Newsletter 2003 - Ausgewählte Auszüge aus Newslettern und Forenbeiträgen

ERSTE HILFE:

Wurm W32/Blaster/Lovesan:

Lesen Sie auf meinen Seiten wie sie den Wurm entfernen können :

antiblaster.htm

DER TECHNODOCTOR

Webseite des Landtags
Mecklenburg-Vorpommern
verbreitet Trojaner (27. Dezember 2003)

Seit dem 25.12. werden Internet-Explorer-Benutzer, die den Webauftritt des Landtags Mecklenburg-Vorpommern besuchen, mit einem Trojaner infiziert. Die Startseite des Landtages lädt die Datei "dn.php" auf den PC des Anwenders, die in Wirklichkeit ein VB-Skript enthält, das weiteren Programm-Code von einem polnischen Server namens "kobylanka.pl" aus dem Internet nachlädt und in der Datei "sm.exe" speichert. Nach Angaben von Lesern horcht nach dem Start dieser Datei ein Keylogger auf Eingaben von Benutzern und sendet diese an Server ins Internet weiter.

Lesen Sie hier weiter

Sober.C-Wurm fegt durch Deutschland ( 22. Dezember 2003)

Über Mails mit Betreffzeilen wie "Ermittlungsverfahren wurde eingeleitet" und einer Nachricht, dass gegen Sie angeblich ein Verfahren wegen dem Herunterladen von Filmen, Software oder MP3-Dateien eingeleitet wurde, verbreitet sich der Win32/Sober.C-Wurm. Weiter heißt es dort, man würde innerhalb der nächsten Tage Post vom Staatsanwalt bekommen - vorab gibt es im Dateianhang schon einmal die Ermittlungsakte. Unzählige Leute klickten also eifrig auf den Dateianhang, hinter dem sich allerdings keine Textdatei verbarg, sondern eine EXE-Datei mit dem Wurm. Die angebliche brisante Nachricht sollte den Anwender lediglich zum unvorsichtigen Doppelklick "überreden".

Lesen Sie hier weiter

Wurm-Variante Sober.c verbreitet sich schnell ( 20. Dezember 2003)

Eine dritte Sober-Variante verbreitet sich derzeit schnell im Internet. Wie seine Vorgänger Sober und Sober.b verschickt sich der Wurm Sober.c von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Wesentliche technische Neuerungen bringt er nicht mit, dafür sind die Nachrichtentexte umso geschickter formuliert. Beispielsweise gibt eine Nachricht vor, von der Kripo Düsseldorf zu sein. Darin wird behauptet, dass gegen den Empfänger der Mail ein Ermittlungsverfahren eingeleitet werde, da er illegal Filme und MP3-Dateien aus dem Internet herunterlade. Als Attachment ist eine Datei mit dem angeblichen Namen Akte.zip beigefügt, die natürlich den Wurm enthält. Andere Varianten warnen vor einem neuen Dialer und einem Trojaner, der sich dem Rechner des Empfängers befände.

Lesen Sie hier weiter

Lücke in Kerio Personal Firewall

Kerio hat einen Fehler in seiner Personal Firewall gemeldet, mit der Angreifer offene Ports auf PCs von Anwender trotz Paketfilter erkennen können. Dem Fehlerreport zufolge versagt die Firewall bei sogenannten TCP-Stealth-Scans.

Lesen Sie hier weiter

0190-Betrüger kassiert noch aus dem Knast (30. November 2003 )

Die Justizvollzugsanstalt in Kassel ist die vorläufige Endstation für den größten Internetabzocker Deutschlands. Es geht um Uwe Hilpisch aus Edertal in Nordhessen. Mex hatte ihn im Februar besucht, nachdem sich zahlreiche Zuschauer über sein unseriöses Internetangebot beschwert hatten. Es ging um Abzocke per eMail, mit einer fingierten Grußkarte. Im Text der eMail stand: "Du hast eine Grußkarte erhalten, von jemandem, der Dich sehr gut kennt. Wenn DU wissen willst, wer es ist, klicke hier". Wer die vermeintliche Liebesnachricht lesen wollte, dem wurden 50 € berechnet.

Lesen Sie hier weiter

Gefahr durch "Satelliten-Dialer" (29. November 2003 )

Es klingt wie ein Aprilscherz, aber es ist traurige Wahrheit. Polizei, Verbraucherschützer und User müssen sich aktuell mit einer neuen Art der Abzocke mit Dialern befassen: Wählprogramme, die sich über hochtarifierte Satelliten-Nummern ins Netz verbinden. Etliche Betroffene sind bereits bekannt, die Täter freilich noch nicht.

Lesen Sie hier weiter

DNS-Störung durch Personal-Firewall (27. November 2003 )

Am Dienstag Abend berichteten Kunden vieler deutscher Zugangs-Provider übereinstimmend von massiven Problemen mit dem Domain Name System (DNS). Oftmals konnten URLs von den DNS-Servern der Provider nur sehr träge oder auch gar nicht aufgelöst werden. Im Browser erschien die Fehlermeldung "Server unknown". Betroffen waren offensichtlich insbesondere T-DSL-Nutzer

Lesen Sie hier weiter

Internet Explorer wieder verwundbar (25. November 2003 )

Der chinesische Sicherheitsexperte Liu Die Yu hat erneut eine Reihe von Sicherheitslücken im Internet Explorer veröffentlicht, die es einer Web-Site erlauben, Programme auf dem Rechner eines Anwenders zu installieren und zu starten.

Lesen Sie hier weiter

Sicherheits-Update für Webbrowser Opera (22. November 2003 )

Die norwegische Softwarefirma Opera hat ein Update für ihren Webbrowser herausgegeben, das Sicherheitslücken stopft, aber keine neuen Funktionen hinzufügt. Zwei der Löcher hängen mit den Skins für Opera zusammen, sie wurden von Jouko Pynnönen entdeckt.

Lesen Sie hier weiter

IE-Patch zerschießt Scroll-Funktion (21. November 2003 )

Der vor einer Woche veröffentlichte Patch für den Internet Explorer hat mindestens eine unangenehme Nebenwirkung: Nach seiner Installation funktioniert auf vielen Systemen der Scrollbalken in Eingabefeldern (Text-Area) nicht mehr richtig. Bei einem Klick in den unteren Bereich springt das Fenster ganz ans Ende des Textes und der Cursor steht hinter dem letzten Zeichen -- unabhängig von der Länge des Textes.

Lesen Sie hier weiter

Schwerwiegende Sicherheitslücke in Windows XP (17. November 2003 )

Im Betriebssystem Windows XP wurden erhebliche Schwachstellen entdeckt, über die beliebige Angreifer Zugriff auf die Desktop-Freigabe erhalten.

Das Problem befindet sich im Windows-Update Mechanismus und der Funktion zur Registrierung des Betriebssystems beim Hersteller. In dieser Zeit öffnet das System 12 verschiedene Ports, die zum Schutz des Systems nicht deaktiviert werden können. Einen Versuch der Deaktivierung quittiert das System mit einer Verweigerung und anschließendem Neustart. In der Folge waren die Ports wieder geöffnet.

Lesen Sie hier weiter

20 Jahre Computerviren (11. November 2003 )

Vor 20 Jahren erblickte der erste Computervirus das Licht der Welt. Im Rahmen einer Doktorarbeit präsentierte Fred Cohen von der University of Southern California ein Programm, das andere Programme veränderte, indem es sich selbst darin einbaute. Aufgrund der Analogie zu biologischen Viren prägte Cohen den Begriff Computervirus.

Lesen Sie hier weiter

Microsofts "Kopfgeld-Fond" (6. November 2003 )

Microsoft hat heute auf einer Pressekonferenz ein Anti-Virus-Reward-Program ins Leben gerufen, das zum Ziel hat, Ermittlungsbehörden bei der Suche und Ergreifung von Programmierern zu unterstützen, die Würmer, Viren und bösartigen Code im Internet verbreiten. Der Kopfgeld-Fonds wird mit fünf Millionen US-Dollar ausgestattet. Das Geld soll an Personen ausgezahlt werden, die Hinweise zur Ergreifung und Verurteilung der Verantwortlichen liefern.

Lesen Sie hier weiter

Wurm W32.Sober verschickt Mails
mit deutschen Betreffzeilen* (27. Oktober 2003)

*Einige dieser Betreffzeilen:

Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich

Seit dem Wochenende verschickt sich ein neuer Mass-Mailing-Wurm selbst über das Internet. W32.Sober haben ihn die Antiviren-Hersteller genannt -- nicht zu verwechseln mit Sobig.F und Konsorten. Relativ simpel in Visual Basic gestrickt, durchforstet W32.Sober infizierte PCs nach Mail-Adressen und verschickt sich an diese dann als Anhang. Durch die Verwendung deutscher Betreffzeilen versucht er weniger Misstrauen zu erwecken. Bei Sätzen wie "Hi Schnuckel was machst du so?", "Jetzt rate mal, wer ich bin !?" und "Re:Sex" dürften einige wieder in die Falle tappen und auf entsprechende Dateianhänge wie "naked.com", "Nackediedei.com" oder "schnitzel.exe" klicken.

Lesen Sie hier weiter

Cracker nutzen wieder eine Sicherheitslücke in Microsofts Internet Explorer aus, um über Web-Sites ein Trojanisches Pferd auf die Systeme ihrer Opfer zu schleusen. Dazu verbreiten sie in Chats und Newsgruppen URLs, die auf ihre speziell präparierten Seiten verweisen. Im IRCnet und QuakeNet endeten diese URLs auf britney.jpg, das kann sich jedoch jederzeit ändern. Beim Besuch der Seiten installiert sich ein Trojanisches Pferd über den Windows Media Player und andere Windows-System-Dateien. Betroffene berichteten, dass sie das System nur durch Neuinstallation säubern konnten, Antiviren-Software erkennt den Schädling bisher anscheinend nicht.

