkonten zu stehlen. Verteilt wird die Software vor
    allem über Drive-by-Downloads und per E-Mail. Microsoft engagiert sich
    besonders im Kampf gegen Botnetze, da viele Botnetze aufgrund der hohen
    Verbreitung von Microsoft Windows hauptsächlich aus infizierten
    Windows-Rechnern bestehen.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.

vy 73, Jochen

ax.25 : db8as at db0eam.deu.eu
e-mail: db8as at db0eam.de



Read previous mail | Read next mail