Alle Benut­zer von App­les Brow­ser Safa­ri mit den Ver­sio­nen jün­ger als 4.0.4 soll­ten schnellst­mög­lich das Update ein­spie­len. Es exis­tie­ren meh­re­re Schwach­stel­len mit denen sich sowohl unter Win­dows, wie auch Apple Mac OS X bös­ar­ti­ge Pro­gram­me auf den ange­grif­fe­nen Sys­te­men aus­füh­ren oder sich Datei­en aus­le­sen las­sen.

Das Update kann bei Mac OS X über die ‚Soft­ware Aktua­li­sie­rung‘ und unter Win­dows mit dem Pro­gramm ‚Apple Soft­ware Update‘ ein­ge­spielt wer­den. Eben­so kann das Update von der Down­load-Web­sei­te her­un­ter­ge­la­den wer­den:

http://support.apple.com/downloads/Safari_4_0_4

Quel­len:

[1] Apple Safa­ri 4.0.4 Sicher­heits­mel­dung
http://support.apple.com/kb/HT3949

[2] Mac OS X: Soft­ware-Aktua­li­sie­rung
http://support.apple.com/kb/HT1338?viewlocale=de_DE&locale=de_DE

Es sind die Win­dows Betriebs­sys­te­me inklu­si­ve der Ser­ver-Ver­sio­nen, als auch Anwen­dungs­pro­gram­me aus dem Micro­soft Office Paket wie die Tabel­len­kal­ku­la­ti­on Excel und die Text­ver­ar­bei­tung Micro­soft Word sowie die Ein­bin­dung des Micro­soft Ver­zeich­nis­diens­tes (Acti­ve Direc­to­ry Ser­vice — ADS) betrof­fen.

Die Schwach­stel­len las­sen sich z.B von mani­pu­lier­ten Web­sei­ten, Doku­men­ten und Schrift­ar­ten aus­nut­zen, um Schad­soft­ware auf den Rech­nern der Opfer aus­zu­füh­ren.

Wir emp­feh­len des­halb die von Micro­soft zur Ver­fü­gung gestell­ten Updates schnellst­mög­lich ein­zu­spie­len. Dafür sur­fen Sie zum Bei­spiel mit dem Inter­net Explo­rer auf die Web­sei­te http://windowsupdate.microsoft.com/

Quel­len:
[1] Micro­soft-Sicher­heits­up­dates fuer Novem­ber 2009:
http://www.microsoft.com/germany/protect/computer/updates/bulletins/200911.mspx

[2] Ein­rich­ten der auto­ma­ti­schen Sicher­heits­up­dates unter Micro­soft Win­dows
http://windows.microsoft.com/de-DE/windows-vista/Turn-automatic-updating-on-or-off

Das Risi­ko sei hoch, so lau­tet die War­nung des Bun­des­am­tes für Sicher­heits­tech­nik in der zum drin­gen­den Update von Mac OS X 10.5 und 10.6 in der nor­ma­len Desk­top- und der Ser­ver-Ver­si­on gera­ten wird.

Durch ein Sicher­heits­loch im AFP-Ser­ver könn­ten Angrei­fer Scha­de­code auf den Gerä­ten aus­füh­ren.

Betrof­fen sind die Pro­gram­me: AFP Cli­ent, Adap­ti­ve Fire­wall, Apa­che, Apa­che Por­ta­ble Run­time, ATS, Cer­ti­fi­ca­te Assistant, Core­Gra­phics, Core­Me­dia, CUPS, Dic­tion­a­ry, Direc­to­ry­Ser­vice, Disk Images, Dove­cot, Event Moni­tor, fetch­mail, File, Free­RA­DI­US, FTP Ser­ver, Help View­er, ImageIO, Inter­na­tio­nal Com­pon­ents for Uni­code, IOKit, IPSec, Ker­nel, Launch Ser­vices, libse­cu­ri­ty, libxml, Log­in Win­dow, OpenLDAP, Open­S­SH, PHP, Quick­Draw Mana­ger, Quick­Look, Quick­Time, Screen Sha­ring, Spot­light und Sub­ver­si­on.

