Date sent:        12. Juni 2001
Subject:          Hoax-Info-Newsletter Nr. 1/2001
Send reply to:    E-Mail-Adresse

Hier ist er wieder!
Nach keineswegs untätigen Monaten ohne Hoax-Info-Newsletter nutze ich ein geringfügiges Abflauen der E-Mail-Anfragen, um endlich mal wieder einen Newsletter zu schreiben. Diese Flut der Anfragen, die nicht nur eine zunehmende Popularität von Hoax-Info.de belegt, sondern mich auch inzwischen bis an die Grenze meiner Kapazität auslastet, hat mich davon abgehalten, meine treuen AbonnentInnen regelmässig auf dem Laufenden zu halten. Nun gibt einiges aufzuarbeiten...
In diesem Zusammenhang sei um Nachsicht gebeten, dass einige Anfragen zur Bestellung oder Abbestellung des Newsletters erst kurz vor dem Versand dieser Ausgabe abgearbeitet wurden. Dies betrifft nur solche Anfragen, die wegen abweichender Adressen manuell bearbeitet werden mussten.

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Bitte besuchen Sie auch die WWW-Seite http://hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.

Antworten Sie bitte nicht an die Absender-Adresse dieses Newsletters, sondern achten Sie bitte darauf, dass die voreingestellte Antwort-Adresse von Ihrem E-Mail-Programm übernommen wird. Senden Sie bitte bei einer Antwort nicht den kompletten Newsletter wieder mit - ich kenne den Inhalt.

Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse

Es sind in der Zwischenzeit einige neue Extra-Blätter hinzu gekommen, andere sind aus der 'Aktuell'-Liste auf der Hauptseite heraus gerutscht. Sie finden eine komplette Liste hier:
http://hoax-info.tubit.tu-berlin.de/hoax/extra.shtml

Eine der in der letzten Ausgabe angekündigten neuen Funktionen auf der Website können Sie schon seit Januar nutzen: Die Suchfunktion. Damit können Sie eine Volltextsuche(!) über alle Seiten machen. Die Benutzung ist genau so wie bei den grossen Suchmaschinen. Weitere Funktionen werden folgen, sobald ich mal wieder ein wenig Luft habe. Anregungen dazu sind willkommen.

Inhalt:

• Aktuell im Umlauf befindliche Hoaxes
  
  • Bud Frogs / Budweiser
  • Multi-Hoax/Buglist
  • Virtual Card / Internet Flower
  • SULFNBK.EXE
  • Psychospiel & Co
  und Kettenbriefe
  • Handy-Betrug, SMS
  • E-Petitionen
  • Leukämie-Kettenbriefe, Knochenmarkspender
  • Die Dotwin-Verschwörung
  • Bonsaikitten
  • Pyramidensysteme
• Viren in E-Mails
  Jennifer Lopez, Miss World, VBSWG
• Melden Sie Hoaxes

Aktuell im Umlauf befindliche Hoaxes

Folgende Hoaxes sind derzeit im Umlauf:

Bud Frogs / Budweiser
Eine falsche Warnung von einem Bildschirmschoner, die Stammleser dieses Newsletters in fast jeder Ausgabe beschrieben finden. Die aktuelle Version ist auch schon ueber ein Jahr alt. Sie wurde ca. im Maerz 2000 von der Urlaubsvertretung eines Polizei-Webmasters intern weitergeleitet und gelangte dann irgendwie ins Freie...

