Sicherheitsnotiz – Schadplugin für WordPress

Seit kurzer Zeit geht eine Phishingwelle um, die sich besonders an WordPress-Administratoren richtet, also jene Leute, die WordPress nur technisch betreuen und jene, die es selbst betreuen und damit Bloggen. Die Phishing Mail soll dazu verleiten, eine kostenlose Pro-Version (Premium) des allseits beliebten All in One SEO Pack zu installieren.

Was ist das All in One SEO Pack? Wozu wird es gnutzt?

Das All in One SEO Pack ist ein Plugin um den Blog durch Seitenbeschreibungen, Tags und Titel (Überschrift) den Blog für Suchmaschinen freundlicher zu gestallten. Dadurch erhöht sich die Chance, bei Google und Co. in der Trefferliste weiter nach vorn zu gelangen. Hiervon gibt es eine kostenlose Version und eine, die man bezahlen muß. Die kostenpflichte Pro-Version umfasst einige Funktionen mehr als die kostenlose. Natürlich ist in der Pro-Version auch besserer Support enthalten.

Was hat es mit der Phihing-Mail nun auf sich?

Die Phishing-Mail bietet WordPress-Administratoren und Bloggern die kostenplfichtige Pro-Version von All in One SEO Pack kostenlos zum Download an. Klackert man auf den Downloadlink in der Mail, so wird man nicht auf die offizielle Plugin-Seite von WordPress geleitet,

http://wordpress.org/plugins/

sondern landet auf einer von Spammern infizierten Seite in Australien oder Brasilien mit den Domainkürzeln *.com *.au oder *.br. Ab hier sollte man bereits das Hirn einschalten und stutzig werden.

Laut der Sicherheitsfirma Sucuri haben bereits einige deren Kunden das Plugin installiert. Und hierbei wird es kriminell. Mit dem Plugin installiert man sich einen Schadcode, der eine Hintertür im Server öffnet und die index.php der betreffenden WordPress-Blogs austauscht. Ab diesem Zeitpunkt ist es möglich, daß Ganoven beliebigen Code in den Blog ihres Opfers einschleusen können, mit dem man die Rechner der Besucher der infizierten Blogseite angreifen kann. Manche Versionen des Schadcodes leiten die Besucher beispielsweise auf Pornoseiten oder andere Server weiter, die weitere Maleware verbreiten.

Fazit

WordPress ist eine beliebte Blogsoftware und daher weit verbreitet. Durch die hohe Verbreitung von WordPress ist es auch ein beliebtes Angriffsziel um Schadcode zu verbreiten oder Spam zu verschicken. Als Blogger der WordPress verwendet oder Administrator für die technische Betreuung für WordPress sollte man dieses natürlich von Anfang an gut absichern. Hierzu findet man im Netz seitenweise Tutorials und How to’s. Auch sollte man Plugins von der offiziellen WordPress-Seite nutzen und nicht irgendwelche dubiosen Angebote aus irgendwelchen Quellen, die mal irgendwer (unbekanntes) per Mail verschickt. Klar können sich auf der Plugin-Seite von WordPress auch dubiose Angebote finden, die Wahrscheinlichkeit ist hier geringer, denn die Community darf hier Bewertungen abgeben und die Zuätzlichen Funktionen auseinandernehmen und überprüfen.

Links

http://wordpress.org/plugins/ Offizielle Seite für WordPress Plugins

Sicherheitsnotiz – Warnung vor einem spontan angebotenem Firefoxupdate

Wie bereits vor einigen Wochen bei dem Javaupdate berichtet, öffnet sich spontan und ungewollt jetzt öfters eine Seite mit einer Warnung, daß eine veraltete Version von Firefox benutzt wird. Dabei wird angezeigt, welche Firefoxversion derzeit verwendet wird (aktuell Firefox 25). Es wird empfohlen den Firefox zu aktualisieren. Es hat alles den Anschein, daß diese fragwürdigen Updates wieder über Banner oder Bannerwerbung verbreitet werden, um ungewollte Toolbars auf den Rechner von Anwendern zu bringen, oder eben Schadsoftware. In der Adressleiste erscheint folgende Seite:

http://www.update-browser.org/Firefox-DE/

Es öffnet sich folgende Website, in der ein Frame mit der Aufforderung zum Aktualisieren des Firefox. Mit einem Klick auf OK muß man das bestätigen. Dann befindet sich eine Art Allgemeine Geschäftsbedingung (AGB) die man aktzeptieren muß. Das Ganze sieht aus wie auf folgendem Bild.