Wir raten Ihnen dazu drin­gend das Update von Apple ein­zu­spie­len. Dies geschieht fuer Mac OS Sys­te­me am ein­fachs­ten über die Apple-Funk­ti­on “Soft­ware­ak­tua­li­sie­rung”  oder durch einen Besuch der Down­load-Web­sei­te unter: http://www.apple.com/support/downloads/

Quel­len:
[1] Apple Sicher­heits­mel­dung 2009-006 — Mac OS X 10.6.2
http://support.apple.com/kb/HT3937?viewlocale=de_DE

[2] Apple Soft­ware­ak­tua­li­sie­rung
http://support.apple.com/kb/HT1338?viewlocale=de_DE

Gründer^1000

Wir unter­stüt­zen die bun­des­wei­te Opti­mis­mus-Kam­pa­gne Optimismus^1000. Gera­de in der Auf­schwung­pha­se nach der frisch durch­lau­fe­nen Kri­se brau­chen wir per­sön­li­ches Enga­ge­ment und Mut.

Da wir selbst als Fran­chise­ge­ber und eben­so alle Fran­chise­part­ner wis­sen wie schwie­rig es ist sei­ne eige­nen Exis­tenz zu grün­den und erfolg­reich zu sein, engan­gie­ren wir uns beson­ders ger­ne für die Stär­kung der Grün­der­sze­ne in Deutsch­land mit einer beson­de­ren Akti­on. Es ist uns eine Freu­de unser Know-How für klei­ne und mit­tel­stän­di­sche Unter­neh­men sowohl als Tätig­keit eines “Com­pu­ter Emer­gen­cy Respon­ce Teams” (CERT oder zu deutsch sinn­ge­mäß PC-Feu­er­wehr)  son­dern auch als IT-Exper­ten prä­ven­tiv und bera­tend im Auf­bau einer pro­duk­ti­ven, pro­fes­sio­nel­len und bezahl­ba­ren IT-Infra­struk­tur zur Ver­fü­gung zu stel­len und Unter­neh­mern bei Ihrem Geschäfts­er­folg zur Sei­te zu ste­hen.

Mehr zu unse­rem Bei­trag auf der Web­sei­te von Optimismus^1000.

Fil­me wie Sca­ry-Movie haben auch in Deutsch­land den eng­li­schen Begriff ‘Sca­ry’ bekann­ter gemacht. Genau wie vie­le Tro­ja­ner per eMail mit komi­schen Behaup­tun­gen von hohen Rech­nungs­be­trä­gen und angeb­li­chen Inkas­so-Ankün­di­gun­gen ver­su­chen den Leser ins Box­horn zu jagen, ver­su­chen Soft­ware­her­stel­ler auf äußerst dubio­se Art & Wei­se Ihre Anti-Viren­pro­duk­te mit Behaup­tun­gen wie z.B. dass der PC einen Virus hät­te zu ködern. Dass das meis­tens gar nicht der Fall ist, stört die Her­stel­ler nicht — die Mel­dung erscheint trotz­dem.

Nun hat Anfang Dezem­ber in den USA die Fede­ral Trade Com­mis­si­on (FTC) — ver­gleich­bar mit unse­ren Ver­brau­cher­schutz­zen­tra­len — vor einem US-Gericht zwei Her­stel­lern per Ver­fü­gung den wei­te­ren Ver­kauf Ihrer Pro­duk­te unter­sa­gen las­sen. Gleich­zei­tig wur­den die Ver­mö­gen der ver­ur­teil­ten Unter­neh­men Inno­va­ti­ve Mar­ke­ting Inc. und Byte­Hos­ting Inter­net Ser­vice LLC ein­ge­fro­ren. Ein deut­li­ches Indiz dafür, dass das US-Gericht die Masche des Kun­den­fangs mit der Schreck-Soft­ware als Betrug bewer­tet.
Sicher­lich neh­men sich auch in Deutsch­land die Ver­brau­cher­schutz­zen­tra­len die­ser The­ma­tik an und es darf erwar­tet wer­den, dass auch deut­sche Gerich­te zu ähn­li­chen Ergeb­nis­sen kom­men dürf­ten. Wie wich­tig der Kampf gegen die­sen sich explo­si­ons­ar­tig aus­brei­ten­den Wild­wuchs ist, zeigt die Infor­ma­ti­on von G DATA, nach der im Sep­tem­ber 2007 noch nur 31 Sca­re-Ware-Signa­tu­ren, im Sep­tem­ber 2008 jedoch bereits 2.094 sol­cher Signa­tu­ren erstellt wur­den. Die Signa­tu­ren sind not­wen­dig, damit ein Anti­Vi­ren-Pro­gramm die bös­ar­ti­ge Soft­ware ent­de­cken und bekämp­fen kann.

