# Spam? Schadsoftware? Angebliches Adobe-Update



## Unregistriert (25 Dezember 2010)

Heute schlägt die Email auf:


Von: 	[email protected]
	Betreff: 	Sicherheitshinweis für Adobe Flash Player CVE-2010-3654
	Datum: 	25. Dezember 2010 15:52:51 MEZ
	An: 	XXXX XXXXX <[email protected]>

-----------------------------

Sicherheitshinweis für Adobe Flash Player, Adobe Reader und Adobe Acrobat

Freigabedatum: 28. Oktober 2010

Letzte Aktualisierung:16. November 2010

Kennung der Sicherheitslücke: APSA10-05

CVE-Nummer: CVE-2010-3654

Plattform: Alle Plattformen


Zusammenfassung

In Adobe Flash Player 10.1.85.3 und früher für Windows, Macintosh, Linux und Solaris, in Adobe Flash Player 10.1.95.2 und früher für Android, in der authplay.dll-Komponente von Adobe Reader 9.4 und früheren 9.x-Versionen für Windows, Macintosh und UNIX sowie in Adobe Acrobat 9.4 und früheren 9.x-Versionen für Windows und Macintosh wurde eine kritische Sicherheitslücke entdeckt.

Diese Schwachstelle kann zum Absturz der Anwendung führen und einem Angreifer die Übernahme des betroffenen Systems ermöglichen (CVE-2010-3654). Adobe sind Fälle bekannt, in denen die Sicherheitslücke in Adobe Reader 9.x und Adobe Acrobat 9.x bereits ausgenutzt wurde. Derzeit sind keine Fälle bekannt, in denen diese Sicherheitslücke in Adobe Flash Player ausgenutzt wurde.

Adobe empfiehlt Anwendern von Adobe Flash Player 10.1.85.3 und früher für Windows, Macintosh, Linux und Solaris, das Update auf Adobe Flash Player 10.1.102.64 zu installieren. Adobe empfiehlt Anwendern von Flash Player 10.1.95.1 für Android, das Update auf Adobe Flash Player 10.1.105.6 zu installieren. Weitere Informationen finden Sie im Sicherheitsbulletin APSB10-26.

Adobe empfiehlt Anwendern von Adobe Reader 9.4 und früheren Versionen für Windows und Macintosh, das bereits verfügbare Update auf Adobe Reader 9.4.1 zu installieren. Adobe empfiehlt Anwendern von Adobe Reader 9.4 und früheren Versionen für UNIX, das Update auf Adobe Reader 9.4.1 zu installieren, das voraussichtlich ab 30. November 2010 zur Verfügung steht. Adobe empfiehlt Anwendern von Adobe Acrobat 9.4 und früheren 9.x-Versionen für Windows und Macintosh, das Update auf Adobe Acrobat 9.4.1 zu installieren. Weitere Informationen finden Sie im Sicherheitsbulletin APSB10-28.
Betroffene Software-Versionen

* Adobe Flash Player 10.1.85.3 und früher für Windows, Macintosh, Linux und Solaris
* Adobe Flash Player 10.1.95.2 und früher für Android
* Adobe Reader 9.4 und frühere 9.x-Versionen für Windows, Macintosh und UNIX*
* Adobe Acrobat 9.4 und frühere 9.x-Versionen für Windows und Macintosh*

*Hinweis: Adobe Reader 8.x und Adobe Acrobat 8.x sind von dieser Schwachstelle nicht betroffen. Adobe Reader für Android ist von dieser Schwachstelle nicht betroffen.
Schweregrad

Adobe stuft dieses Problem als kritisch ein.


Das offizielle Update, finden sie hier.

Sicherheitshinweis für Adobe Flash Player, Adobe Reader und Adobe Acrobat - CVE-2010-3654
--------------------------------

Die letzte Zeile ist ein Link, der die IP 92.241.190.11 enthält.