Aufforderung zur Browseraktualisierung
Aufforderung zur Browseraktualisierung

Die Allgemeinen Geschäftrsbedingungen oder in dem Fall die Nutzungsbedingungen enthalten folgenden Wortlaut:

Nutzungsbedingungen

Danke, dass Sie sich entscheiden haben eine kostenlose Software von unseren Servern herunterzuladen. Diese Website wurde entworfen, um einfachen Zugriff auf Downloads zur Verfügung stellen aus einer Vielzahl von nützlicher, kostenloser Open-Source-Software. Wir sind auch Partner mit 3. Parteien, um Symbolleisten und andere Werkzeuge (“Symbolleisten”) zum Download an unsere Nutzer zu bieten. Wir werden die Symbolleisten und andere damit zusammenhängende Dienstleistungen, die wir anbieten als “Dienste”bezeichnen. Wir sind uns bewusst, dass Sie Ihr Vertrauen in uns setzen und unserer Verantwortung zum Schutz Ihrer Privatsphäre. Als Teil dieser Verantwortung bieten wir diese Datenschutzerklärung (“Datenschutzerklärung”) um Sie wissen zu lassen, welche Informationen wir sammeln, wie wir sie verwenden, teilen und schützen.

Ihr Download ist eine Open Source Software unter der GNU General Public License (GPL) lizenziert; unten verfügbar.

Dieses Programm ist kostenlose Software: Sie können sie weitergeben und / oder modifizieren unter den Bedingungen der GNU General Public License, wie von der Free Software Foundation veröffentlicht, entweder Version 3 der Lizenz oder (nach Ihrer Option) jeder späteren Version.

Dieses Programm wird verbreitet in der Hoffnung, dass es nützlich sein wird, aber OHNE IRGENDEINE GARANTIE, sogar ohne die gesetzliche Gewährleistung der GEBRAUCHSTAUGLICHKEIT oder EIGNUNG FÜR EINEN BESTIMMTEN ZWECK. Lesen Sie die GNU General Public License für weitere Details.

Laut dem Quellcode wird beim Öffnen der Seite via einem Javascript der verwendete Browser abgefragt und durch das Setzen von bestimmten Variablen in diesem wird dem User vorgegaukelt, man würde eine veraltete Version des verwendeten Browsers verwenden. Aktzeptiert man die Nutzungsbedingungen bekommt man eine Datei namens Updater.exe für den Windows PC. Es ist anzunehmen, daß tatsächlich Toolbars installiert werden, aber es kann durchaus sein, daß auch Schadsoftware auf den Rechner kommt. Ob ein Browser aktuell ist, oder nicht, sagt der Browser selbst. Man muß ihn höflich fragen.

Die aktuelle Version ihres Browsers finden sie beim Firefox in der Hilfe und dem dortigen Eintrag Über Firefox. Beim Internetexplorer befindet sich der entsprechende Befehl Info in der Menüleiste unter dem ? (Fragezeichen). Bei Opera befindet sich ein Versionschat in der Hilfe unter Über Opera. Für Chrome befindet sich ein Schraubenschlüsselsymbol rechts neben der Adressleiste. Beim Safari befindet sich neben der Adresszeile ein Zahnrad, auf das klickt man einmal. Ganz unten erscheint ein Eintrag Über Safari.

Safari wird aber leider nicht mehr weiterentwickelt, alle Anderen Browser zeigen Ihnen dort an, ob ein Update fällig ist oder ob die Version gerade aktuell ist. Für Updates des Browsers sollte man sich stets auf die Website des Herstellers begeben und den Browser der Wahl dort laden, oftmals gibt es auch Updatebefehle (bei Firefox ist das so) direkt auf dem Versions-Check des Browsers, der ein Update von dort aus durchführt. Microsoft bringt Updates für den Internet Explorer generell über die Updatefunktion von Windows mit.