Die FTC nennt in Ihrer Mit­tei­lung Pro­dukt­na­men wie Win­Fi­xer, WinAn­ti­Vi­rus, Drive­Clea­ner, Error­Safe und XP Anti­vi­rus. Die Pro­gram­me wer­den aller­dings auch unter ande­ren Namen bewor­ben und ver­kauft.

Las­sen Sie sich von plötz­lich im Inter­net auf­pop­pen­den Behaup­tun­gen nicht in die Irre lei­ten. Trau­en Sie nur einem eta­blier­ten Viren­scan­ner der auf Ihrem Sys­tem instal­liert ist und ach­ten Sie dar­auf dafür auch stets die aktu­el­len Updates ein­zu­spie­len. Nur dann haben Sie stets die neu­es­ten Signa­tu­ren, die für den Schutz Ihres PCs not­wen­dig sind.
Wenn Sie sich nicht sicher sein soll­ten, so hel­fen wir Ihnen gern.

Haben Sie gera­de fol­gen­de oder eine ähn­li­che eMail in Ihrem Post­fach gefun­den?

Sehr geehr­te Damen und Her­ren,

Ihre Email “[email protected]” wird wegen Miss­brauch inner­halb der naechs­ten 24 Stun­den gesperrt. Es sind 27 Beschwer­den wegen Spam­ver­sand bei uns ein­ge­gan­gen.
Details und moeg­li­che Schrit­te zur Ent­sper­rung fin­den Sie im Anhang.

Falls das der Fall ist, dann lachen Sie ein­mal über die lus­ti­ge Behaup­tung und kli­cken Sie ent­spannt auf ‘löschen’. In dem Anhang der Datei ’sperrung.zip’ oder ‘hinweis.zip’ fin­det sich wie­der ein­mal ein bös­ar­ti­ges Pro­gramm, das Ihren PC infi­zie­ren möch­te.

Erneut set­zen die Ver­sen­der auf den bekann­ten und den­noch lei­der immer noch wirk­sa­men Schock-Effekt. Schon die fal­schen Umlau­te soll­ten jeden Inter­net­nut­zer sofort auf­merk­sam wer­den las­sen.
Tech­nisch kann übri­gens höchs­tens der tat­säch­li­che eige­ne Pro­vi­der einem die eMail-Adres­se abschal­ten. Und der wird Ihnen sicher­lich nicht in die­ser Form schrei­ben oder mit einem werk­wür­di­gen Absen­der. Wenn sowas über­haupt zutrifft, dann wird die­ser vor­her anrufen, sich ein­deu­tig, freund­lich und nach­voll­zieh­bar authen­ti­fi­zie­ren und Ihnen dann höf­lich mit­tei­len, dass es ein Pro­blem mit Ihrer Mail­box gibt oder sich per Brief­post mel­den. Übli­cher­wei­se schal­tet einem sowie­so kein Pro­vi­der die Mail­box ein­fach so ab.

Eine dumm­dreis­te Behaup­tung die auch noch eine ZIP-Datei oder eine ande­re gepack­te Datei im Anhang mit­sen­det ist ein ein­deu­ti­ges Indiz für Schad­soft­ware.

Also — bit­te fal­len Sie auch auf die­sen Trick nicht her­ein.

Seit heu­te mor­gen kur­sie­ren wie­der Viren in eMails mit dem bekann­ten Strick­mus­ter eine angeb­li­che sehr hohe For­de­rung zu haben.

Nach unse­ren Tests erkennt der­zeit kein Viren­scan­ner den in der gepack­ten ZIP-Datei ver­steck­ten Virus.

Der Betreff variert:
Mahn­ge­bueh­ren Nr9231
Unter­las­sungs­er­klae­rung Nr3425
Zah­lungs­auf­for­de­rung Nr4612
Abrech­nung 395951858121

Der Text lau­tet fol­gen­der­ma­ßen oder ähn­lich:

Sehr geehr­te Damen und Her­ren!
Die Anzah­lung Nr.212939748270 ist erfolgt
Es wur­den 6342.00 EURO Ihrem Kon­to zu Last geschrie­ben.
Die Auf­lis­tung der Kos­ten fin­den Sie im Anhang in der Datei: Abrech­nung.

… Inkas­so GmbH & Co. KG
Fre­de­bur­ger Str. xx
3699 Bie­le­feld

Der­zeit heißt der Datei­an­hang stets: abrechnung.zip und ledig­lich der Betrag und die Num­mer der Abrech­nung variert.

Bit­te fal­len Sie nicht auf die­se üblen Tricks her­ein. Es darf ange­nom­men wer­den, dass auch die­ses mal wie­der die Viren­ver­sen­der den Virus leicht modi­fi­zie­ren, sobald die Anti­vi­ren­her­stel­ler die­sen erken­nen, so wie es ja bereits vor ein paar Wochen der Fall war.