Lesen Sie hier weiter

Microsoft stellt fünf Patches für Sicherheitslöcher im Nachrichtendienst, ActiveX und den Desktop bereit; vier davon bewerten die Redmonder als kritisch. Ein Patch für das kürzlich entdeckte neue Problem im RPC-Dienst ist allerdings noch nicht dabei. Einen Überblick gibt das Microsoft Windows Security Bulletin Summary for October, 2003. Solche Monatszusammenfassungen soll es zukünftig regelmäßig geben, denn Microsoft will Sicherheitsupdates nicht mehr unregelmäßig sondern einmal im Monat veröffentlichen.

Lesen Sie hier weiter

Nach Angaben von X-Force, den Sicherheitsspezialisten des Herstellers Internet Security Systems, ist im RPC/DCOM-Dienst unter Windows 2000 und XP ein weiterer Fehler enthalten, den auch der aktuelle Patch MS03-039 (KB 824146) nicht beseitigt. Der derzeit kursierende Exploit, der eigentlich Schwachstellen in Windows-Systeme ausnutzt, die nicht den Hotfix 824146 eingespielt haben, bringt auch gepatchte Systeme zum Absturz. Auf ungepatchten System hingegen legt der Exploit sogar ein neues Benutzerkonto an, über das Angreifer Zugriff auf das System erhalten.

Lesen Sie hier weiter

Der als Sdbot.18976 bezeichnete Schädling gibt vor, ein Update für Norton Antivirus zu sein -- nach dem Ausführen des Attachments öffnet sich in Wahrheit eine Hintertür ins System.

Lesen Sie hier weiter

Auf den Mailinglisten Full Disclosure und Bugtraq wurden mehrere Vorfälle gemeldet, die über Angriffe von Webseiten gegen Anwender berichten. Durch eine ungepatchte Sicherheitslücke im Internet Exporer kann ein Angreifer mit manipulierten HTML-Dokumenten beliebige ausführbare Dateien (.exe, .vbs) auf den PC des Anwenders laden und ausführen. Dazu reicht es bereits aus, die manipulierte Webseite im Internet Explorer anzusehen.

Lesen Sie hier weiter

Kleider machen Leute sagt man, offenbar gilt dies auch für Viren und Würmer. Der bereits im März erstmals aufgetauchte Wurm W32.Gibe alias Swen verschickte sich in einer gefälschten Mail mit Microsoft als Absender, in der Anwender aufgefordert wurden, ein "Sicherheits-Update" zu installieren. Arglose Benutzer, die einen echten Service von Microsoft vermuteten, spielten sich statt des Patches den Wurm auf die Festplatte. Jetzt hat Swen die Kleidung gewechselt und versucht Anwender in einer sehr gut gemachten HTML-Mail davon zu überzeugen, den im Anhang beigefügten angeblichen kumulativen Patch zu starten. Aufgrund der aktuellen Sicherheitslücken im Windows-RCPSS-Dienst und den Hinweisen in den Medien, sich die aktuellen Sicherheits-Updates zu installieren, dürfte auch diesmal eine Vielzahl von Anwendern auf Swen hereinfallen.

Lesen Sie hier weiter

Erneute Angriffsmöglichkeiten
gegen Windows-Plattformen (17. September 2003)

In einschlägigen Foren kursiert seit gestern ein so genannter Exploit, mit dem Windows-2000-Systeme angegriffen werden können. Er nutzt dabei eine in der vergangenen Woche gemeldete Sicherheitslücke im RPCSS-Dienst aus, um Administrationzugriff auf das System zu erhalten. Anschließend legt das Tool ein neues Benutzerkonto mit dem Namen "e" und dem Passwort "asd#321" an, mit dem sich ein Angreifer später auf dem System anmelden kann. Der Exploit funktioniert derzeit aber nur auf englischen Windows-2000-Systemen mit Service-Pack 3 oder 4. Mit Variationen des Exploits für andere Windows-Plattformen ist in den nächsten Tagen zu rechnen. Die Grundlage für einen neuen Wurm, ähnlich Lovsan, wäre damit geschaffen.

Lesen Sie hier weiter

Seit einigen Wochen rollt eine neue Spam-Welle: Als Absender werden vom bislang unbekannten Versender beliebige, existierende E-Mail-Adressen eingetragen. Bei den vermeintlichen Absendern quillt das E-Mail-Fach durch Rückläufer von ungültigen E-Mail-Adressen über; die erbosten Empfänger machen ihrem Unmut gegenüber dem vermeintlichen Absender und deren Provider Luft. Die Spam-Versender operierten bislang vorzugsweise unter erfundenen E-Mail-Adressen, die Zahl der Meldungen über gefälschte, reale Absenderadressen oder erfundene Adressen aus existierenden Domains ist aber in den vergangenen Wochen deutlich angestiegen. Die Opfer dieses perfiden Vorgehens sind machtlos, der Spam-Angriff erfolgt aus dem Schutz der Anonymität.

Lesen Sie hier weiter

Microsoft hat am Mittwochabend neue Patches für den RPC/DCOM-Dienst herausgebracht, in dem sie erst kürzlich eine schwerwiegende Sicherheitslücken gestopft hatten. Der Blaster/Lovsan-Wurm machte sich diese Sicherheitslücken zu Nutze, um sich Mitte August massiv zu verbreiten.

Lesen Sie hier weiter

Kostenloser "Patch-Support"
für Windows 98(SE)
wurde eingestellt (5. September 2003)

Kommende Malware im Stile eines Blaster-Wurms könnte für Nutzer von Windows 98/SE zu einem gewaltigen Problem werden. Wie uns unser Antiviren-Experte Andreas Marx mitgeteilt hat, hat Microsoft den kostenlosen Support für dieses Betriebssystem eingestellt.

Lesen Sie hier weiter

Die neue E-Mail-Wurmversion Sobig.F
übertrifft offenbar die Verbreitungsgeschwindigkeit der
bisher bekannten Viren und Würmer um das Zehnfache.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI)
hatte erstmals am vergangenen Dienstag vor dem gefährlichen Computer-Wurm gewarnt

Mittlerweile sollen schon hundertausende von Systemen infiziert sein. Die bisher ungewohnt hohe Verbreitungsgeschwindigkeit erklärt man sich durch die Ausnutzung von Spamtechnologien, bei denen der Wurm sich nicht mehr hintereinander, sondern mittels multi-threading hundert- bis tausendfach gleichzeitig versenden kann. Auch aufgrund des eingebauten Verfallsdatums 10.09.2003 liegt nun die Vermutung nahe, dass der Autor den Wurm nur als Testversion für einen zukünftigen Nachfolger freigesetzt hat, der dann in der Lage wäre, Spammingwerbung völlig anonym auf die befallenen Rechner zu übertragen, ohne dass ein konkreter Täter zu ermitteln wäre.-Damit müßte man also erst einmal beweisen, dass die spammende Firma auch Urheber der entsprechenden Würmer ist, was in der Regel wohl schwierig werden dürfte.

Als Antwort auf die Wurmattacken der letzten Wochen plant Miccrosoft offensichtlich ein eingebautes, automatisches Zwangsupdate für seine zukünftigen Softwarekreationen. Die bisher übliche Internetseite soll dafür ersatzlos aus dem Netz genommen werden. Grund dafür soll vor allem der hohe Zeit- und Kostenaufwand sein, den Microsoft in den Schutz und die Reparatur der immer öfter durch Angriffe beschädigten Seite investieren mußte.Das bisherige Windows-Update war ein kleines Tool innerhalb der Betriebssysteme ab Win95, welches nur auf Wunsch des Users den Updatestand des Rechners scannte und nach Abgleich mit der Microsoftseite die vorgeschlagen Updates downloadete. Ende 2004 soll ein neues Betriebssystem auf den Markt kommen, welches ohne Nachfrage solche Updates vornimmt. Angeblich wäre dies durch die Ignoranz vieler User nötig, die von freiwillen Windows-Updates bisher Abstand genommen hatten.

Auch zukünftigen Windows XP-Versionen sollen zudem mit automatischen Firewall-Updates und Vorinstallationen in den Handel kommen, um auch technisch nicht versierten Usern ein sicheres System zu bieten. Die User sollen vertraglich zum Update verpflichtet werden, da ohne deren Zustimmung die Windows-Garantie verfällt.
Rechtlich gesehen ist dies sehr bedenklich, da Microsoft hier eine Möglichkeit bekäme, ganz legal den Download bestimmter Internetprogramme oder Inhalte auch ohne Zustimmung des Users zu erzwingen oder ganz zu unterbinden.

Mailverkehr und Sobig.F (20. August 2003)

Der am gestrigen Dienstag aufgetauchte Virus Sobig.F verbreitet sich bislang nahezu ungebremst im Internet. Die Virenscanner auf den Mail-Servern ächzen derzeit unter der Last der großen Zahl infizierter Mails. Allein im Heise-Verlag sind seit gestern Nachmittag 13.000 verseuchte Mails, die von außen auf dem Mail-Server eintrafen, in die Quarantäne verschoben worden. Zusätzlich werden die Anwender in vielen Firmen durch Mails belastet, die darauf hinweisen, dass die elektronische Post nicht zugestellt werden konnte, da sie infiziert oder der Empfänger nicht bekannt sei.

Lesen Sie hier weiter

Neue Wurmwelle? (19. August 2003)

Während noch immer verschiedene RPC-Würmer wüten und sogar versuchen, Patches gegen sich selbst einzuspielen, ist schon ein neuer Wurm unterwegs: Sobig.F, eine Variante der bekannten Sobig-Würmer, kursiert seit wenigen Stunden im Internet und verbreitet sich extrem schnell.

Lesen Sie hier weiter

Wurm jagt Wurm (19. August 2003)

Der Antiviren-Firma TrendMicro zufolge ist seit heute im Internet eine neue Version des Wurms W32.Blaster/LovSAN unterwegs. Sie nutzt zwar die gleichen Einfallstore und Mechanismen wie LovSAN -- enthält aber auch eine neue Funktion: Wenn der Wurm den Original-Blaster auf dem befallenen Rechner entdeckt, beendet er den zugehörigen Prozess, löscht die Wurmdatei msblast.exe und versucht den Microsoft-Patch zu installieren. Danach startet er den Rechner neu und macht sich auf die Jagd nach weiteren Opfern.