Andere Websites bieten beispielsweise den Firefox oder auch den Chrome Browser an. Aber meist sind die dann mit Plugins oder AddOns und lästiger Werbung vollgestopft. Von daher sollte man immer auf die Versionen der Hersteller zurückgreifen und sich dann nach den eigenen Wünschen einstellen.

Sicherheitsnotiz – Erpressung durch knallharte Verschlüsselung

Cryptolocker hat es in sich. Die Entwickler dieses Trojaners nutzen knallharte Verschlüsselung mit einem 2048bittigem RSA-Schlüssel. Nach der Infektion des PCs läßt sich der Schädlinng von seinem Command-and-Control Server ein RSA-Schlüsselpaar generieren, von dem er sich nur den öffentlichen Schlüssel zuschicken läßt. Mit diesem Schlüssel wird alles, was der Trojaner auf dem PC an Daten findet verschlüsseln. Auch Netzwerkfreigaben sind scheinbar betroffen. Nun wird der Computernutzer erpresst. Für den privaten Schlüssel zur Entschlüsselung der privaten Daten sollen schlappe 300 Dollar berappt werden, zahlbar beispielsweise in Bitcoins und natürlich auch über andere Wege. Zusätzlich wird dem panischen Nutzer noch ein Countdown angezeigt, bei dessen Ablauf der private Key gelöscht wird… als Druckmittel sozusagen. Opfer, die diesen Trojaner bereits entfernt haben, bieten die Entwickler an, den privaten Key über das TOR-Netzwerk zu erwerben. Berichten zu folge werden dort 10 Bitcoins fällig, was beim jetzigen Wechselkurs mehr als 2000 Euro sind. Weiteren berichten zu Folge werden bei beiten Methoden die Daten nicht mehr freigegeben. Deswegen wird abgeraten das Lösegeld für die Daten zu zahlen. Regelmäßige Backups sind daher Pflicht, weil die VBerschlüsselung auf anderem Weg noch nicht umgangen werden kann.

Sicherheitsnotiz – Gefährliches Java-Update

Seit einigen Tagen kursiert eine neue Masche, um den Computer mit Maleware (Schädlingen) zu infizieren. Das geschieht über Bannerwerbung. Geratet ihr auf eine Website, werdet ihr sofort, oder nach kurzer Zeit, auch ohne eigenes Zutun auf eine Seite weitergeleitet, die euch auffordert, ein Java Update mit der Version 7 Update 25 (7u25) herunterzuladen und zu installieren. Aktuell wird Java 7 Update 45 (7u45) ausgeliefert, also Augen auf. Es ist eine Weiterleitung von der eigentlich angesurften Seite und kein Pop-Up, auf eine der beiden folgenden Adressen, die ihr natürlich in der Adresszeile eures Browsers ablesen könnt.

http://freejave-web.com/index.php?dv1=Ybrant%20Digital
http://germangetjava.com/index.php?dv1=Ybrant%20Digital

Eine Whoisabfrage hat zu einer Firma mit dem Namen WHOISGUARD INC. in Panama geführt. Betroffen ist Windows ab XP (ich habe von Win XP 32-Bit gelesen) bis hin zu Windows 7 mit dem Browser Firefox, aktuell Versionen 24 und 25 mit aktiviertem Javascript und installiertem Java auf dem Rechner. Vorbeugen kann man augenscheinlich, wenn man Scripte und Javascript deaktiviert oder für den Firefox das Plugin NoScript installiert. Diese Aufforderung zum Java-Update tritt auf verschiedenen Seiten auf, die Bannerwerbung nutzen. Also scheint man damit die Betreiber von Bannerwerbung aufs Kreuz gelegt zu haben, um seine Schädlinge zu verbreiten.