http://hoax-info.tubit.tu-berlin.de/hoax/budfrogs.shtml

Multi-Hoax/Buglist
Es wird von einer Mail mit dem Subject (Betreff) 'Internet Upgrade2' gewarnt, die eine Datei PERRIN.EXE enthalten soll.
Weiterhin ist eine Liste von Dateinamen enthalten, die angeblich von IBM stammen soll. Diese Dateien solle man nicht öffnen. Es sind einige wenige Dateinamen darunter, die tatsächlich schon in Zusammenhang mit Malware (Viren, Würmer) aufgetreten sind.
Mehr darüber:

http://hoax-info.tubit.tu-berlin.de/hoax/buglist.shtml

"A Virtual Card for You"
"An Internet Flower for you"
Ein länglicher Kettenbrief warnt vor E-Mails mit diesen beiden Betreffzeilen. Sie sollen angeblich von Microsoft und McAfee bzw. von Intel entdeckt worden sein und CNN soll darüber berichtet haben. Die Wirkung dieser vermeintlichen Viren ist natürlich wie immer ganz furchtbar und es kann sie auch kein Virenscanner entdecken. Letzteres stimmt sogar - wo nichts ist, gibt es auch nichts zu entdecken...
Es gibt dazu kein Extra-Blatt, beide Titel stehen jedoch in der Hoax-Liste:

http://hoax-info.tubit.tu-berlin.de/hoax/hoaxlist.shtml

Warnung vor Datei SULFNBK.EXE
Ziemlich fatale Folgen könnte dieser Hoax haben, der vor einem angeblichen Virus oder auch einem Trojanischen Pferd in einer völlig harmlosen Windows-Datei warnt. In der Falschmeldung wird detailliert beschrieben, wie man die Datei finden und löschen soll. Zum Glück trifft es eine relativ unwichtige Datei - nicht auszudenken, wie das ausginge, wenn es eine wirklich wichtige Datei getroffen hätte. Dass dies nicht passiert ist, ist reiner Zufall.
Dieser Hoax ist nämlich dadurch entstanden, dass jemand tatsächlich eine infizierte SULFNBK.EXE per E-Mail erhalten hat. Ursache dafür ist der Virus W32/Magistr, der EXE-Dateien im Windows-Verzeichnis und dessen Unterverzeichnissen infiziert und diese per E-Mail versendet. Es hätte also auch eine beliebige andere Windows-Datei treffen können...
Es sei an dieser Stelle nochmal deutlich gesagt: Wenn Sie eine Datei C:\Windows\Command\Sulfnbk.exe auf Ihrem Rechner finden (44 KB), ist alles bestens, das ist bei Windows 98 so (und nur da). Wenn Sie diese Datei nicht haben, ist es auch gut. Haben Sie diese Datei wegen der Falschmeldung gelöscht, stellen Sie sie von der Windows-CD wieder her. Microsoft beschreibt in der dt. Knowledge Base, wie man Dateien aus den CAB-Dateien auf der Windows-CD (Windows 95/98) extrahiert:

http://www.microsoft.com/IntlKB/Germany/Support/kb/D35/D35346.HTM

Wenn Sie sie nicht wieder herstellen, passiert auch nichts, die Datei wird -soweit bekannt- nur im Falle einer missglückten Deinstallation von Windows benötigt, um lange Dateinamen wieder herzustellen.

http://hoax-info.tubit.tu-berlin.de/hoax/sulfnbk.shtml

Psychospiel & Co
Ein weiterer Hoax, der in diesem Jahr die Runde macht, warnt gleich vor drei Viren auf einmal: Psychospiel, Screensaver "Baby Fun" und Emanuel.exe - nur letzterer ist tatsächlich existent und gefährlich. Dieser Dateiname wird von dem Virus/Wurm W32/Navidad.b verwendet.

Bitte leiten Sie generell keine Virenwarnungen weiter, in denen zur Weiterleitung an alle Bekannten aufgefordert wird. In mehr als 99% aller Fälle handelt es sich um Hoaxes, also Falschmeldungen. Wenn Sie unsicher sind, schauen Sie in die Liste der bekannten Hoaxes

Überlassen Sie es den dafür zuständigen Mitarbeitern in Ihrem Unternehmen, die Kollegen über Virengefahren zu informieren.

