Erpressungstrojaner als Word-Dokument getarnt

VorsichtWir leben wieder einmal in Zeiten, in denen man allgemein den Dateianeghängen in den Mails mißtrauen sollte. In letzter Zeit häufen sich die Vorfälle, in denen präparierte Word-Dateien Computer infizieren. Die aktuelle Welle ist sogar bis ins Innenministerium von NRW vorgedrungen.

 

Bei Dateianhängen der neuesten Mails sollte man besonders vorsichtig sein, auch wenn die Absendeadresse von einem Bekannten stammt. Aktuell rollt eine Viren-Welle durch das Internet, bei der die Schädlinge – in erster Linie Verschlüsselungstrojaner – mit auf den ersten Blick harmlosen Word-Dokumenten (.doc) oder Zip-Dateien (.zip) daherkommen.

Die Word-Dateien weisen gefährliche Makros auf und die Archive enthalten bösartige ausführbare Dateien (.exe) oder JavaScript (.js). Auf JavaScript setzen die Angreifer, da dieses von vielen Mailservern nicht blockiert wird. Von der Viren-Welle sind in erster Linie Windows-Nutzer betroffen.

Bis zur Inbfektion sind allerdings mehrere Handgriffe notwendig. Beim Empfang einer Mail mit entsprechendem Anhang passiert ersteinmal gar nichts. Öffnet der Empfänger den Anhang, kann dieser eine bösartige ausführbarde Datei starten, die sich im System einnistet. Versteckt sich der Schadcode in einem Zip-Archiv, muß man dieses erst öffnen und die entpackte Datei ausführen. Es sind also mehrere Schritte nötig um die Infektion einzuleiten.

Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Die Makros in einer Word-Datei versuchen beim Öffnen der Datei Schadsoftware auf Computer zu laden. Derartige Makro-Viren galten eigentlich als quasi ausgestorben, doch vor einigen Monaten tauchte derartige Malware wieder auf. Da die Ganoven ihre Malware anscheinend regelmäßig warten, kommen die Anbieter von Antiviren-Anwendungen nicht hinterher, denn Leser von heise online berichten, dass ihre Virenscanner oft nicht anspringen.

Mittlerweile häufen sich die Berichte, daß Nutzer mittlerweile auch von Verwandten und Bekannten Mails mit schädlichem Dateianhang bekommen haben. Den Anhang sollte man bei bekanntem Absender nicht abnicken, sondern vorher ersteinmal nachfragen, ob der von der Mail auch etwas weis. Denn oft genug nutzen kriminelle Elemente gekaperte Mail-Accounts für ihre Zwecke und kopieren das Adressbuch des übernommenen Accounst gleich mit.

Erschreckend dabei ist, daß sich die Angreifer immer plausiblere Formulierungen einfallen lassen, damit der Empfänger den infizierten Dateianhang öffnet.

Wenn von einer bekannten Adresse Dateien versendet werden, fragt einfach beim Versender nach, was das ist. Weiß er nichts von der Mail, dann ist definitiv ein Trojaner drin. In dem Fall, sollte der Bekannte sein Passwort zu seinem Mailaccount sofort ändern.

Vorsicht vor extrem gut gemachten Phishing-E-Mails
Auch aktuelle Phishing-E-Mails werden immer perfider und selbst versierte und skeptische Internet-Anwender können auf die vermeintliche PayPal-Buchungen oder Amazon-Warnungen vor „ungewöhnlichen Logins“ hereinfallen.

In diesem Fall sollte man immer die URL, zu dem der Link aus einer Phishing-E-Mail führt, untersuchen, denn etwa

sicherheitscenter-9830.amazon-daten-updates.ru

gehört nicht zur Amazon-Domain.

Verschlüsselungstrojaner im Innenministerium

Im Zug der aktuellen Viren-Welle sorgen vor allem Verschlüsselungstrojaner für Frust. So einen hat sich auch das nordrhein-westfälische Innenministerium Mitte dieser Woche eingefangen und verschiedene Computer in der Verwaltung vorsorglich abgeschaltet. Sicherheitsrelevante Systeme, etwa von der Polizei, sind aber nicht betroffen, berichtet der WDR.

schaedlich
schaedlich

Von Abmahnwellen und Spamtsunamis

Seit Wochen mahnt die Regensburger Anwaltskanzelei Urmann + Collegen (U+C) massenhaft Nutzer der Streamingseite Redtube ab. Neben saftigen Gebühren, bekommen die Nutzer noch Unterlassungserklärungen zum Unterschreiben zugeschickt.