Lesen Sie hier weiter

Letzten Freitag (15.08.2003) trat nun endlich das neue Gesetz zur Bekämpfung
des Missbrauchs von 0190er und 0900er-Rufnummern in Kraft.
Damit sollen zukünfig der Schutz des Verbrauchers und die Durchgriffsmöglichkeiten
der Regulierungsbehörde (RegTP) deutlich verbessert werden.

Laut Gesetz dürfen künftig nur noch zwei Euro pro Minute oder
- bei zeitunabhängigen Diensten - 30 Euro pro Anwahl in Rechnung gestellt werden.
Die genauen Tarife müssen außerdem gleich nach Einwahl unmissverständlich
mitgeteilt werden. Erst drei Sekunden später beginnt dann der Gebührenzähler zu laufen.
Höhere Tarife sind grundsätzlich auch möglich, werden aber von der Eingabe
einer persönlichen PIN-Zahl abhängig gemacht, die der Anrufer vorher erst
schriftlich beim Dienstanbieter beantragen muss, um sich damit
ähnlich wie bei der Nutzung der EC-Karte vor jedem Anruf persönlich auszuweisen.
Die nach diesem System anfallenden Gebühren wären rechtlich legitim und einklagbar.

Leider ist dieses Gesetz aber zunächst nur für das Festnetz verbindlich.
Den Anbietern der Mobilfunknetze soll somit eine Übergangsfrist
für die erforderliche, gesetzeskonforme Nachrüstung der Server
eingeräumt werden.

Lesen Sie hierzu bitte auch meinen neuesten
Beitrag über HANDYABZOCKE.(Stand 29.08.2003)

Ausserdem gilt die neue Regelung nicht rückwirkend und so muss jeder Betroffene einen
Rechtstreit nach wie vor selbst durchfechten.
Es empfiehlt sich der Abschluss eines Vertrags-Rechtschutzes.

Zudem wurden im aktuellen Entwurf jedoch andere Mehrwertdienste-Nummern
wie z.B. 0137-er oder 820er Nummern wie z.B. 82094 usw. bisher nicht berücksichtigt
und bilden somit ein ideales Ausweichpotential für unseriöse Anbieter.

SQL-Slammer verursachte
Störung in US-Kraftwerk (17. August 2003)

Bereits im Januar hat es eine mehrere Stunden andauernde Störung des primären Steuersystems von US-Stromkraftwerken durch eine Wurm-Attacke gegeben. Das belegt ein Dokument des North American Electric Reliability Council (NERC).

Das NERC wurde 1968 als Reaktion auf den Stromausfall am 9.11.1965 in New York gegründet, um sicherzustellen, "dass das elektrische System in Nordamerika verlässlich, ausreichend und sicher ist". Am 13. August -- also am Tag vor dem großen Blackout -- verabschiedete es einen Standard für Cyber Security (Titel: "Urgent Action - Cyber Security"), der dringenden Handlungsbedarf für das US-amerikanische Stromversorgungssystem attestiert.

Lesen Sie hier weiter

Wurm W32/Blaster: Wurmangriff
auf Microsoft läuft ins Leere (16. August 2003)

Seit dem heutigen 16. August versuchen alle mit LoveSAN/W32.Blaster infizierten Rechner den Microsoft-Update-Server "windowsupdate.com" lahmzulegen, indem sie ihn mit sinnlosen Anfragen bombardieren. Doch Microsoft hat die Zeit vor dem Angriff genutzt und geschickt reagiert. Die Redmonder haben den im Wurm fest einprogrammierten Namen aus der Namensauflösung (DNS) genommen, so dass die Anfrage nach dessen IP-Adresse einen Fehler zurückliefert. Somit können die infizierten Rechner die Microsoft-Server nicht erreichen, um ihre Denial-of-Service-Angriffe zu starten: Der Angriff läuft ins Leere.

Lesen Sie hier weiter

Wurm W32/Blaster: Zusammenhang mit Blackout
in den USA und Canada? (15. August 2003)

Die bisherigen Erklärungsversuche zum flächendeckenden Blackout in den USA und Kanada sind reichlich lückenhaft: Ein Blitzschlag soll ein Kraftwerk an den Niagara-Fällen lahmgelegt haben. In der Folge brach in vielen Bundesstaaten das Stromnetz zusammen.

Um solche Ausfälle zu vermeiden, werden landesweit die Anschlüsse der Kraftwerke an das Stromnetz über ein zentrales Grid-Center gesteuert. Dies sorgt normalerweise auch dafür, dass notfalls Versorgungsgebiete schnell vom Netz abgekoppelt werden, um die anderen Kraftwerke nicht ebenfalls in den Abgrund zu ziehen. An dieser Stelle versagten die Schutzfunktionen. In der Folge erhöhte sich die Netzlast für andere Kraftwerke, die sich dann zum Schutz vor Überlastung ihrerseits vom Netz abkoppelten und damit einige Landesteile der USA nicht mehr versorgen konnten. Warum die Maßnahmen zur Vermeidung solcher Totalausfälle nicht gegriffen haben, ist noch unklar.

Lesen Sie hier weiter

Wurm W32/Blaster mutiert (14. August 2003)

Nach dem Auftauchen der ersten Variante WORM_RPCSDBOT über die bereits gestern berichtet wurde, sind weitere Mutationen von W32.Blaster alias Lovesan gesichtet worden. W32.Blaster.B und Blaster.C unterscheiden sich vom Ursprungsschädling nur durch die Umbenennung der Wurmdatei "msblast.exe" in "penis.exe" und "teekids.exe" sowie den entsprechend geänderten Einträgen in der Registry (HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run) unter "windows auto update" beziehungsweise "Microsoft Inet xp..". Die Hersteller von Antivirensoftware haben ihre Signaturen auf den neuesten Stand gebracht und zum Download bereitgestellt.

Lesen Sie hier weiter

W32.Blaster: Nachfolger ist noch gefährlicher (14. August 2003)

Der Wurm "W32.Blaster" (auch "Lovsan" genannt) wütet seit der Nacht zum Dienstag im Internet. Der Wurm nutzt eine seit längerem bekannte RPC-Sicherheitslücke in Windows NT, 2000, XP und Server 2003 um sich in den Rechnern einzunisten.

Jetzt ist bereits ein Nachfolge-Wurm aufgetaucht, der ebenfalls diese Sicherheitslücke ausnutzt und eine größere Bedrohung darstellt. Die Antivirenspezialisten von Trend Micro haben ihn auf den Namen "WORM_RPCSDBOT.A" getauft.

Lesen Sie hier weiter

W32.Blaster befällt tausende PCs (13. August 2003)

W32.Blaster verbreitet sich weiter, allerdings doch nicht so dramatisch wie zunächst angenommen. Die Angaben über die Zahl der bisher von W32.Blaster weltweit befallenen Systeme schwanken zwischen 120.000 (Symantec) und 1.4 Millionen (CERT/CC). Der Grund für die Diskrepanz liegt in der unterschiedlichen Zählweise von IP-Adressen, von denen Verbindungen ausgehen, die auf einen Wurmbefall schließen lassen. Die Zahl wird aber eher gegen das untere Ende der Skala tendieren, da der Wurm im Vergleich zu bisherigen Schädlingen wie Code Red oder SQL-Slammer eine wesentlich langsamere Verbreitungsgeschwindigkeit hat und schlampig programmiert wurde.

Lesen Sie hier weiter

W32.Blaster greift an (12. August 2003)

Der seit Tagen erwartete Wurm, der einen Fehler im RPC/DCOM-Dienst unter Windows 2000 und XP ausnutzt, ist im Internet unterwegs. Symantec taufte ihn W32.Blaster, McAfee nennt ihn W32.Lovsan. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat ebenfalls bereits eine Warnung herausgeben, siehe dazu das BSI-Advisory auf Heise Security.

Lesen Sie hier weiter

Warnung vor www.kazaalite.de (4. August 2003)

Offenbar kommt es in Mode, dass Internetadressen, welche sehr bekannt waren und aufgegeben wurden, sofort von Dialeranbieter übernommen wurden. War es kürzlich die Adresse www.xpantispy.de, ist es nun die Adresse www.kazaalite.de die von einem Dialeranbieter übernommen wurde. Nachdem die vorherigen Besitzer diese Adresse aufgegeben haben, vorangegangen war ein Rechtstreit, wurde die Adresse von einem Dialeranbieter mit Sitz in Brasilien übernommen. Wer nun, in der Hoffnung hier das Tauschbörsen-Programm Kazaa-Lite herunterladen zu können, diese Seite aufsucht, wird eine böse Überraschung erleben.

Jeder einzelne Link veranlasst das Herunterladen eines Dialers.
Dieser Dialer aus dem Hause Mainpean schlägt mit 7,50 €/Min. zu Buche, was einen Betrag von 450 €/h ausmacht. Aber nicht nur der direkte Weg auf die ehemalige "offizielle Downloadseite" ist gefährlich, sondern auch das Nutzen von älteren Kazaalite-Programmen. Klickt man dort den Menü-Punkt "Web" an, wird man eben auf diese Seite weitergeleitet.
Daher ist nun dringend Vorsicht geboten, will man nicht von solchen Schmarotzern finanziell ausgesaugt werden.

Warnung vor Dialer-Mails (3. August 2003)

Seit einigen Tagen kursieren merkwürdige Mails durch das Internet, die einem glauben machen wollen, man hätte einen Virus auf dem eigenen Rechner. Diese Mails eines angeblichen Fabian Kordela haben den folgenden Wortlaut:

Betreff: Hast du nen Virus ????