Sicherheitsnotiz – Neue Masche bei Spamversendern

Spamschleudern gibt es heutzutage en masse. Jeder kennt das leidige Problem, daß der Spamordner und auch öfters einmal der normale Posteingang vor lauter Spam-Mails aus allen Nähten quillt. Dennoch ist der Spamschutz heutzutage recht ausgefeilt. Es gibt globale Spamlisten, die jeder Mailbetreiber nutzen kann und jeder Mailprovider wird auch seine eigenen Spamschutzlisten pflegen.

Trotz der ausgefeilten Methoden, lassen sich Spamversender immer neue Ideen einfallen, Mailadressen voll zu spammen. Eine ganz neue Methode ist folgende: Man schickt eine Werbung für irgendein Potenz- oder Hirnmassensteigerndes Produkt, oder auch nur zu einem schnöden Kredit.

Einige Minuten später verschaffen sich die Spammer mit einer zweiten Mail noch einmal nachdrücklich Gehör. In dieser Mail ist die Betreffzeile der vorangegangenen Werbemail vermerkt. Nun wird im Betreff (eventuell auch zusätzlich) im Textkörper darauf hingewiesen, daß man seinen Spamordner einmal prüfen solle und gegebenenfals die Einstellungen des Spamfilters ändern soll. Beispiele dafür können sein: „Falsche Einstellung Ihres Spam Filters“, „Alles angekommen?“ oder auch „Sorry – unser Fehler“

WordPress 3.7 und das automatische Update

Seit heute ist das neue WordPress mit der Versionsnummer 3.7 verfügbar. Die größte Neuerung ist das automatische Update. Mindestens seit Version 3.0 hat WordPress eine Funktion um ein automatisches Update anzustoßen, wenn denn eine neue WordPressversion verfügbar ist. Nach der offiziellen Ankündigung werden Punkt-Releases (beispielsweise von Version 3.7 auf Version 3.7.1) automatisch abgefragt und installiert. Bei Core-Releases von 3.7 auf 3.8 ist immer noch Handarbeit notwendig.

Bei sogennten Punkt-Releases oder Minor-Releases entsteht somit ein Updatezwang auf die neuere ud somit aktuellere Version, den der User nur mit Frickelarbeit am Quellcode von WordPress beheben kann. Automatische Sicherheitsupdates sind schon vorteilhaft, gehen aber manchmal – gerade bei auftretenden Fehlern (nicht jedes System ist gleich) – zu Lasten des Produktivsystems. Und die meisten Blogs werden doch gleich als Produktivsystem genutzt. Es sollte deswegen vorher beim Betreiber abgefragt werden, ob ein automatisches Update durchgeführt werden sollte um Fehler zu minimieren. Auch Plugins müssen eventuell an neuere Versionen von WordPress erst angepasst werden um auch mit neueren Versionen von WordPress optimal zu laufen.

Jedenfalls bekommt WordPress von mir eine heftige Rüge, weil man in der offiziellen Anwendung nicht erwähnt, wie man diesen Updater abschalten kann. Sicher ein automatisches Update von WordPress ist schon an einigen Stellen recht sinnvoll, da man wichtige Sicherheitsupdates nicht vergisst und einige unerfahrenere Blogger somit an die Hand genommen werden und Gefrickel beim Update zu vermeiden. Aber das ganze geht zu Lasten des Produktivsystems, da sich mit der Automatik Fehler einschleichen können.

Update 27. Oktober 2013 Die Community hat sich etwas einfallen lassen. Ein Plugin, welches das die Zwangsupdatefunktion deaktiviert gibt es mittlerweile auch schon. Das Plugin wurde unter dem grandiosen Namen Disable Automatic Updates auf der offiziellen WordPresseite für Plugins veröffentlicht. Diese neue Funktion richtet sich gerade an technisch weniger versierte Nutzer, die keine Zeit, Lust oder Erfahrung in Scriptsprachen haben und in WordPress selbst keine Änderungen vornehmen wollen. Der Link dazu folgt in der Linkliste wie üblich am Ende des Artikels. Update vom 27. Oktober 2013 Ende

Eine der folgende Codezeilen kann man in die wp-config.php einfügen, um das automatische Update zu deinstallieren. Die kurzen Erklärungen sind grau hinterlegt und auskommentiert. Wichtig sind prinzipiell nur die farbigen Zeilen.