Seit ca. 12.35 Uhr war Schlund­Tech und Inter­netX (bei­des Dienst­leis­ter für Resel­ler, die zwar unter ver­schie­de­nen Mar­ken am Markt auf­tre­ten, jedoch wohl die glei­che Tech­nik ver­wen­den dürf­ten) Opfer eines DDoS-Angriffs. DDoS steht für Dis­tri­bu­ted Deni­al of Ser­vices und bedeu­tet sinn­ge­mäß, dass ein Angriff von fern­ge­steu­er­ten Com­pu­tern die Name­ser­ver mit fal­schen Anfra­gen und Daten­pa­ke­ten so mas­siv unter Last setzt, bis die nor­ma­le Nut­zung auf­grund der Daten­flut den Dienst zum erlie­gen gebracht wird.
Doch schon mor­gens waren die ers­ten Aus­fall­erschei­nun­gen tem­po­rär und nur kurz­zei­tig zu ver­zeich­nen. Offen­sicht­lich wur­de der Angriff im Lau­fe des Tages hef­ti­ger.

Man kann es sich so ähn­lich wie mit zu vie­len Weih­nachts­pa­ke­ten vor­stel­len, wenn zudem gleich­zei­tig das Per­so­nal krank wird. Auch dann kom­men Pake­te zu spä­ter oder womög­lich gar nicht an. In die­sem Fall wur­den mas­sen­wei­se künst­li­che Pake­te im Inter­net mit dem Ziel den Name-Ser­ver-Dienst zu stö­ren ver­schickt. Der Name-Ser­ver-Dienst ist im Prin­zip das Tele­fon­buch des Inter­net. Es löst die Namen zu den ver­schie­de­nen Com­pu­tern, bzw. deren tech­ni­schen IP-Adres­sen auf. Obwohl die Com­pu­ter über die IP-Adres­sen erreich­bar gewe­sen wären, konn­ten die PCs die hin­ter den Domain­na­men lie­gen­den IP-Adres­sen auf­grund des DDoS nicht mehr abfra­gen, bzw. auf­lö­sen und somit die Com­pu­ter nicht errei­chen.

Schlund­Tech und Inter­netX gehö­ren bei­de zur bör­sen­no­tier­ten United Inter­net AG die immer­him im TecDax gelis­tet ist und wohl bekann­ter unter den Mar­ken 1&1, GMX und web.de ist.

Immer­hin knapp 18.000 Resel­ler haben bei den oben genann­ten Dienst­leis­tern knapp 2,3 Mio Domains gehos­tet. Selbst wenn nur nur etwas über die Hälf­te der dort gehos­te­ten Domains die .de-TLD betrof­fen haben soll­te,  dann wären also von den der­zeit ~12,3 Mil­lio­nen .de-Domains immer­hin noch knapp 10% von dem Angriff betrof­fen gewe­sen.

Wenn selbst das sehr gut aus­ge­stat­te­te Rechen­zen­trum und Per­so­nal der United Inter­net AG über drei Stun­den mit dem DDoS-Agriff kämp­fen muß­te, dann kann man sich vor­stel­len wie extrem stark die Atta­cke gewe­sen sein muß.

Auch uns traff der Angriff. Wir bedau­ern die Stö­rung und Unan­nehm­lich­kei­ten sehr und bit­ten alle eben­falls davon betrof­fe­nen Kun­den um Ver­ständ­nis. In weni­gen Stun­den soll­te wie­der alles wie gewohnt funk­tio­nie­ren, so funk­tio­niert seit 15.50 Uhr bei uns bereits wie­der alles wie es soll.

Ent­spre­chen­der der Men­ge der betrof­fe­nen Domains ist bei der Gra­fik des DeCIX (Deutsch­lands zen­tra­lem und wich­tigs­ten Inter­net­kno­ten in Frankfurt/Main) ein ana­log zu der Men­ge der betrof­fe­nen Domains gerin­ger Daten­ver­kehr in deren Sta­tis­ti­ken sicht­bar:

Quel­le: DeCIX.