Hallo,
kann es sein, dass du dir den "Sobig"-Virus eingefangen hast?
Da dein PC im Internet freigegeben ist und der gerade hier rumgeistert scheint mir das relativ wahrscheinlich.
Ich würde an Deiner Stelle mal deinen PC schleunigst scannen !!!
Hier kriegst du eine neue Software, mit der du zu einem guten Antivirus-Server kommst. Da gibt es ein Programm gegen Sobig und viele andere Virenscanner zum downen.

http://extraantivirus.tripod.com.br/virenschutz.exe

Viel Glück, falls du den wirklich draufhaben solltest!
Fabian

Klickt man diesen Link an und lädt sich diese "virenschutz.exe" herunter, so hat man sich einen Dialer heruntergeladen.
Und dieser ist panamesischer Herkunft.
Diese Mail ist also nichts weiter als der Versuch, den unbedarften User abzuzocken. Neben einem guten Dialer-Scanner empfiehlt es sich auch immer einen Spam-Filter im Haus zu haben.

Vorsicht vor www.xpantispy.de (30. Juli 2003)

Die Seite, von der das beliebte XP-Antispionage-Tool xpantispy heruntergeladen werden konnte ist umgezogen. Die richtige URL lautet jetzt www.xpantispy.org. Die alte Adresse unter der DE-Domain gibt es aber noch immer. Nur sie ist für jene User gefährlich, die noch nichts von den Umzug wissen.

Jeder einzelne Link fordert dazu auf, einen Dialer herunterzuladen. Also ist für diese Seite nun allerhöchste Vorsicht geboten. User, die versehentlich auf diese Seite geraten sind, tun gut daran, ihre Rechner auf Dialerbefall zu überprüfen

Tausende Dollar mit gefälschter AOL-Website (23. Juli 2003)

Ein US-Teenager hat nach Angaben der US-Wettbewerbsbehörde FTC mit mit Massenmails
und einer gefälschten Website des Onlineproviders AOL Kreditkarten-Daten und mehrere tausend Dollar erschlichen.

Lesen Sie hier den vollständigen Bericht von N-TV

Neuer Trojaner versendet Spam für Sie (17. Juli 2003)

Ein neu entdeckter Trojaner sorgt derzeit für überquellende Postfächer bei so manchem Mail-Nutzer. Die Malware namens Webber alias Heloc installiert nämlich auf infizierten Rechner einen Proxy-Server über den Übeltäter Spam sowie beliebige Daten verschicken können.

Lesen Sie hier den vollständigen Bericht von PC-Welt

Schreiben Sie hier Ihre Meinung.

Gefährliches "Kokusnuss-Spiel"

Die Antivirenspezialisten von Sophos warnen vor einem neuen Wurm, der die betroffenen Anwender per Spiel selbst bestimmen lässt, wieviel Schaden er anrichten wird. Der auf den Namen "Cocunut" getaufte Wurm wurde von der Virenautorin "Gigabyte" geschrieben und verbreitet sich per Mail. Ist der Wurm erstmal auf dem Rechner des Anwenders gelandet, dann startet er sich in Form eines Kokosnuss-Wurfspiels. Je mehr Punkte der Spieler dabei sammelt, desto weniger Dateien versucht der Wurm anschließend zu infizieren.

Lesen Sie hier den vollständigen Bericht von PC-Welt

"Virales Marketing" durch Gates-Video (16. Juli 2003)

Die Antiviren-Spezialisten von Sophos warnen vor einer virenähnlichen Software. Die Anwender werden über Mails auf eine Website gelockt, auf der sich diese Software versteckt. Geködert werden die Surfer mit dem Versprechen, "lustige" Clips sehen zu dürfen - darunter auch ein Video von der Szene, in der Microsoft-Gründer Bill Gates von belgischen Anarchisten mit einer Torte beworfen wird. Wer dem Link folgt wird aufgefordert, ein Tools namens "Internet Optimizer" (IO) zu installieren.

Lesen Sie hier den vollständigen Bericht von PC-Welt

Trojaner macht PC zum Porno-Server (15. Juli 2003)

In Russland angesiedelte Spammer gehen nach einer neuartigen hinterhältigen Methode vor, berichtet die Computerwoche-Online. Sie schmuggeln Trojanische Pferde auf die Rechner unwissender Opfer, die Massen-Mails aussenden und als Host für pornografische Inhalte dienen.

Lesen Sie hier den vollständigen Bericht von PC-Welt

2000 Websites durch Schüler gehackt (11. Juli 2003)

Der französischen Polizei ist ein Hacker ins Netz gegangen, der rund 2.000 Internetseiten manipuliert haben soll. "DKD", so das Pseudonym des 17-jährigen Schülers, attackierte auch die Internetpräsenz der US-Marine erfolgreich.

Lesen Sie hier den vollständigen Bericht von N-TV

Warnung! Trickbetrüger klaut PayPal-Daten! (10. Juli 2003)

Mit einem Trick versucht anscheinend zurzeit ein Betrüger Informationen von PayPal-Kunden zu ergattern. Die Opfer erhalten eine Mail mit dem Betreff "Dear PayPal Customer" und einer gefälschten PayPal-Absender-Adresse. In der Mail heisst es (auf Englisch) PayPal würde nicht aktive Kundeneinträge nach drei Monaten sperren. Deshalb wird der Angeschriebene aufgefordert, in das HTML-Formular der E-Mail seine persönlichen Daten inklusive E-Mail-Adresse, Passwort und Kreditkartennummer einzutragen und sich damit bei PayPal anzumelden. Insgesamt ist sowohl Sprache als auch Aufmachung der E-Mail geeignet arglose PayPal-Kunden dazu zu verleiten, ihre Daten in dieses Formular einzutragen und abzuschicken.

Lesen Sie hier den vollständigen Bericht von heise-security

Sicherheitslücke in allen Windows-Versionen

Alle Windows-Versionen von Windows 98 bis Windows Server 2003 sind von einer Sicherheitslücke betroffen, die laut Microsoft dazu genutzt werden kann, beliebigen Code auszuführen. Im Security-Bulletin MS03-023 beschreibt der Konzern das Leck im HTML-Konverter von Windows, das zu einem Buffer Overführen kann.

Lesen Sie hier den aktuellen Bericht heise-security

"Zockt" RTL die Zuschauer ab? (09. Juli 2003)

Die Formel1-Übertragungen bei RTL sind jedes Wochenende ein Quotenrenner. Auch beim großen Preis von Frankreich am vergangenen Wochenende saßen wieder über 10 Millionen Deutsche gebannt vor den Bildschirmen. RTL lockte wie jedes Rennwochenende mit einem Gewinnspiel – der Hauptpreis ein Auto im Wert von 35.000 €. Im zugehörigen Spot wird erklärt, dass der Zuschauer lediglich eine einfache Frage beantworten muss und die eingeblendete Rufnummer wählen soll.

Das reizt auch uns, also rufen wir an bei RTL. Vom Band kommt folgende Ansage:

Lesen Sie hier den aktuellen Bericht des ARD-Magazins PlusMinus

Trojaner "QDIAL11" wählt 0190-Nummern (07. Juli 2003)

Die Antiviren-Spezialisten von Network Associates haben einen neuen Trojaner entdeckt, der sich auf das Anrufen von 0190-Nummern spezialisiert hat. Hat der auf den Namen "Qdial11" getaufte digitale Schädling erst einmal einen Rechner befallen, dann übernimmt er die Kontrolle über das Modem und wählt unbemerkt vom Anwender die kostenpflichtige Telefonnummer 0190 / 872xxx.

Lesen Sie hier den aktuellen Bericht von pc-welt.de

Dialer tauscht Windows-Einwahlroutine (20. Juni 2003)

Einen besonders dreisten Fall von betrügerischen 0190-Dialern wurde dem Antivirus-Team von Network Associates gemeldet. Der Dialer tauscht die Datei rasapi32.dll aus, mit der sich ein Windows-PC per ISDN oder analoger Verbindung ins Internet einwählt. Egal, welche Nummer das DFÜ-Netz oder eine Anwendung vermeintlich wählt -- hinter den Fassaden wird eine 0190-Verbindung aufgebaut.

Lesen Sie hier den aktuellen Bericht von heise.de

Dialer mit 01805-Nummer ist erlaubt (18. Juni 2003)

Die Regulierungsbehörde für Telekommunikation und Post, RegTP, will im Fall des ersten Web-Dialers, welcher sich über eine 01805-Nummer einwählt keine Konsequenzen ziehen. Das jedenfalls berichtet die Dialerschutz-Seite dialerschutz.de unter Aktuelles.

Lesen Sie hier den aktuellen Bericht.

Dialer-Abzocke mit 01805-Nummer (01. Juni 2003)

Das Dialer-Abzocker sich neue Ideen wegen des zunehmenden Schutzes vor Dialern einfallen lassen müssen, war ziemlich klar. So ist es auch nicht verwunderlich, dass es nun Dialer gibt, welche sich über eine 01805-Nummer einwählen und dabei Kosten in unbekannter Höhe verursachen. Das jedenfalls berichtet die Dialerschutz-Seite dialerschutz.de unter Aktuelles.

Lesen Sie hier den aktuellen Bericht.

100.000 € Ordnungsgeld gegen Interfun GmbH ? (23. Mai 2003)

Vor rund einem Monat beschloss das Landgericht Hamburg auf Antrag des Online-Riesen AOL eine einstweilige Verfügung gegen den Dialer-Anbieter Interfun. Dieser darf seitdem keine Spam-Mails mehr versenden, in denen für die Einwahl mit seinen Dialern geworben wird. Seinerzeit machte AOL klar, dass man Interfun genau beobachten und die Edertaler Firma auch dann zur Verantwortung ziehen werde, wenn in E-Mails unbekannter Herkunft auf ihre Dialer hingewiesen wird.

Lesen Sie auf der Seite heise.de weiter.

Ausweitung der Schutzregeln
gegen 0190-Nummern gefordert

Den Bundesländern gehen die von Rot-Grün geplanten Schutzregelungen gegen überteuerte Angebote bei 0190er- und 0900er-Servicenummern nicht weit genug. In seiner Stellungnahme forderte der Bundesrat am Freitag, die Anrufkosten künftig auf zwei statt wie von der Bundesregierung geplant drei Euro pro Minute zu begrenzen.

Lesen Sie auf der Seite der PC-Welt weiter.