/* Automatische Updates vollständig aktivieren. 
(Achtung! Auch für Versionssprünge - Lieber selber durchführen!) */
define( 'WP_AUTO_UPDATE_CORE', true );
// Automatische Updates deaktivieren.
define( 'WP_AUTO_UPDATE_CORE', false );
/* Automatische Updates für kleinere Sachen aktivieren. 
Security Updates etc.*/
define( 'WP_AUTO_UPDATE_CORE', 'minor' );

In einer offiziellen Stellungnahme wird folgendes Vorgeschlagen, man beachte aber, daß hiermit vermutlich der gesamte Updater abgeschalten wird und somit auch nicht nach geupdateten Plugins und Themes gesucht wird.

define( 'AUTOMATIC_UPDATER_DISABLED', true );

Um die Verwirrung noch größer zu machen, kann man mit Hilfe der beiden Filter auch den Updater einiges verbieten oder erlauben.

automatic_updater_disabled
auto_update_coreD

Für Bastler gibt es dazu noch einige Optionen in der Datei functions.php zum Ändern, fals ihnen die obigen Möglichkeiten nicht ausreichen:

//Allow auto updates of development releases ie alpha, beta and RC
add_filter( 'allow_dev_auto_core_updates', 'wp_control_dev_auto_updates' );
function wp_control_dev_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
 
//Allow auto updates of minor releases ie 3.7.1, 3.7.2
add_filter( 'allow_minor_auto_core_updates', 'wp_control_minor_auto_updates' );
function wp_control_minor_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
 
//Allow auto updates of major releases ie 3.7, 3.8, 3.9
add_filter( 'allow_major_auto_core_updates', 'wp_control_major_auto_updates' );
function wp_control_major_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
 
// Allow auto theme updates
add_filter( 'auto_update_theme', 'wp_control_theme_auto_updates' );
function function wp_control_theme_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
 
// Allow auto plugin updates
add_filter( 'auto_update_plugin', 'wp_control_plugin_auto_updates' );
function function wp_control_plugin_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}
 
// Allow auto language updates
add_filter( 'auto_update_translation', 'wp_control_translation_auto_updates' );
function function wp_control_translation_auto_updates( $value ) {
// return true to enable and false to disable
return true;
}

Eine weitere wichtige Neuerung ist die Vorschlagfunktion für stärkere Passworter. Denn diese sind immer noch wichtigste Schutz und sollten auch öfters einmal getauscht werden. Es ist schon kurios, daß man das vielen Internetnutzern immer wieder unter die Nase binden muß.

Weiterhin bringt WordPress 3.7 einen Assistenten für die automatische Installation der richtigen Sprachdatei mit. Es gibt Menschen, die das System lieber in ihrer Muttersprache als im englischen Original nutzen wollen.

Links:

  1. WordPress Offizielle Ankündigung WP 3.7
  2. WordPress Automatischer Updater
  3. WordPress Plugin: Disable Automatic Updates

Problembehebung Dungeon Master Java

Dungeon Master Java
Dungeon Master Java

Ende August schrieb ich über zwei Dungeon Master Clones. Zu einem, den auf Java basierenden Clone, gab es ein paar kleine Startschwierigkeiten auf moderneren Systemen mit zwei Grafikeinheiten (GPU). In mehreren Zuschriften wurde berichtet, daß der Dungeon Master Java (DMJ) Clone nicht startet und daß die benötigte Java Version veraltet und unsicher ist. Eine kleines Workaround gibt es nun an dieser Stelle.

Für Sicherheitsbewußte

Um den Clone lauffähig zu bekommen, benötigt man eine ältere Java Runtime mit der Version 1.14. Das birgt allerdings Sicherheitsrisiken für den eigenen Computer.