Aktuelle Virenmeldungen und Links zu weiteren Informationen finden Sie seit Anfang Dezember 2000 auch auf dieser Seite:

http://hoax-info.tubit.tu-berlin.de/virus/aktuell.shtml

Kettenbriefe

• Handy-Betrug, SMS
• E-Petitionen
• Leukämie-Kettenbriefe, Knochenmarkspender
• Die Dotwin-Verschwörung
• Bonsaikitten
• Pyramidensysteme

Handy-Betrug, SMS
Eine uralte Geschichte geht erneut in Deutschland um. Man solle nicht bei einer bestimmten Nummer zurückrufen (0141-....), da waeren Handy-Betrüger am Werk und die Handy-Rechnung könne sich verdoppeln.
Gerüchte, man könne mittels der Zahlenkombination '666' kostenlos SMS-Nachrichten versenden, entbehren ebenso jeder faktischen Grundlage wie die Warnung, ebendiese Funktion würde von Betrügern ausgenutzt, um die SIM-Karte auszulesen und auf Kosten des Besitzers zu telefonieren. Das ist technisch nicht möglich.
Die ganze Story inkl. Stellungnahme der Deutschen Telekom (T-Mobil) dazu:

http://hoax-info.tubit.tu-berlin.de/hoax/telefon.shtml

Desweiteren kursiert ein Kettenbrief, in dem behauptet wird, man könne durch Eingabe eine bestimmten Tastenfolge die Seriennummer (IMEI-Nummer) des Geräts abfragen. Dies solle man auch unbedingt machen und sich die Nummer notieren. Im Falle eines Diebstahls könne man so das Gerät beim Provider sperren lassen.

Richtig ist, dass man diese Seriennummer mit der Tastenfolge *#06# auslesen kann. Richtig ist lt. Nokia ferner, das die IMEI-Nummer bei jedem Verbindungsaufbau übertragen wird. Das ist nicht zu verwechseln mit der ID der SIM-Karte (IMSI). Die Seriennummer wird von den Providern nicht ausgewertet, eine Sperre des Geräts ist also nicht möglich. Dies wurde von D1 und D2 bestätigt.

Trotzdem ist es sinnvoll, diese Nummer zu wissen und einen Diebstahl des Handys bei der Polizei anzuzeigen. Diese kontrolliert bei Personen, die wegen anderer Delikte aufgegriffen werden (z.B. wg. Drogenhandel) diese Nummer und vergleicht sie mit einer Liste als gestohlen gemeldeter Handys. Vielleicht nicht immer, aber immer öfter...

In den letzten Wochen haben vermeintliche Handy- bzw. SMS-Viren für einen gewissen Wirbel gesorgt. Dies ist zwar ausserhalb des Fokus dieses Newsletter, aber es sei darauf hingewiesen, dass es sich dabei nicht um Viren handelt. Man kann allenfalls von DoS-Angriffen (Denial of Service) sprechen, also Angriffen auf die Benutzbarkeit. Es entsteht weder ein dauerhafter Schaden noch werden Daten ausspioniert.

Es kursieren immer wieder Kettenbriefe, in denen dazu aufgerufen wird, durch Hinzufügen des eigenen Namens in eine beiliegende Liste eine Petition zu 'unterschreiben', die sich für eine Sache einsetzt.

Da Kettenbriefe allgemein ein schlechtes Ansehen haben, ist der Nutzen einer solchen Petition für diese Sache eher gering. Auch ist ein Name in einer E-Mail nicht zu vergleichen mit einer richtigen Unterschrift auf einer Unterschriftsliste - er ist völlig wertlos, weil beliebig. Zwangsläufig tauchen alle Namen in einer Petition auf im Schnitt 50 von 100 Listen auf (wenn jeder die Liste einschickt, wenn sein Name der 100. ist, wie das oft gefordert wird). Die E-Mail-Adressen, an die solche Listen geschickt werden sollen, haben damit meist das Ende ihrer Existenz erreicht -- sie werden in aller Regel von den Providern, Universitäten etc. gelöscht, sobald diese Kenntnis vom Sachverhalt erhalten.