Nexus - Neue Bedrohung für den PC-Anwender (08. Mai 2003)

Nach Ansicht des australischen Professors Bill Caelli von der Technischen Universität in Queensland und Experte für IT-Sicherheit und Kryptografie, stellt das von Microsoft und anderen Unternehmen entwickelte Sicherheitsprojekt "Nexus" eine weit größere Bedrohung dar, als Viren oder Hacker. Auf einer Konferenz in Sydney griff Caelli Microsoft und Intel scharf an.

Lesen Sie auf der Seite der PC-Welt weiter. Und lesen Sie was Nexus überhaupt ist.

Perverse Spam-Mails (05. Mai 2003)

In den letzten Tagen tauchten vermehrt einige Spam-Mails auf, die an Perversion bisher nicht zu überbieten waren. Der Versender dieser Mails spielt hier mit der Angst um die Familie der Mail-Empfänger. Hier nun der Inhalt der Mail:

Hallo, ruf mich sofort an

0103-301-908 56524245

Wichtig, es geht um Leben und Tod!!!

Deine Familie ist in Gefahr!!!

Ruf sofort an!

Die Rückrufnummer ist dann so angegeben 0103-301-908 56524245 oder so 01033-01-908-565-242-45. Also nichts anderes als eine getarnte 0190-Abzocknummer. Der Betreiber dieser Nummer ist die "dtms AG", welche diese Nummer an einen Sex-Hotline Betreiber weitervermietet hat. Sowohl in der Newsgroup de.admin.net-abuse.mail als auch auf der Internetseite dialerschutz.de wurde bereits vor diesen Mails gewarnt. Zwischenzeitlich wurde die dtms AG aufgefordert, die angegebene Nummer sofort zu sperren.

"Jemand der Dich kennt..." Spam bleibt straflos (1. Mai 2003)

"Jemand der dich kennt hat uns beauftragt, dir eine Nachricht zu senden. Die Person ist verrückt nach dir. Wenn du wissen willst, wer diese Person ist, dann rufe folgende Nummer an: 0190..". Mit diesem Text wurden in den letzten Monaten massenhaft Nutzer per Spam-Mail belästigt. Natürlich hielt diese Aussage nicht was sie versprach. Wer tatsächlich die Nummer anwählte, fand keinerlei Botschaften liebeskranker Verehrer.

Genervte Nutzer hatten daraufhin Strafanzeige wegen Betrugs nach § 263 StGB erstattet. Nachdem die Staatsanwaltschaft Frankfurt das Ermittlungsverfahren wegen mangelndem Tatverdacht eingestellt hatte, wurde Beschwerde gegen diese Entscheidung bei der Generalstaatsanwaltschaft Frankfurt eingelegt.

Den ausführlichen Artikel können Sie unter heise.de lesen.

Schutz vor Spam. Stärkung durch deutsches Gericht. (30. April 2003)

Das Landgericht München I hat den Schutz vor unerwünschter Werbung per Mail gestärkt. Mit einer Einstweiligen Verfügung verpflichtete die 33. Zivilkammer eine Marketinggesellschaft der deutschen Agrarwirtschaft, entsprechende Mails an einen Münchner Rechtsanwalt zu unterbinden (Az.: 33 O 5791/03). Bei einer Missachtung der als Präzedenzfall geltenden Entscheidung könne ein Bußgeld von bis zu 250.000 Euro verhängt werden, sagte ein Gerichtssprecher am Dienstag.

Den ausführlichen Artikel können Sie unter PC-Welt lesen.

Aktion 37. Bundesweite Wohnungsdurchsuchungen
gegen Telefonanlagen-Hacker (29. April 2003)

Bei einer koordinierten Aktion von mehreren Staatsanwaltschaften, Polizeidienststellen der Bundesländer und des Bundeskriminalamtes (BKA), wurden am heutigen Morgen 37 Wohnungen wegen des Verdachts des Computerbetruges durchsucht.

Den Tatverdächtigen wird vorgeworfen, in den letzten zwölf Monaten mit Handys und Computern zahlreiche Telefonanlagen von Firmen "gehackt" und manipuliert zu haben. Die Täter konnten so auf Kosten der geschädigten Unternehmen teure "Mehrwertdienstnummern" (0190er-Servicenummern) anrufen, die sie nach bisherigen Erkenntnissen vorher per Internet für sich oder Bekannte angemietet hatten.

Den ausführlichen Artikel können Sie unter den Pressemitteilungen des BKA lesen.

eBay-Kunde Opfer eines Hackers? (23. April 2003)

Möglicherweise wurde ein eBay-Kunde Opfer eines Hackers. Ein 22-Jähriger Münchener hatte angeblich mehrere Artikel im Gesamtwert von 1,4 Millionen Euro ersteigert. Darunter waren neben einem Grundstück in Leipzig, ein externer Herzschrittmacher, ein Nobelauto, ein Ultraleichtflugzeug und ein Bild von Andy Warhol. Der Münchner leugnet die Ersteigerung und sieht sich als Opfer eines Hackers. Eine Sprecherin von eBay gab gegenüber RTL-Aktuell zu verstehen, dass eine Sicherheitslücke nicht bei eBay, sondern bei dem 22-Jährigen zu suchen sei. Dieser sei möglicherweise Opfer eines Hackers geworden. Der 22-Jährige Gärtner indes steht vor einem Rätsel, da er nicht weiß, wie man an seinem 10-stelligen Zahlencode, den er als Passwort verwendet, gekommen sei.

Einen ausführlichen Artikel können Sie auch bei heise.de lesen.

AOL geht gegen Interfun GmbH vor (17. April 2003)

Pünktlich zu Karfreitag kommt eine Meldung, die für Dialergeplagte Internetnutzer Hoffnung aufkommen läßt. Per einstweiliger Verfügung ließ der Provider AOL dem Dialeranbieter Interfun GmbH untersagen, "E-Mails zum Zwecke des Vertriebs von Zugangs-Software für Erotikdienste oder zur Bewerbung solcher Dienste zu versenden, ohne dass bereits eine Geschäftsbeziehung mit dem Empfänger besteht oder dessen tatsächliches oder mutmaßliches Einverständnis für den Empfang vorliegt."

"Unsere Kunden fassen Spam-Mails nicht nur als Belästigung, sondern inzwischen auch als Bedrohung auf", so Matthias Niebur, von der AOL Rechtsabteilung.

Lesen Sie hier den Artikel von heise.de.

Regulierungs-Behörde gegen 0193-Dialer

Die Regulierungsbehörde reagiert auf Meldungen über Gefahren, die von Dialern in der Rufnummerngasse 0191 bis 0195 ausgehen. Würden solche Nummern missbraucht, dann werde man sie einziehen, so ein Sprecher der Regulierungsbehörde. Die Nutzung dieser Nummern für Dialer-Einwahlen entspreche nicht dem Zuteilungsbescheid, sei deshalb nicht zulässig und werde von der Regulierungsbehörde untersagt. Erste Verfahren gegen Betreiber laufen nach Angaben der Behörde bereits.

Lesen Sie hier den Artikel von heise.de.

IP-Adressen-Speicherung.
Anzeige gegen T-Online (16. April 2003)

Eine Anzeige wegen des Verstosses des Teledienstedatenschutzgesetzes, TDDSG, musste T-Online hinnehmen

Ein User wurde wegen einer Äußerung in einem Internet-Forum angezeigt. Im Januar 2003 wurde dieser User aber dann freigesprochen. Jetzt aber hat dieser Prozess ein Nachspiel, denn der Provider des Users -T-Online- hatte die personenbezogenen Daten des Users gespeichert und weitergeleitet. Gemäß dem TDDSG ist die Speicherung von IP-Nummern nur für Abrechnungszwecke erlaubt. Der User aber verwendete einen Flaterate-Tarif, womit Einwahlprotokolle zwecks Rechnungserstellung nicht mehr nötig sind. Ob die Anzeige Erfolg haben wird, sieht zunächst allerdings schlecht aus. Flaterate-User können sich nämlich auch über Modem einwählen und das muss dann einzeln abgerechnet werden. In diesem Sinne wurde bereits ein ähnlich gelagerter Fall vom Regierungspräsidium Darmstadt als Aufsichtsbehörde gebilligt. Dem widerspricht allerdings der Anwalt des Users in seiner Anzeige und man darf gespannt sein, wie dieser Fall enden wird.

Lesen Sie hier die im Internet veröffentlichte Anzeige von Rechtsanwalt Stefan Jäger Anzeige.

Erneuter Schlag gegen
Kinderporno-Ring im Internet (15. April 2003)

Am heutigen Dienstag wurde erneut ein Schlag gegen die Verbreitung von Kinderpornografie über das Internet geführt. In allen Bundesländern wurden unter der Federführung der Kriminalinspektion Rüsselsheim dazu 137 Wohnungen und Arbeitsräume durchsucht. Dabei wurden 95 Computer samt Zubehör sichergestellt. Die Auswertung werde einen längeren Zeitraum in Anspruch nehmen, teilt die Polizeidirektion Groß-Gerau mit. Die Aktion richtete sich gegen 158 Tatverdächtige; 20 von ihnen seien bereits einschlägig in Erscheinung getreten. Nach Abschluss der Durchsuchungsaktionen hätten insgesamt 22 Personen gestanden.

Lesen Sie mehr auf der Seite von heise.de.

Gesetz gegen 0190-(Dialer) Missbrauch (08. April 2003)

Das Bundeskabinett verabschiedete am heutigen Mittwoch einen Gesetzentwurf, mit dem der Missbrauch bei der Nutzung der 0190er- und 0900er-Nummern eingedämmt werden soll. Anrufe dürfen künftig maximal drei Euro pro Minute kosten. Nach einer Stunde muss die Verbindung automatisch getrennt werden. Anbietern drohe bei Missbrauch der Entzug der Servicenummer, teilte das Verbraucherministerium mit.

Lesen Sie mehr auf der Seite von heise.de.

Schlag gegen Verbreiter von
Kinderpornographie (07. April 2003)

Durch die Kriminalpolizei Passau werden wegen des Besitzes und Verbreitens von Kinder-, Gewalt- und Tierpornographie Ermittlungen gegen einen 39-jährigen Deutschen geführt.