In der Region Vogtland haben sich in der letzten Zeit über 50 betroffene Besucher der oben genannten Pornoseite bei der Verbraucherzentrale gemeldet um sich beraten zu lassen. Die Dunkelziffer dürfte aber noch etwas höher liegen, denn aus Scham oder Unsicherheit melden sich viele Leute nicht erst und unterschreiben die zugesandten Unterlagen. Laut Angaben der hießigen Verbraucherzentrale sollte man die geforderten Geldbeträge nicht gleich und die Unterlassungserklärung nicht unterschreiben. Weiterhin gilt der Rat vorher erst eine rechtliche Beratung in Anspruch zu nehmen. Rechtliche und anwaltliche Beratungen bieten beispielsweise die Verbraucherzentralen vor Ort. Auf keinen Fall sollten die Abmahngebühren ungeprüft überwiesen werden und die Unterlassungserklärung ohne rechtlichen Rat unterzeichnet werden.

Was ist mit Abmahn-Mails?

Die Abmahnwelle der Regensburger Kanzlei U+C ruft natürlich auch Trittbrettfahrer auf den Plan. In E-Mails drohen sie beliebigen Leuten und mahnen diese im Namen der oben genannten Kanzlei oder anderen Anwälten ab. Den Mails liegt ein Anhang bei, der Rechner mit Trojanern und Maleware infiziert. So können Daten ausgelesen und mißbraucht werden, aber auch Dateien auf dem Rechner zerstört werden, oder der Computer selbst durch Hintertüren gekapert werden. Die Mails können getrost gelöscht werden. Laut der Verbraucherzentrale haben E-Mails keine rechtliche Handhabe vor Gericht, sind also dort bedeutungslos.

Fazit

Was Urmann + Collegen mit Redtube getan haben, war augenscheinlich nur die Spitze des Eisberges. Wegen Streaming abzumahnen steht auch rechtlich gesehen auf wackeligem Fuß. Wer weiß wie lang diese Kanzlei damit durchkommen wird, oder wie die Gerichte in solchen Fällen künftig entscheiden.

Begriffserklärung

Streaming: Diesen Begriff kann man am besten mit einer Sendung oder einem Film im Fernsehen vergleichen. Ein Anbieter von Content (neudeutsch für Inhalt) sendet von irgend einem Punkt der Welt aus einen Film. Dieser wird dann zuhause empfangen und kann direkt während der Sendung angesehen werden. Das geschieht beispielsweise über Satelitt, Kabel oder eben das Internet.

Nur kann man im Internet recht genau bestimmen, wer auf die Inhalte eines Anbieters zugreift, denn jedem DSL-Anschluss wird eine IP-Adresse zugeordnet. Wird diese mit einem Zeitstempel (beispielsweise Zeitpunkt des Zugriffs auf einen Film) versehen, kann man über eine Provideranfrage, die richterlich genehmigt werden muss, den Anschlussbesitzer herausfinden.

Beim Streaming empfängt man nur Daten in Form von Filmen und Musik, man könnte sie wie beim Fernsehen auf dem Computer speichern (neudeutsch für aufnehmen). Streaming bedeutet also gleichzeitiges Senden und Ansehen eines Filmes.

Da liegt der Unterschied zu Peer-to-Peer Tauschbörsen dem Filesharing. Hier lädt man sich Daten aller Art (Musik, Filme, Bilder, Word-Dokumente etc. etc.) auf seinen PC. Diese Daten liegen verteilt bei mehreren anderen Computernutzern auf den Rechnern.

Lädt man sich dort beispielsweise einen Film herunter, kann man diesen nicht gleich ansehen, man muß warten bis er fertig geladen ist. Während der Film vom Internet auf den eigenen PC lädt, werden die empfangenen Bits und Bytes dieses Filmes schon wieder anderen Leuten zur Verfügung gestellt.

Kurz: Man empfängt (Download) und sendet (Upload) zugleich. Hier kommt es ganz auf den Inhalt an. Meist sind Bilder, Filme und Musik urheberrechtlich geschützt. Aber es gibt natürlich auch Musik, Bilder, Software, Filme, die einem Wust an Lizenzen unterliegen, die das freie Tauschen und Bearbeiten erlauben (in engen oder weiteren Schranken). Dazu gehören beispielsweise die Lizenzen der Creative Commons (meist für künstlerische Inhalte) oder die GNU/(L)GPL für Softwarelizenzen (beispielsweise für Linux, Openoffice oder Libreoffice).