Mit Virtualbox und einem Windows der eigenen Wahl kann man schon für Abhilfe sorgen. Virtualbox wird aus dem Internet geladen und installiert, dazu das Extension-Pack. Hat man Virtual-Box installiert, startet man die Virtualisierungssoftware. Man wählt sich ein Windows der Wahl (was man eben als CD/DVD vorliegen hat) und gibt dem Gastrechner noch einen passenden Namen. Im folgendem Fenster gibt man den Hauptspeicher (RAM) an. 2 bis 3 Gigabyte dürften schon ausreichen. Eine Festplatte wird im nächsten Fenster erzeugt und dazu nutzt man das VirtualBox Disk Image (VDI). Im nächsten Schritt wird eine dynamisch alloziierte Festplatte, erzeugt. Das heißt, daß die Datei, die die Festplatte belegt nur soviel Platz auf der Platte unseres Hostrechners verbraucht, wie viel Daten eben da drin gespeichert sind. Im nächsten Fenster brauchen wir nicht viel zu verändern. Wir belassen es bei 25 Gigabyte an Plattenplatz und klackern einfach auf Erzeugen. Nun muß nur noch der Grafikspeicher festgelegt werden und die 3D-Grafikbeschleunigung und 2D Video-Beschleunigung aktiviert werden. Die Häckchen dazu findet man nach einem Klick auf Anzeige.

Als nächstes wird das Installationsmedium, vorzugsweise CD oder DVD ins passende Laufwerk unseres Hostrechners gelegt und in Virtualbox die angelegte Maschine gestartet. Nun kann man getrost sein Windows aufsetzen. Ein neueres Windows (Vista, Win 7 und Win8) bringt von Haus aus die erforderlichen Treiber mit. Ist das gewünschte Windows nun virtuell installiert, startet man es und installiert dort drin Java 1.14 und den Dungeon Master Java Clone. Das Vorgehen dürfte ausreichend Sicherheit mit sich bringen.

Dieses Workaround setzt natürlich eine zweite gültige Windows-Lizenz oder eine Testversion von Windows vorraus.

Für Schnellstarter

Wer seine Windowspartition auf dem hauseigenem Rechner nur zum Zocken und Spielen verwendet und ein weiteres System (beispielsweise Linux) für kritische Arbeiten (zum Beispiel Onlinebanking und Surfen) nutzt, der kann sich überlegen, ob diese oben beschriebene Arbeit überhaupt nötig ist. Ist das genutzte Windows, installiert in einer eigenen Partition oder einem eigenen Gamingrechner kein Produktivsystem, sondern nur zum Spielen gedacht, kann nun abwägen, ob das oben genannte Vorgehen nötig ist. Bei Systemen, die man für die alltägliche Arbeit und den ganz persönlichen Medienkonsum genutzt wird, sollte natürlich die Sicherheit Vorrang haben.

Es sei aber empfohlen, die ganzen Sicherheitsupdates der beiden Systeme und die Virensoftware und Firewall auf den neuesten Stand zu bringen.

Starthilfe bei neuen Rechnern

Bei einer normalen Installation auf dem Rechner gab es Startprobleme. Die Installation verlief zumeist reibungslos, aber das Starten von Dungeon Master Java (DMJ) hakte und hing. Das Spiel wurde schlichtweg nicht geladen.

Was ist passiert? Die meisten neueren Rechner (neuer als 3 Jahre) besitzen zumeist 2 Grafikprozessoren. Einen auf dem Hauptprozessor und einen weiteren auf einer zusätzlichen Grafikkarte. Zumeist betrifft das die Prozessoren der Marken von Intel – Ivy-Bridge, Sandy-Bridge, Haswell und kommende Generationen.

Hier hilft ein einfacher Trick. Die zusätzliche Grafikkarte von AMD oder NVidia wird einfach in der Windows Systemsteuerung und dem Gerätemanager deaktiviert. Bei älteren Hauptprozessoren und solche ohne GPU erübrigt sich das Abschalten der zusätzlichen Grafikkarte.