Im Oktober 2002 wurde bei dem Passauer im Rahmen einer Durchsuchung seine PC-Anlage sichergestellt. Im Rahmen der weiteren Auswertungen konnten u.a. 15619 gespeicherte E-Mails gesichert werden.

Durch umfangreiche Ermittlungen der Kripo Passau konnten aus den gewonnenen E-Mail-Adressen insgesamt 253 Tatverdächtige im gesamten Bundesgebiet festgestellt werden, mit denen im Tatzeitraum Juni - September 2002 kinder-, gewalt- und tier- pornographische Dateien ausgetauscht worden waren. Mit diesen Bild- & Videodateien wurde durch die Tatverdächtigen ein intensiver Austausch betrieben. Einzelne Personen waren unter mehreren verschiedenen E-Mail- Adressen an diesem Tauschring beteiligt

Lesen Sie mehr auf der Seite des Bayerischen LKAs.

Tausch von Kinder-Pornos
über KaZaA. BKA ermittelt.

Bundesweit 57 mutmaßlichen Besitzern von Kinderpornografie ist das Bundeskriminalamt (BKA) über das Internet auf die Spur gekommen. Bei anschließenden Durchsuchungen von Wohnungen und Geschäftsräumen im Rahmen der Aktion Herakles stellten die Beamten in der vergangenen Woche 72 Computer, 5144 Datenträger und 405 Videos sicher, wie die Behörde bereits am Mittwoch letzter Woche mitteilte. Die Verdächtigen sollen über die Internet-Tauschbörse KaZaA kinderpornografische Dateien angeboten haben. Das BKA unterstreicht in diesem Zusammenhang ausdrücklich, dass auch Tauschbörsen kein rechtsfreier Raum seien.

Lesen Sie mehr auf der Seite von heise.de.

SETI@home hat Sicherheitslücke

Auch die Suche nach Außerirdischen kann offensichtlich den eigenen Rechner gefährden: In den Clients des Projekts seti@home wurde eine Sicherheitslücke durch einen möglichen Buffer Overflow gefunden. Dadurch lässt sich auf den lokalen Servern durch Angreifer beliebiger Code ausführen. Laut dem Entdecker der Lücke, Berend-Jan Wever, dürften alle Client-Versionen davon betroffen sein; allerdings muss der Angreifer dem Client per Spoofing einen anderen Server als den offiziellen seti@home-Server unterschieben. Zusätzlich lässt sich das Leck auch über einen Proxy-Server oder einen Router ausnutzen.

Lesen Sie mehr auf der Seite von heise.de.

Neuer 200 EURO-Dialer seit 14.03.03 im Umlauf ! (15.03.2003)

Dieser Dialer geht eine 0192-Verbindung ein und kann deswegen weder
mit einer 0190-Sperre oder mittels einer 0190-Blockersoftware
gestoppt werden. Seit gestern werden E-Mails versendet, welche dem
Empfänger glauben machen wollen, dass deren E-Mailpostfächer
überfüllt wären und deswegen die Nachricht über einen "speziellen"
Link abgerufen werden soll.

Klickt man diesen Link an, so wird sofort automatisch ein Download
aktiviert wobei man sich o.g. Dialer herunterläd.Die Kosten dieses
Dialers sind immens, denn die einmalige Einwahl kostet bereits 29,00
Euro zzgl. 2,99 Euro je Minute. Das macht einen umgerechneten
Stundenpreis von sage und schreibe 208,40 Euro.

Ich möchte deshalb darum bitten, dass ihr umso mehr darauf achtet,
was für Nachrichten ihr in den E-Mailpostfächern habt.

Informationen über diesen Dialer findet man auf der Seite
www.dialerschutz.de .

Erster Dialer für den Mac entdeckt (06.03.2003)

Die Dialer-freie Zeit auf der Mac-Plattform ist vorbei. Ein Service von Nocreditcard.com bietet ein Mac OS X-Utility "Designed for Mac" an, dass die Einwahl per Modem, ISDN oder Netwerk-Karte in einen definierten Provider-Bereich für 1,86 Euro-Cent die Minute ermöglicht. Bisher wähnten sich Mac-User vor heimtückischen Einwahlprogrammen sicher, die bei Windows-Anwendern für teils horrende Telefonrechnungen gesorgt haben.

Mehr unter: http://62.159.107.115/jump.cfm?id=167490&kid=57681

Nigeria-Connection fordert erstes Todesopfer

Betrügerische Mails können tödlich sein. Sogar für Unbeteiligte. In Prag erschoss ein Opfer der "Nigeria-Connection" ein Mitglied der nigerianischen Botschaft. Das Motiv des Täters: Er hatte Geld durch betrügerische Machenschaften verloren, bei denen die Opfer durch Mails oder Faxschreiben zur Preisgabe ihre Kontodaten veranlasst werden. Das berichten Wired News und BBC online.

Mehr unter: http://62.159.107.115/jump.cfm?id=167491&kid=57681

HP-Drucker sendet Daten ins Internet

Was auf den ersten Blick wie eine harmlose Lizenzvereinbarung aussieht, erweist sich bei genauerem Hinsehen als Tretmine: In einer "Erklärung", die während der Treiberinstallation für einen DeskJet-Drucker angezeigt wird, beansprucht der Hersteller Hewlett-Packard die "Eigentumsrechte" an den Verbrauchs- und Statusdaten des Druckers. "Der Drucker übermittelt in regelmäßigen Abständen Status- und Verbrauchsinformationen an Hewlett-Packard", heißt es in der Erklärung. Dabei wird der Anwender gar nicht erst
gefragt, ob er mit derartigen Maßnahmen einverstanden ist. Lediglich den vollautomatischen Upload der Daten an HP kann der Benutzer per Checkbox unterbinden. Ruft er später jedoch die Treiberfunktion "myPrintMileage" auf, werden die Daten ohne weitere Warnung über das Internet versendet.

Mehr unter: http://62.159.107.115/jump.cfm?id=167492&kid=57681

Dieser trägt den Namen
"w32/lovegate" und ist gleichermaßen Computerwurm wie auch ein
Backdoor-Programm. Die Firma Trend-Micro hat sogar "Yellow-Alert"
ausgelöst, wie man unter dem nachfolgenden Link ersehen kann und
stuft ihn damit als gefährlich ein.

http://de.trendmicro-europe.com/

Eine recht umfassende Beschreibung, wie ich finde, bekommt man auch
unter dem nachfolgenden Link des Antiviren-Programm Hersteller
"AntiVir".

http://www.antivir.de/vireninfo/lovegate.htm

Aufgrund der Gefährlichkeit dieses Wurms möchte ich alle bitten, ihre
Antiviren-Programme zu aktualisieren. Sollten je nach Programm noch
keine aktuellen Signaturdateien für die Antiviren-Programme vorhanden
sein, so kann man auch einen "Online-Virencheck" auf meiner Seite
durchführen, den man unter der Rubrik "Virus" findet. Ebenso sollte
man unter:

http://de.bitdefender.com/html/free_tools.php

oder

http://www.symantec.com/avcenter/tools.list.html

nachschauen, ob nicht bereits einige Fixtools gegen den Wurm
vorhanden sind.

Passwörter von XP austricksen (22.02.03)

Alle Sicherheitsmaßnahmen taugen nichts, wenn der Anwender klüger als der Software-Hersteller ist. Ein aktuelles Beispiel ist mal wieder Microsoft und sein jüngstes Betriebssystem "Windows XP", bei dem es sich immerhin um die "sicherste Version" überhaupt handeln soll. Mit einem einfachen Trick kann sich jeder Zugriff auf ein Windows XP-System verschaffen, egal wie kreativ der Administrator bei der Festlegung der Passwörter war.

Auf die verblüffend einfache Methode macht der Sicherheitsexperte Brian Livingston auf seiner Website aufmerksam. Das Stichwort lautet "Wiederherstellungskonsole", auf die per Boot-CD zugegriffen werden kann.

Mehr unter: http://62.159.107.115/jump.cfm?id=165512&kid=57681

Abzocke mit Dialern darf weitergehen

Wenn es um Abzocke im Internet geht, lassen sich die Verantwortlichen immer neue Tricks einfallen, um an das Geld argloser Nutzer zu kommen. Die Zeiten, als die sogenannten Internet-Dialer nur auf Erotikseiten zu finden waren, sind längst vorbei. Zur Zeit werden sie vor allem per E-Mail beworben - getarnt z.B. als Antivirustools, um den Rechner zu schützen. An der Absenderadresse oder der Betreffzeile lässt sich meist nicht mehr erkennen, dass eine Gefahr lauert.

Wer die Ausgabe des Magazins "PlusMinus" vom 11 Februar 2003 gesehen hat, der weiß, dass das ganze Gerede unserer Regierung um Verbraucherschutz bzw. den Schutz des Kunden vor unseriösen Zahlungssystemen, wie z.B. Dialer, eine Farce ist. Schliesslich geht es, im Wortsinn, um einen Milliardenmarkt. Am Beispiel der Firma Interfun GmbH wurde in dem Beitrag deutlich gemacht, wie Internetnutzer durch unseriöse Dialer abgezockt werden. Ebenso wurde ein Betrug mit der Kamera dokumentiert, wie ein Dialer der Firm
a Interfun trotz Beendigung weiterhin die Verbindung zum Telefonnetz hält und die Gebühren weiterlaufen. Beenden konnte man diese Verbindung nur, in dem man auf ein "Verlassen-Button" klickte, welches sehr klein war und auf dem Monitor in der oberen rechten Ecke zu finden war.