Über Whois stößt man dann auch wieder auf die russischen Kriminellen um Heihachi:

inetnum:        92.241.190.0 - 92.241.190.255
netname:        HEIHACHI
descr:          Heihachi Ltd
country:        RU
admin-c:        HEI668-RIPE
tech-c:         HEI668-RIPE
status:         ASSIGNED PA
mnt-by:         RU-WEBALTA-MNT
changed:        [email protected] 20090908
source:         RIPE

person:         Andreas Mueller
address:        Bella Vista, Calle 53, Marbella
address:        Ciudad de Panama, Panama
remarks:        Visit us under gigalinknetwork.com
remarks:        ICQ 7979970
remarks:        Dedicated Servers, Webspace, VPS, DDOS protected Webspace
remarks:        Send abuse ONLY to: [email protected]
remarks:        Technical and sales info: [email protected]
phone:          +5078321458
abuse-mailbox:  [email protected]
nic-hdl:        hei668-RIPE
mnt-by:         WEBALTA-MNT
changed:        [email protected] 20100307
source:         RIPE

% Information related to '92.241.160.0/19AS41947'

route:          92.241.160.0/19
descr:          Wahome IP's =)
origin:         AS41947
mnt-by:         RU-WEBALTA-MNT
mnt-routes:     GIGABASE-MNT
mnt-routes:     RU-WEBALTA-MNT
changed:        [email protected] 20071218
source:         RIPE
DNS records


----------



## Unregistriert (29 Dezember 2010)

*AW: Spam? Schadsoftware? Angebliches Adobe-Update*

Das ist eindeutigi Spam / der Versuch über eine Website eine Schädling unter zu bringen.

Absender heute: 92.241.164.54

Pavel Ivanov
address:         Sound & Vision House, Francis Rachel Str.
address:         Victoria, Mahe, Seychelles
remarks:         ***************************************
remarks:         Virtual and shared hosting, Windows Linux FreeBSD
remarks:         Virtual private Servers (VPS/VDS), Dedicated Servers
remarks:         Protected managed hosting solutions, DDOS protection systems
remarks:         Satellite CPC/VSAT telecomunications
remarks:         Wireless links services.
remarks:         English and Russian Sales contact: ICQ 758291
remarks:         ***************************************
abuse-mailbox:   [email protected]
remarks:         West Europe customers office & NOC
phone:           +44 20 3286 6617
remarks:         East Europe customers office & NOC
phone:           +7 495 657-90-57
mnt-by:          IDEAL-MNT
nic-hdl:         UDF667-RIPE
source:          RIPE # Filtered
% Information related to '92.241.160.0/19AS41947'


----------



## Unregistriert (3 Januar 2011)

*Schadsoftware-Angriff: Angebliches Adobe-Update!*

Hallo zusammen,
habe am 31.12. diese sehr ähnliche Mail erhalten:

(aus Header:
Received: from [192.168.56.1] (unknown [67.212.81.92])
	by mail.srv5heli.de (Postfix) with SMTP id B67D7502608
X-Arcor-Antispam:  BULK_MAIL RECEIVED_FROM_UNKNOWN
)   (aber bei Antispam-Level "mittel" wird sie doch durchgelassen...)


Zitate / Angriffs-aufhänger durch getarnte Links:
"Update: <a href="http://smeuldersvdmeerevenementen.nl/wpimages/1/CVE-20
10-3654.exe">Alle Plattformen</a>
"

"Das offizielle Update, finden sie hier:
<a href="http://smeuldersvdmeerevenementen.nl/wpimages/1/index.html">www.adobe.com</a>
"

whois  smeuldersvdmeerevenementen.nl :
  (über  dawhois.com)
IP Address 	193.202.110.187   

 (mit der IP   über  http://www.heise.de/netze/tools: )
inetnum:        193.202.110.0 - 193.202.110.255
netname:        B-ONE-NET
descr:          One.com A/S
country:        DK
org:            ORG-OA192-RIPE
admin-c:        OA631-RIPE
tech-c:         OTG4-RIPE
status:         ASSIGNED PI
mnt-by:         RIPE-NCC-END-MNT
mnt-by:         ONECOM-MNT
mnt-lower:      RIPE-NCC-END-MNT
mnt-routes:     ONECOM-MNT
mnt-domains:    ONECOM-MNT
source:         RIPE # Filtered


----------