Update am 17. Dezember

Beim klassischen Streaming von Filmen und Musik, man kennt es ja von Youtube, werden Daten vom Server auf den Computer übertragen, meist sogar etwas schneller als man sich den Film ansehen kann oder das Musikstück anhören kann. Das nennt man im Fachjargong das sogenannte Buffering (neudeutsch für Puffern oder zwischenspeichern). Das sorgt dafür, daß der Film nicht zwischendurch ruckelt und die Musik nicht aussetzt. Und das sehen die Anwälte als Verfielfältigung.

Beauftragt wurde die regensburger Anwaltskanzle Urmann + Collegen von einer schweizerischen Firma The Archive AG Unterlassungserklärungen in Deutschland zu versenden. Bisher gibt es in Deutschland noch kein Gerichtsurteil, welches das Streamen von Inhalten im Internet verbietet. Auf Europäischer Ebene gibt es eine Richtlinie mit der Nummer 2001/29/EG. Als diese Richtline 2001 beschlossen wurde, gab es das Streaming noch nicht.

Jetzt muß man auf gültige Gerichtsurteile warten, aber es gibt Gerichte, die in dieser Hinsicht ganz unterschiedlich urteilen mögen oder ihre Urteile ganz unterschiedlich begründen.

Sicherheitsnotiz – Erpressung durch knallharte Verschlüsselung

Cryptolocker hat es in sich. Die Entwickler dieses Trojaners nutzen knallharte Verschlüsselung mit einem 2048bittigem RSA-Schlüssel. Nach der Infektion des PCs läßt sich der Schädlinng von seinem Command-and-Control Server ein RSA-Schlüsselpaar generieren, von dem er sich nur den öffentlichen Schlüssel zuschicken läßt. Mit diesem Schlüssel wird alles, was der Trojaner auf dem PC an Daten findet verschlüsseln. Auch Netzwerkfreigaben sind scheinbar betroffen. Nun wird der Computernutzer erpresst. Für den privaten Schlüssel zur Entschlüsselung der privaten Daten sollen schlappe 300 Dollar berappt werden, zahlbar beispielsweise in Bitcoins und natürlich auch über andere Wege. Zusätzlich wird dem panischen Nutzer noch ein Countdown angezeigt, bei dessen Ablauf der private Key gelöscht wird… als Druckmittel sozusagen. Opfer, die diesen Trojaner bereits entfernt haben, bieten die Entwickler an, den privaten Key über das TOR-Netzwerk zu erwerben. Berichten zu folge werden dort 10 Bitcoins fällig, was beim jetzigen Wechselkurs mehr als 2000 Euro sind. Weiteren berichten zu Folge werden bei beiten Methoden die Daten nicht mehr freigegeben. Deswegen wird abgeraten das Lösegeld für die Daten zu zahlen. Regelmäßige Backups sind daher Pflicht, weil die VBerschlüsselung auf anderem Weg noch nicht umgangen werden kann.

Sicherheitsnotiz(en) – von Trojanern, gefährlichen Download Managern und Java-Sicherheitslücken

Das Bundesamt für Sicherheit in der Informationstechnik hat eine Warnung vor einem neuen Trojaner herausgegeben. Dieser wird als Link zu einem angeblichen Video weiterverbreitet. Das geschieht per E-Mail und über soziale Netzwerke, hauptsächlich Facebook. Beim Öffnen des Links wird man nicht zum versprochenen Video geführt, sondern zu einer Website weitergeleitet, wo man aufgefordert wird ein kostenloses AddOn für seinen Browser zu installieren. Dieses AddOn für den Internetbrowser ist der genannte Schädling, der im Browser und im Betriebssystem eine Sicherheitslücke auf, über die Man-in-the-Middle Attacken auf bestehende Internetverbindungen geführt werden können. Daher sollte das AddOn auf keinen Fall installiert werden. Bisher ist nur der Browser Chrome betroffen, Mozilla Firefox könnte demnächst folgen.

Der beliebte Download-Manager Orbit-Downloader fährt seit einiger Zeit DDoS Attacken auf verschiedene Server im Internet. Nach dem ersten Start zieht das Tool ein Angriffsmodul vom Herstellerserver naach, welches auf Zuruf Salven von Netzwerkt-Datenpaketen abschießt. Der SYN-Flood-Angriff ist so intensiv, daß er das eigene Netzwerk gleichzeitig mit lahmlegen kann. Laut dem Virenlabor von ESET wurde der Schadcode um die Jahreswende 2012/2013 in den Downloadmanager integriert. Die Hintergründe dazu sind noch unklar. Mittlerweile häufen sich unbeantwortete Anfragen von betroffenen Nutzern im Supportforum seit Monaten.