Wie der Hei­se-News­ti­cker in einem Update berich­tet, hat Frau Petra Stu­ben­rauch von Inter­netX / Schlund­Tech inzwi­schen per eMail über den extrem aggres­si­ven Cha­rak­ter der DDoS-Atta­cke tech­ni­sche Hin­ter­grund­in­for­ma­tio­nen gelie­fert. Dem­nach hält der Angriff noch immer an und es steht dem­entspre­chend nur eine begrenz­te Band­brei­te zur Ver­fü­gung. Der Angriff liegt bei ca. 40.000 Hosts (PCs / Com­pu­ter) und nutzt eine Gesamt­band­brei­te an Daten von 20 Gbit pro Sekun­de.
Zum Ver­gleich: Der Durch­satz des DeCIX liegt in der Spit­ze der­zeit bei 500 Gbit/s an einem Tag — der Angriff beträgt also von der Daten­men­ge her in etwa 4% der Spit­ze des gesam­ten Inter­net­ver­kehrs über die­sen zen­tra­len Kno­ten in Deutsch­land. In moder­nen 16/1 MBit-DSL-Lei­tun­gen gespro­chen heißt dies das ca. 20.000 voll aus­ge­las­te­te DSL-Upstreams not­wen­dig wären um die­ses Volu­men zu errei­chen. Mit nor­ma­len älte­ren DSL‑, ISDN- und Ana­log­lei­tun­gen wür­den hier­für ent­spre­chend noch wesent­lich mehr Ver­bin­dun­gen benö­tigt. Man kann sicher­lich ohne Über­trei­bung von einem extre­men Aus­maß spre­chen.

Die Mel­dung vom 25.10.2008 bezog sich auf einen Wurm der offen­sicht­lich kei­ne ech­te Wei­ter­ver­brei­tungs­funk­ti­on hat­te. Doch inzwi­schen ist eine neue Vari­an­te unter­wegs die sich nun aggre­siv selbst ver­mehrt.

Solan­ge die Win­dows-Fire­wall akti­viert ist oder ein Rou­ter mit Fire­wall­funk­ti­on die Fil­te­rung der ein­ge­hen­den Pake­te über­nimmt, ist das Anste­ckungs­ri­si­ko wohl sehr gering. Ledig­lich Com­pu­ter die von außen über die Ports 135 — 139 und/oder 445 erreich­bar sind könn­ten infi­ziert wer­den, solan­ge die aktu­el­len Patches von Micro­soft nicht instal­liert sind, die den bekann­ten Bug und damit die Angriffs­flä­che behe­ben.

Ger­ne prü­fen wir Ihr Sys­tem, ob es ver­wund­bar ist oder gar schon infi­ziert wur­de. Selbst­ver­ständ­lich instal­lie­ren wir Ihnen auch ger­ne eine Lösung die Sie vor die­sem und künf­ti­gen Wür­mern zuver­läs­sig schützt.

Fast alle haben in den letz­ten Tagen die Auf­for­de­rung Ihre Micro­soft-Betriebs­sys­te­mes ein Update zu instal­lie­ren und unmit­tel­bar danach den Rech­ner neu zu star­ten gese­hen. Wer das Update bis­her igno­riert hat, soll­te es nun­mehr umge­hend instal­lie­ren, denn seit kur­zem soll sich ein Wurm namens ‘Gimmiv.A’ im Inter­net auf Angriffs­tour befin­den.
Der Wurm fin­det sei­nen Weg über eine RPC-Lücke in das Betriebs­sys­tem. Dafür genügt es wenn auf dem atta­kier­ten PC die Netz­werk- und Dru­cker­frei­ga­be akti­viert ist. Die loka­le Fire­wall hilft in die­sem Fall nicht. Sofern Sie einen DSL-Rou­ter oder eine ande­re Hard­ware­fi­re­fall zwi­schem dem Inter­net und Ihrer IT-Anla­ge haben, soll­ten Sie jedoch kei­ne Pro­ble­me bekom­men.
Inso­fern ist nicht mit einer so gro­ßen Ver­brei­tung und so extre­men Schä­den zu rech­nen, wie sie damals bei dem Wurm Sas­ser zu ver­zeich­nen waren.

Den­noch raten wir Ihnen dazu die Win­dows-Updates stets ein­zu­spie­len. Und zwar sowohl für Ihr Betriebs­sys­tem als auch für das Office. Eben­so müs­sen regel­mä­ßig die Brow­ser­up­dates und deren Plug­ins instal­liert wer­den (Flash, Java, etc.).

Eine wich­ti­ge Auf­ga­be, bei der wir Ihnen ger­ne hel­fen oder die wir für Sie über­neh­men. Nur durch kon­ti­nu­ier­li­che Pro­phy­la­xe kann das Risi­ko einen Schäd­lings­be­fall zu erlei­den mini­miert wer­den.