Links zu Programmen

Weiterführende Artikel:

Ähnliche Games

  1. Alte Katakomben – Neuer Spielspaß – Legend of Grimrock (Die Medienspürnase)
  2. Legend of Grimrock wird editierbar (Die Medienspürnase)

Sicherheitsnotiz(en) – von Trojanern, gefährlichen Download Managern und Java-Sicherheitslücken

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Warnung vor einem neuen Trojaner herausgegeben. Dieser wird als Link zu einem angeblichen Video weiterverbreitet. Das geschieht per E-Mail und über soziale Netzwerke, hauptsächlich Facebook. Beim Öffnen des Links wird man nicht zum versprochenen Video geführt, sondern zu einer Website weitergeleitet, wo man aufgefordert wird ein kostenloses AddOn für seinen Browser zu installieren. Dieses AddOn für den Internetbrowser ist der genannte Schädling, der im Browser und im Betriebssystem eine Sicherheitslücke auf, über die Man-in-the-Middle Attacken auf bestehende Internetverbindungen geführt werden können. Daher sollte das AddOn auf keinen Fall installiert werden. Bisher ist nur der Browser Chrome betroffen, Mozilla Firefox könnte demnächst folgen.

Der beliebte Download-Manager Orbit-Downloader fährt seit einiger Zeit DDoS Attacken auf verschiedene Server im Internet. Nach dem ersten Start zieht das Tool ein Angriffsmodul vom Herstellerserver naach, welches auf Zuruf Salven von Netzwerkt-Datenpaketen abschießt. Der SYN-Flood-Angriff ist so intensiv, daß er das eigene Netzwerk gleichzeitig mit lahmlegen kann. Laut dem Virenlabor von ESET wurde der Schadcode um die Jahreswende 2012/2013 in den Downloadmanager integriert. Die Hintergründe dazu sind noch unklar. Mittlerweile häufen sich unbeantwortete Anfragen von betroffenen Nutzern im Supportforum seit Monaten.

Seit kurzem kurisiert ein Exploit, der kritische Schwachstellen in Java 6 ausnutzt. Wer keinen kostenpflichtigen Wartungsvertrag mit Oracle für Java 6 und Securityupdates dazu am Start hat, sollte auf das derzeit aktuellere Java 7 zurückgreifen.

Erneutes Phishing im Namen von Amazon

Heute habe ich wieder einmal eine recht täuschend ähnliche E-Mail erhalten. Angeblich wolle Amazon die Sicherheit des Zahlsystems für Kunden und Händler erhöhen und fordert die Nutzer auf, innerhalb von 8 Tagen einen Link zu öffnen und dort die Anschrift und die verwendeten Kreditkartendaten einzugeben. Ansonsten würde der Zugang zum Konto unwiderruflich gesperrt. Die Mail kommt von datenabgleich@amazon-presse.de. Nur wird Amazon sie niemals per Mail auffordern irgendwelche Kartendaten per Webformular zu verifizieren.

Erhält man solche Mails kann man diese vertrauensvoll an stop-spoofing[add]amazon.com schicken. (das [add] ist durch ein @ zu ersetzen)

Folgenden Inhalt hat die Mail:

Sehr geehrter Amazon Kunde,
Sicherheit hat für Amazon.de höchste Priorität. Wir sorgen für ein sicheres Zahlungssystem, schützen Karteninhaber, Händler,unsere Mitglieder sowie Unternehmen und tragen zum Wachstum bei.

Amazon.de Datenabgleich (Verifizierungsvorgang)

Bitte beachten Sie folgende Hinweise:

Aufgrund sicherheitstechnischen Mängeln bei Online-Anbieter sind wir gezwungen, mit unseren Kunden einen Datenabgleich durchzuführen.

Sollten Sie eine Visa, Master oder AmericanExpress-Card besitzen, bitten wie Sie eine
Adress- und Kartenverifizierung durchzuführen um eine Account/ Kartensperre zu verhindern.

Bitte führen Sie Ihren Datenabgleich baldmöglichst aus. Sollten Sie nicht innerhalb der nächsten 8 Tage Ihren Datenabgleich ausführen, sperrt unser System automatisch Ihren Amazon-Zugang unwiederuflich.