Mehr unter: http://62.159.107.115/jump.cfm?id=165513&kid=57681

Wurm installiert Dialer

Wie die Seite dialerschutz.de berichtet, ist zur Zeit ein VBS-Script in Umlauf, welches einen Trojaner installiert. Das Script nennt sich adult.vbs und wird meist per E-Mails im HTML-Format verschickt. Es kann aber auch ganz einfach als Attachment einer Eversendet werden oder auf Seiten im Internet versteckt sein. Das Script hat eine ausgeprägte Schadroutine. So soll es zum -Mail einen auf die Shell zugreifen, zum anderen soll es Werte aus der Registry auslesen und verändern. Wird das Script ausgeführt, t
rägt es in die Registry einen Autostart-Eintrag ein und verändert auch die Sicherheitseinstellungen des Internet-Explorers. Damit wird erreicht, dass nun der Download von nicht signierten Active-X-Steuerelementen ohne Warnung möglich ist. Vorher allerdings wird geprüft, ob der Rechner bereits mit dem Wurm infiziert ist. Ist das nicht der Fall, kopiert sich der Wurm selber unter den Namen fotompg.vbs und erstellt einen Autostart-Eintrag in der Registry. Es werden nun Registry-Einstellungen vorgenommen bzw.
verändert, welche den Modemlautsprecher abschalten. Danach wird geprüft, ob sich ein Dialer im Windowsverzeichnis mit der Bezeichnung MegaXXX.exe befindet. Ist das nicht der Fall, so wird versucht, diesen Dialer herunterzuladen. Sollte der Dialer vorhanden sein, dieser ist hochtarifiert, wird er, so Dialerschutz.de, in Abhängigkeit einer Tages- oder Zufallszahl ausgelöst.

Zwar sollten aktualisierte Antiviren-Programme diesen Wurm erkennen, jedoch wird deutlich, welch große und vor allem neue Gefahr der unbedarfte Internetuser nun ausgesetzt ist. Man kann davon ausgehen, dass dies nicht der einzige Wurm dieser Art bleiben wird...

Mehr unter: http://62.159.107.115/jump.cfm?id=165514&kid=57681

Routenverfolgungstool
zum Download (21.02.2003)

Das Programm heißt "Neotrace" und kann über einen
Link in meinem Downloadbereich heruntergeladen werden.

Anwender einer Firewall bekommen mitunter während eines "Angriffs"
angezeigt, welche IP -Internet Protokoll Nummer- der Angreifer hat.
Diese IP trägt man bei dem Programm "Neotrace" unter "Trace" ein und
kann die Route bis zum Angreifer zurückverfolgen. Die Rückverfolgung
wird grafisch auf einer Landkarte angezeigt. Man kann sich aber auch
eine Liste -ähnlich wie das bordeigene Mittel von Windows
"Tracerroute"- anzeigen lassen. Hat man den Endpunkt gefunden, so
wird der Server des Angreifers im jeweiligen Land und Stadt inklusive
der kompletten Route auf einer Landkarte angezeigt. Die
Routenverfolgung wird live angezeigt und ist fast schon "kinoreif".

Aber nicht nur für Anwender einer Firewall ist das Programm
interessant, sondern auch, wenn man einmal feststellen möchte, wo
eigentlich eine Website, die man gerade besucht hat, tatsächlich
beheimatet ist.

Das Programm ist Freeware und daher kostenlos.

"Neotrace" wurde von mir auf Trojaner, Spyware und Viren geprüft.
Dennoch ist es immer ratsam, nach einem Download mit eigenen Scannern
nach schädlichen Inhalten zu suchen.

Die Größe des Programms liegt unter 1MB, sodass auch mit einem
normalen Telefon-Modem die Downloadzeit unter 5 Minuten liegen
dürfte.

Das Programm läuft auf den Windows-Plattformen 95/98, ME, NT, 2000
und XP.

Online-Sicherheitscheck (15.02. 2003)

wer seinen Rechner auf Angriffsziele überprüfen möchte oder wer
wissen möchte, ob die Einstellungen seiner (Personal)-Firewall auch
korrekt sind, hat nun die Möglichkeit dies nachzuprüfen. Dazu habe
ich auf meiner Seite drei (3) Links eingerichtet, welche zu
speziellen Seiten im Internet führen, von wo aus man sich "angreifen"
lassen kann. Sollte ein Link einmal nicht funktionieren, so kann man
auf einen anderen Link ausweichen. Die Angriffe sind natürlich völlig
harmlos, sie zeigen nur auf, welche Ports offen sind oder an welcher
Stelle im System vom Internet aus -beispielsweise durch einen Hacker-
zugegriffen werden kann.

Es empfiehlt sich, dass man auch einmal alle drei Links ausprobiert,
denn jeder Link bietet andere Möglichkeiten. So bietet der Link 1
(Check-Server 1) folgende Tests:

* Quick-Scan

* Stealth-Scan

* Trojan-Scan

* TCP-Scan

* UDP-Scan

* ICMP-Scan

Scans auf Link 2 (Check-Server 2)

* Quick-Test

* Stealth-Test

* Browser-Test

* Trojans-Test

* Advanced Port Scanner

* Exploits-Test

Scans auf Link 3 (Check-Server 3)

Wie Link 1 und 2

Wer sich eine gute und kostenlose Freeware Firewall downloaden
möchte, kann gerne auf meinen Downloadbereich zurückgreifen. Dort
gibt es die Freeware-Firewalls "ZoneAlarm" und "Outpost". Letztere
habe ich auf meinem System installiert und alle Tests bestanden.
ZoneAlarm ist vollständig in englischer Sprache, während Outpost beim
Installieren auf deutsche Benutzerführung eingestellt werden kann.
Outpost steht einer kommerziellen Personal-Firewall fast in nichts
nach. Allerdings kann man hier -in der Freeware-Version- kein
Passwort einrichten. Es besteht aber die Möglichkeit, die Firewall
auch einmal für 30 Tage in der Vollversion zu testen. Diese
Einstellung kann bei der Installation gewählt werden.

Soweit meine Informationen zum Systemcheck bzw. der Einrichtung
dieser Links.

Tool zum Entfernen von
"w32/sqlslammer". (26.01.2003)

Download unter: http://securityresponse.symantec.com/avcenter/FixSQLex.exe

oder über meine Seite im Downloadbeeich und dort auf den Link zu
Symantec klicken.

Noch ein paar Worte zu dem Wurm. Dieser Wurm wird mittlerweile als
sehr gefährlich eingestuft und in seiner Gefährlichkeit mit dem Wurm
"Code-Red" verglichen. Seine Gefährlichkeit hat der Wurm, dessen
Originalname "w32/sqlslammer" lautet, ja bereits am 25. Januar 2003
eindrucksvoll bewiesen, indem er das Internet teilweise lahmgelegt
hat. Betroffen waren allerdings keine Privatanwender, sondern es
wurden "nur" Microsoft SQL-Server befallen. Die "Internet Security
Systems", erreichbar unter: http://www.iss.net/security_center/ , hat
sogar AlertCon4 ausgerufen, was gleichbedeutent mit einer
"katastrophalen Bedrohung" ist. Um es kurz zu machen, das Internet
wird wieder interessant.

Wie gesagt, Privatanwender sind von diesem Wurm nicht betroffen und
hier sollte keine Panik entstehen. Dennoch und vielleicht auch, wenn
man mit solchen Servern arbeitet, sollte man sich dieses Tool
herunterladen, denn offensichtlich haben die meisten Hersteller von
Antiviren-Programmen noch nicht reagiert. Andererseits darf hier auch
nicht unerwähnt bleiben, dass Microsoft bereits am 24. Juli 2002
einen Patch herausgegeben hat, dass eben einen solchen Angriff
verhindern sollte. Hier haben es wohl die Admins versäumt, diesen
Patch auf ihre Systeme, warum auch immer, aufzuspielen. Das Ergebnis
ist seit gestern bekannt. Zudem gibt es seit einiger Zeit einen
Virenscanner, welcher bereits schon im Datenstrom erkennen kann, ob
eine Infizierung vorliegt oder nicht. Infos darüber findet man auf
der Internetseite von Dirk Küpper, der u.a. auch
Video-Workshops dazu anbietet.

Wurm "w32/sqlslammer"
blockiert Internet! (25.01.2003)

wie wahrscheinlich viele schon selber festgestellt haben, ist der Zugang
zu einigen Seiten im Internet seit heute, den 25. Januar 2003, recht
mühsam. Dies ist kein Problem eures Rechners, sondern liegt an einem
Wurm, der seit heute sein Unwesen im Netz treibt. So jedenfalls laut
einer Warnung der Mailingliste "BugTraq", die auch unter dem
nachfolgenden Link nachgelesen werden kann:

Mehr unter: http://online.securityfocus.com/archive/1/308306/2003-01-22/2003-01-28

Demnach startet der SQL-Wurm eine sog. "DoS-Attacke" über den
UDP-Port 1434. Dieser Angriff ist von Erfolg gekrönt, denn
Internet-Seiten, welche den Internet-Traffic messen, verzeichnen
massive Störungen:

Mehr unter: http://internethealthreport.com/

Wann diese Störungen endgültig behoben sein werden, ist mir natürlich
nicht bekannt, aber im Moment scheint es ja wieder einigermassen
zügig zu funktionieren. Vielleicht sollte man einmal die Nachrichten
beobachten. Wer für diesen Angriff verantwortlich ist, ist bislang
nicht bekannt.

Big Boss sucht Wurm-Opfer (18.01.2003)

Wer dieser Tage eine E-Mail mit dem aussagekräftigen Absender "Big Boss" erhält, der sollte sich schwer überlegen, ob er diese Mail öffnet. Bei dieser Mail handelt es sich um nichts anderes als um den Wurm "w32.Sobig". Dieser hat mittlerweile eine nicht unbeträchtliche Verbreitung gefunden und wird, dank unsachgemässer Handhabung diverser E-Mail Clienten, aber auch durch Vernachlässigung von Antiviren-Programmen -z.B. unregelmässiges oder gar kein aktualisieren der Antiviren-Programme- immer weiter verbreitet.

Mehr unter: http://62.159.107.115/jump.cfm?id=159690&kid=57681

Deutsche Telekom - Geldwäscher für Dialerabzocker? (18.01.2003)

Die Staatsanwaltschaft Bonn ermittelt derzeit gegen die Deutsche Telekom wegen des Verdachts auf Geldwäsche. Ein Telekom-Kunde hat das Unternehmen angezeigt, weil es seiner Ansicht nach widerrechtlich über die Telefonrechnung Geld für die Nutzung eines 0190-Dialers der Firma Interfun eingezogen hat.