Seit kurzem kurisiert ein Exploit, der kritische Schwachstellen in Java 6 ausnutzt. Wer keinen kostenpflichtigen Wartungsvertrag mit Oracle für Java 6 und Securityupdates dazu am Start hat, sollte auf das derzeit aktuellere Java 7 zurückgreifen.

Gefährliche Mails von einem Inkassobüro – angeblich im Auftrag von Walbusch

Vor etwas mehr als einer Woche ist bei meinem Vater eine E-Mail mit folgendem Inhalt eingegangen. Absender war ein gewisses Anwaltsbüro Frida Franke, welches im Namen der Walbusch GmbH Inkassoaufträge ausführen soll… angeblich.

Im Anhang dieser Mail befindet sich eine zip-Komprimierte Exe-Datei, die man öffnen soll, um an die Kontodaten des Inkassobüros zu kommen. Diesen Anhang bitte nicht öffnen und installieren.

Statt dessen installiert man sich auf dem System einen Trojaner, der erstens eine Backdoor im Windows-System öffnet, über die der gesamte Internetverkehr am benutzten Rechner mitgelesen werden kann. Zusätzlioch werden noch ein paar Schadprogramme und Maleware installiert.

Diese ganze Mail ist Betrug. Anwaltskanzeleien und Inkassobüros werden sich postschriftlich bei Ihnen melden. Sollten Sie sich dennoch nicht ganz sicher sein, ob tatsächlich ein Inkassoverfahren gegen Sie läuft, sollten Sie sich vorher bei der genannten Klärgerin, das ist meist die Firma, bei der Sie nicht bezahlt haben sollen, telefonisch oder per Post/Mail Infos einholen.

Gesendet: Montag, 17. Juni 2013 um 15:19 Uhr
Von: „Frida Franke Inkasso Anwaltschaft“ c .ibel@live.de
An: „Herr K.“
Betreff: Kostenrechnung an Herrn K. Anwaltschaft Mandantschaft Walbusch Online GmbH AG 17.06.2013
Sehr geehrter Walbusch Online GmbH AG Kunde Herr K.,

mit der Bestellung vom 01.04.2013 haben Sie sich vertraglich verpflichtet die Rechnung in Höhe von 431,00 Euro an unseren Mandanten zu überweisen.

Der Betrag ist bis heute nicht bei Walbusch Online GmbH AG eingegangen.

Weiterhin sind Sie aus Gründen des Verzuges dazu verpflichtet die Ausgaben unserer Leistung zu tragen.

Unser Anwalt-Büro wurden von der Firma Walbusch Online GmbH AG beauftragt die gesetzlichen Interessen zu vertreten. Die ordnungsgemäße Bevollmächtigung wurde notariell schriftlich versichert.

Die zusätzlichen Kosten unserer Inanspruchnahme errechnen sich nach dieser Abrechnung:

****************
18,00 Euro (nach Nummer 4429 RGV)
35,00 Euro (Vergütung gemäß RVG § 4 Abs. 1 und 2)
****************

Wir zwingen Sie mit Kraft unserer Mandantschaft den gesamten Betrag auf das Bankkonto unseren Mandanten zu übersenden. Die Kotonummer und die Lieferdaten der Bestellung finden Sie im angehängtem Ordner. Für den Eingang der Zahlung setzten wir Ihnen eine letzte Frist bis zum 22.06.2013

Mit freundliche Grüßen Frida Franke Inkasso Anwaltschaft

Bundestrojaner zieht Kinderpornos aus dem Internet

Laut der aktuellen Ausgabe der c’t (Seite 50 Ausgabe 12 Jahr 2013) lädt der BKA Trojaner, nach dem man sich diesen eingefangen, hat kinderpornographische Inhalte aus dem Internet. Der Schädling riegelt den Rechner ab und behauptet, daß der Nutzer bei der Wiedergabe von pornographischen Material mit Minderjährigen ertappt wurde. Dabei werden mehrere solcher Fotos angezeigt um den Nutzer zu schockieren, die zuvor aus dem Netz geladen und auf der Festplatte deponiert werden.

Jetzt muß der Nutzer peinlichst darauf achten, daß nicht nur der Schädling entfernt wird, sondern auch belastendes Material. Avira und Norton erkennen die Bilddateien bereits als Maleware.