Achtung: Eine Reaktivierung Ihres Amazon.de Kontos ist in diesem Fall nichtmehr möglich!

Klicken Sie hier oder öffnen Sie die Datei in Ihrem Emailanhang und wählen Sie „öffnen mit“ aus.
Füllen Sie alle Daten aus und klicken Sie dann auf „Verifizieren“.
Nach überprüfung Ihrer Daten erhalten Sie eine gesonderte Email zur bestätigung.

Copyright © 2012 Amazon.com,
Amazon EU S.à.r.l.
5, Rue Plaetis
L-2338 Luxemburg

Und sie sieht täuschend echt aus:

Falsche Mail angeblich von Amazon
Falsche Mail angeblich von Amazon

Folgt man den Anweisungen, öffnet sich ein HTML-Dokument, welches der Mail beiliegt. Dort wird man aufgefordert seine Wohnanschrift und Kreditkartennummern zu hinterlegen. Klickert man auf Verifizieren, dann gehts ab zu einem Datensammler, der die Kreditkartennummern und Anschriften für seine Zwecke verwenden wird.

Falsche Weiterleitung
Falsche Weiterleitung

Gefälschte E-Mails angeblich von Amazon

Heute kam bei mir eine E-Mail von Amazon ins Postfach geflattert mit folgendem Inhalt:

Betreff: Bestellung Storniert

Sehr geehrter Kunde,
leider müssen wir Ihnen mitteilen, dass fremde auf Ihr
Amazon Konto zugriff beschaffen konnten.
Die Bestellungen die von Ihrem Amazon Konto an folgende Adresse:

Markus Braun
Ludwig-BeckstraЯe 32
37933 Göttingen

getätigt wurde, haben wir soeben annulliert.
Wir bitten Sie daher, Ihr Kundenkonto schnell zu kontrollieren
und weitere Fehler dem Service Team zu melden.
Öffnen sie dazu bitte den angegebenen Link und befolgen sie die Anweisungen:

HIER KLICKEN

Wir entschuldigen uns für dadurch entstandene Schwierigkeiten und Bitten Sie
um Verständniss.
Ihr Amazon Kunden-Support.

Diese Mail mit dem oder Mails mit ähnlichem Inhalt sind eine Fälschung. Wie ist das als Fälschung zu erkennen? Nun erstmal am Absender der da lautet: noreply@netlogmail.com. Mails von Amazon haben meist die Domains Amazon.com, Amazon.de, Amazon.uk hinter dem @-Zeichen.

Klickt man auf Hier Klicken wird man zu einer Eingabeseite von Amazon geleitet, wo man seine Daten zur Adresse und zu Zahlungsarten ändern soll. (zur Vergrößerung bitte auf das Bild klicken)

Falsche Verifizierungsseite
Falsche Verifizierungsseite

Gibt man dort seine Daten ein, werden diese zwar zu Amazon geleitet, aber im Hintergrund werden diese noch ein zweites mal mit gespeichert und die Betrüger können dann mit den Daten auf Ihre Kosten einkaufen. Hinter dem Button Hier Klicken steckt folgender Eintrag: [http : //amz-kdm . biz].

Die kompromitierte Seite erkennt man an folgendem Link in der Adresszeile seines Lieblingsbrowsers (Klick auf das Bild zum Vergrößern):

Amazon falscher Link
Amazon falscher Link

Sollte man sich dennoch auf diese Seite verirren, erkennt ein aktueller Browser (bei mir war es Firefox 19.02) daß hinter dieser Seite ein Betrüger steckt, aber man sollte sich nicht darauf verlassen, daß diese Seite überall gelistet ist.

Man kann die Mail durchaus in seinem normalen Posteingangsordner bekommen, so wie es mir heute Abend passiert ist, deswegen ist Vorsicht geboten. Diese Mail trudelte am 31. März gegen 22 Uhr bei mir ein. Hier will der Versender der Mail sich wahrscheinlich den 1. April zu Nutze machen, weil man an diesem Datum solche Nachrichten nicht ganz ernst nimmt.

Achtung, das ist kein schlechter Aprilscherz