Der Kunde ist ausgerechnet ein Beamter beim Bundesministerium für Wirtschaft und Arbeit und außerdem Jurist. Ihm wurden von der Telekom im November vergangenen Jahres knapp 50 Euro für eine Verbindung zu einem "Unterhaltungsdienst" in Rechnung gestellt. Darauf hin fand er heraus, dass einen Monat zuvor eines der Familienmitglieder, die Zugang zum Rechner haben, unwissentlich einen 0190-Dialer installiert hatte.

Mehr unter: http://62.159.107.115/jump.cfm?id=159691&kid=57681

Gebrauchte Festplatten - Fundgrube für Hacker (18.01.2003)

Zwei Wissenschaftler am Massachusetts Institute of Technology haben untersucht, wie viele sensitive Daten über den Handel mit gebrauchten Computern und Computerkomponenten in die falschen Hände gelangen. Simson Garfinkel und Abhi Shelat, die ihre Ergebnisse in einem Aufsatz für die Fachzeitschrift IEEE Security & Privacy beschreiben, hatten unter anderem bei eBay 158 gebrauchte Festplatten gekauft und auf noch vorhandene sensitive Informationen untersucht. Von diesen 158 Festplatten waren nur zwölf so gesäubert, dass keine Daten rekonstruiert werden konnten. Die übrigen Platten enthielten unter anderem Pornographie, Liebesbriefe, Kredikartennummern oder Patientendaten - der "Hauptgewinn" war eine Festplatte, die zuvor offensichtlich in einem Geldautomaten eingebaut war, und auf der neben Kontonummern und Kontoständen auch ein Teil der verwendeten Software zu finden war.

Mehr unter: http://62.159.107.115/jump.cfm?id=159692&kid=57681

Wieder ein neuer Wurm: "w32.sobig". (14.01.2003)

Der Wurm w32.sobig, der erst am 9. Januar 2003 entdeckt wurde,
erfreut sich nun einer massenhaften Verbreitung. Normalerweise
sollten sich die Hersteller von Antiviren-Software bereits darauf
eingestellt haben. Für den Fall, dass Eure Antiviren-Software noch
nicht aktualisiert wurde, gibt es ein kostenloses Tool von
Bitdefender. Dieses kann unter der nachfolgenden URL heruntergeladen
werden:

http://de.bitdefender.com/html/free_tools.php

Informationen darüber, wie w32.sobig funktioniert gibt es unter der
folgenden URL:

http://www.antivir.de/vireninfo/sobig.htm

Mehr darüber auf meiner Seite in der Rubrik "Virus". Dort bitte unter den 10
neuesten Virenwarnungen nachschauen

User, welche ihre Antiviren-Software noch nicht aktualisiert haben,
sollten dies jetzt nachholen. Sollten einige Antiviren-Programm ihre
Virensignaturen noch nicht aktualisiert haben, so können in meinem
Downloadbereich spezielle Fix-Tools der Firmen Symantec und
Bitdefender heruntergeladen werden. Diese Tools sind über einen Link,
der auf die Downloadseiten der Firmen führt, erreichbar. Ich empfehle
den Download des Bitdefender-Tools, da das Symantec-Fixtool
offensichtlich nur die Variante "A" des Wurms entfernt.

Weiterhin ist seit dem 9. Januar 2003 ein weiterer Wurm in Umlauf.
Dieser nennt sich W32.Sobig. Infos über seine Schadfunktion und
Verbreitung findet man ebenfalls auf meiner Seite in der Rubrik
"Virus". Dort bitte unter den 10 neuesten Virenwarnungen nachschauen.
Diese Warnungen aktualisieren sich automatisch, so dass es sich lohnt
dort regelmäßig nachzuschauen und ggf. seine Antivirensoftware zu
aktualisieren.

Sollte ich noch kurzfristig weitere Informationen zu dem Wurm "Sobig"
erhalten, werde ich darüber berichten. Auch in dem Falle, falls es
weitere Fix-Tools geben sollte.

WARNUNG!!!....Gefährliche Internetseite (08.01.2003)

Vor einiger Zeit habe ich sowohl in meinem Newsletter als auch in
meinen Mails darauf hingewiesen, dass Spammer nun eine neue Methode
haben, um ihre Werbung an den Mann zu bringen. Neben den Spam-Mails
nutzen sie nun auch den sog. Windows-Nachrichtendienst. Wie man
diesen bei WIN98/SE ausschaltet habe ich berichtet. Nun machen sich
aber auch die Dialer-Abzocker diese Möglichkeit zu Nutze, indem sie
Seiten ins Internet stellen auf denen sie angeblich Hilfe anbieten.
So auch die Seite:

"save-pc.com"

Die drei W's habe ich natürlich weggelassen, damit man nicht
versehentlich auf einen Link klicken kann.

Gerät man auf die Seite, auf der nicht ersichtlich ist, dass es sich
bei den Links um einen Dialer-Download handelt, so kann es sehr
schnell passieren, dass man sich neben einem Dialer auch diverse
Active-X-Installer einhandelt. Bei dem Dialer handelt es sich um
einen E-Connect Dialer, bei dem angeblich Kosten von 1,86 Euro/Minute
anfallen. Bei den Active-X Komponenten handelt es sich um das sog.
VLoading -auch als Download Class bekannt- welches es ermöglicht,
dass sich unbemerkt Programme auf den Rechner herunterladen können
bzw. die sich dann ausführen lassen.

Der Dialer läßt sich mit dem Dialerscanner- bzw. Warner, YAW3.5,
nicht erkennen und entfernen. Den Entwicklern von YAW ist der Dialer
aber bekannt, sodass man davon ausgehen kann, dass die Signatur des
Dialers in einem der nächsten Updates übernommen wird. Allerdings
muss man der Fairnis halber sagen, dass der Dialer sich normal
deinstallieren läßt.Dabei bleiben die VLoading-Komponenten jedoch auf
dem Rechner erhalten. Diese VLoading-Komponenten werden von Ad-aware
nicht erkannt und entfernt. Mit dem Programm "Spybot Search&Destroy"
lassen sie sich aber aufspüren und entfernen. Das Programm kann von
meiner Seite unter Download heruntergeladen werden. Nach der
Installation sollte ein Update ausgeführt werden, damit man auf dem
neuesten Stand ist.

Wer also auf die Seite "save-pc.com" gerät oder geraten ist, sollte
tunlichst auf keinen Link oder Bildchen klicken. Wer es denn doch
getan hat, der sollte, wie oben beschrieben, das Programm "Spybot"
zum entfernen der VLoading Komponenten benutzen und natürlich vorher
den Dialer installieren. Auch der Browser-Cache sollte geleert
werden, da sich hier auch Komponenten und die Dialer.exe beinhalten
können.

Wer Informationen zum Ausschalten des "Windows-Nachrichtendienst"
sucht, der ist auf der Seite www.trojaner-info.de bestens aufgehoben.
Hier erhält man die Anweisung, wie der Dienst auszuschalten ist
kostenlos.

Neue Variante des YAHA-Wurms breitet sich aus (04.01.2003)

Der im Juni 2002 entdeckte Mail-Wurm "Yaha" verbreitet sich in einer neuen Variante. Win32/Yaha.K zeichnet sich durch die gleichen Schadroutinen aus, er versucht Antiviren-Software auszuhebeln und hängt sich so in das Windows-System, dass er vor dem Start einer jeden .exe-Datei ausgeführt wird. Antiviren-Hersteller raten Anwender, ihre Virensignaturen zu aktualisieren, da die neue Variante nicht unbedingt von alten Signaturdateien erkannt wird.

Mehr unter: http://62.159.107.115/jump.cfm?id=157772&kid=57681

Gesetzentwurf gegen 0190-Missbrauch

Die Bundesregierung hat einen ersten Referentenentwurf für das neue "Gesetz zur Bekämpfung des Missbrauchs von Mehrwertdiensterufnummern" vorgelegt. Kernstück ist die geplante Änderung des Telekommunikationsgesetzes (TKG). Ein neuer Paragraf 43a soll jeden Anbieter, der eine 0190- oder 0136-0138-Nummer zur Nutzung überlassen bekommen hat, dazu verpflichten, eine ladungsfähige Anschrift bei der Regulierungsbehörde für Telekommunikation und Post (RegTP) zu hinterlegen.

Mehr unter: http://62.159.107.115/jump.cfm?id=157773&kid=57681

0900 - Abzockerbremse?

Die Deutsche Telekom will nach eigenen Angaben "Telefon-Abzockern" einen Riegel vorschieben. Zum Jahreswechsel würde die Vorwahl 0900 eingeführt, die schrittweise bis zum Jahresende 2005 die bisherigen 0190-Rufnummern ablöst, teilte der Bonner Konzern heute mit. Die Telekom nehme bei den über ihr Netz gehenden 0900-Verbindungen nach einer Stunde eine Zwangstrennung vor.

Mehr unter: http://62.159.107.115/jump.cfm?id=157775&kid=57681

Warnung vor YAHA.M (02.01.2003)

Der Hersteller des Antiviren-Programms "AntiVir" hat am 31.12.02 die
über den nachfolgenden Link erreichbare Warnung herausgegeben:

http://www.antivir.de/vireninfo/yaham.htm

Meine Bitte mal wieder an alle, dass ihr Eure Virenscanner wieder
einmal aktualisiert.

Und dann habe ich noch einen kleinen Hinweis.

Seit dem 01.01.03 gibt es in Deutschland neben den 0190-Rufnummern
nun auch 0900-Nummern. Wer nicht in diese Falle tappen möchte, der
sollte seine Dialerschutzprogramme entsprechend konfigurieren oder
die Sperrung dieser Nummern bei seinem Telefonanbieter, sofern diese
nicht schon zusammen mit den 0190-Nummern gesperrt wurden,
beantragen.