Zurück aus dem Urlaub werden natürlich als erstes die aufgelaufenen E-Mails abgerufen. Und in den einschlägigen Blogs nachgeschaut, was es so an Neuigkeiten gibt - die wollen wir Ihnen natürlich nicht vorenthalten!
Ganz aktuell wird vor Schwachstellen im Realplayer gewarnt:
buerger-cert.de meldet: "Im 'RealPlayer' wurden mehrere Schwachstellen entdeckt, die einem entfernten Angreifer ermöglichen, beliebigen Code mit den Rechten des angemeldeten Benutzers auf einem Opfersystem auszuführen. Die Schwachstellen basieren u.a. auf fehlerhaften ActiveX-Controls sowie einem Fehler in der Verarbeitung speziell gestalteter Shockwave-Flash-Dateien (SWF).
Da die potentiell schädlichen Inhalte auch in Webseiten eingebaut sein können, reicht unter Umständen auch schon ein Besuch von manipulierten Webseiten aus."
Es wird empfohlen, die vom Hersteller bereitgestellten Updates zu installieren.
Aufpassen sollte man, wenn man ungewollte E-Mails mit Betreffs wie den folgenden erhält (mal ganz abgesehen davon, dass Sie es sich sowie dreimal überlegen sollten, ob Sie E-Mails öffnen, von denen Sie nicht wissen, weshalb (oder gar von wem) sie kommen):
- UPS United Parcel System: "Ihr UPS Paket Nxxxxxxxxx", "UPS Tracking Number xxxxxxxxxx" oder "[RE] UPS Tracking Number xxxxxxxxxxxx" (die Nummern variieren) - Angeblich konnte ein Paket nicht zugestellt werden, deshalb solle man das angefügte Formular ausdrucken, ausfüllen und das Paket abholen.
Bereits Anfang Juli wurden damit Emails verschickt, die als Anhang ein ca. 48 KB oder 56 KB großes ZIP-Archiv "UPS_Lieferschein.zip", "UPS_INVOICE_187271.zip", "UPS_INVOICE_978172.zip" oder auch "invoice_8712.zip" haben. Es enthält eine gleichnamige EXE, die 56 KB groß ist und ein Word-Symbol hat. Angeblich ein Formular zum Ausdrucken, versteckt sich dahinter stattdessen ein Trojanisches Pferd.
buerger-cert: "Wird die EXE-Datei ausgeführt, legt sie im Verzeichnis \Windows\System32 eine Datei mit dem Namen "ntos.exe" an. Diese trägt es dann in den Schlüssel "HKEY_LOCAL_Machine\software\microsoft\windows nt\currentversion\winlogon" der Registry ein. Dadurch wird der Schädling bei jedem Start von Windows aufgerufen.
Aus gegebenem Anlass rät das Bürger-CERT weiterhin zur Vorsicht beim Download von Dokumentenvorlagen aus dem Internet. Angreifer platzieren derzeit Webseiten, auf denen angebliche Vorlagen zu Arbeitsverträgen, Versicherungskündigungen oder auch Gedichte im PDF- oder Word-Format zum kostenlosen Download angeboten werden. Beim Download erhält der Nutzer jedoch anstelle eines PDF- oder Word-Dokuments eine ausführbare Datei, welche ein Schadprogramm enthält.
Das Bürger-CERT empfiehlt, derartige E-Mails umgehend zu löschen und keinesfalls den Dateianhang zu öffnen."
- Unerwartete Paypal-Lastschrift oder Rechnung: Betreffs wie „N 15801008 Rechnung“, „Lastschrift N 12804352“, „Rechnung 32531490“ oder ähnlich.
Im Text ist von einer Abbuchung von mehreren tausend Euro die Rede, die Details möge man dem Anhang entnehmen. Der Anhang besteht aus einem ZIP-Archiv namens "Rechnung_S833.zip" (~20 KB), das eine Datei "Rechnung________NRDKJH8833423444229.exe" enthält. Dabei handelt es sich um ein Trojanisches Pferd. Es soll den Rechner zu einem Teil eines Botnets machen und ihn so in eine fremdgesteuerte Spam-Schleuder verwandeln.
- Neue Währung für Nordamerika? "Amero - the secret currency", "Amero arrives", "Amero currency Union is now the reality", "Amero is not a myth", "AMERO to replace Dollar", "Bye bye dollar, hello amero" uvm.
Eine eher kuriose Meldung dient als Lockmittel bei anderem Spam/Malware: Angeblich planen USA, Kanada und Mexiko eine Währungsunion, die neue Währung solle "Amero" heißen... In E-Mails mit dem Betreff "Dollar is replacing by new currency", "Collapse of the Dollar", den oben genannten oder anderen ähnlichen wird versucht, Neugierige zum Klicken und damit zum Downloaden von boshafter Software zu verlocken.
pc-welt.de:
"Auf den bereits gekaperten Rechnern liefert ein Mini-Web-Server eine Seite aus, die über die angebliche Währungsunion berichtet und eine Abbildung der neuen Währung zeigt. Wer das Bild anklickt, startet den Download einer etwa 90 KB großen Datei namens "amero.exe". Das ist die aktuelle Sturm-Malware, die auch Rootkit-Funktionalität (eine Malware-Tarnkappe) mitbringt. Die Web-Seite enthält außerdem schädlichen Javascript-Code, der Sicherheitslücken im Internet Explorer ausnutzen soll, um den Schädling ohne Zutun des Opfers einzuschleusen. Die Erkennung durch Antivirusprogramme weist derzeit noch größere Lücken auf."
Wie immer gilt auch hier: Erst denken, dann (wenn überhaupt) klicken!
Quellen:
Meldung von Realplayer (auf deutsch)
heise.de
pc-welt.de
hoax-info.de
http://garwarner.blogspot.com/2008/07/amero-to-replace-dollar-could-storm.html