Nicht tot zu kriegen sind die Petitionen zum Erhalt des Regenwalds im Amazonasgebiet (das Abholzungsprojekt wurde vor fast einem Jahr im brasilianischen Kongress abgelehnt, die Adresse für die Listen existiert nicht mehr) und zum Schutz der Menschenrechte der Frauen in Afghanistan (die Situation der Frauen dort ist wirklich schlimm, die Adresse für die Listen existiert aber schon seit mehr als zwei Jahren (!) nicht mehr):

http://hoax-info.tubit.tu-berlin.de/hoax/brazil.shtml
http://hoax-info.tubit.tu-berlin.de/hoax/wtaliban.shtml

Es kursiert auch eine Petition wg. der Weigerung der US-Regierung, das Kyoto-Protokoll zum Klimaschutz umzusetzen. Initiator scheint die Gruppe 'Friends of the Earth' (FoE, www.foe.org) zu sein. Die Listen mit den Namen sollen die E-Mail-Adresse des US-Präsidenten geschickt werden. Diese Adresse ist korrekt und gültig. Es sollte sich jedoch niemand der Illusion hingeben, diese Mails bekäme der Präsident auch nur zur Kenntnis. Sie werden vorher ausgefiltert. Auch normale Mails an diese Adresse landen allenfalls in der Pressestelle des Weissen Hauses.

Kettenbriefe sind kein adäquates Medium
zur Kommunikation seriöser Anliegen.
Kettenbriefe ändern nichts.
Niemand, der etwas ändern koennte, nimmt
Kettenbriefe ernst oder auch nur zur Kenntnis.

Leukämie-Kettenbriefe, Knochenmarkspenden
Seit November kursiert ungebremst ein Kettenbrief, in dem angeblich nach Spendern gesucht wird, die eine bestimmte Blutgruppe haben sollen. Als vermeintlicher Absender taucht meist eine Person auf, die den Kettenbrief nur weitergeleitet hat. Mir sind mehrere Fälle bekannt, in denen diese Personen nun mit E-Mails, Anrufen und Faxen geradezu bombardiert werden. Dabei handelt es sich vor allem um eine Julia S. aus Unterhaching, deren voller Name, Adresse und Telefonnummer unter den Mails steht.
Bitte verschonen Sie diese und andere Personen mit Nachfragen oder Hilfsangeboten. Leiten Sie diese Kettenbriefe nicht weiter, Sie könnten selbst zum Opfer solcher Bombardements werden.

Weitere Infos und Adressen von Knochenmarkspender-Dateien finden Sie auf der folgenden Seite:
http://hoax-info.tubit.tu-berlin.de/hoax/knochenmarkspende.shtml

Die Dotwin-Verschwörung
Mich erreichte Anfang Mai ein Kettenbrief, in dem abenteuerliche Behauptungen über die Funktionalität der vom TV-Sender Pro7 im Rahmen eines Gewinnspiels verwendeten so genannten Dotwins aufgestellt wurden. Ein Spionage-Chip sollte enthalten sein, ein D/A-Wandler zur Analyse von Stimmprofilen, 128 KB RAM, u.v.m.
Die Software wuerde über den Fernseher übertragen und die Adressen der Teilnehmer am Gewinnspiel an die GEZ gemeldet, usw...
Meine Enttäuschung beim Sezieren eines Dotwins war dann doch grösser als erwartet - Pappe, nichts als Pappe mit Löchern. Eine dünne Folie mit sechs lichtempfindlichen Flecken - das ist alles.
Vergleichsweise gross war nur das Medien-Echo. Nach der Veroeffentlichung des Extra-Blatts

http://hoax-info.de/dotwin,html

gab es Presseberichte aller Orten. Der Kettenbrief ist auch wirklich lesenswert - unter Unterhaltungsaspekten. Auch das Extra-Blatt selbst erfreut sich grosser Beliebtheit, wie die Zugriffszahlen und die Zuschriften zeigen. Es bietet auch den Volltext der Verschwörungstheorie zum Schmunzeln.

Bonsaikitten
Weit aus weniger lustig wäre die Geschichte der Bonsai-Katzen, wenn sie denn wahr wäre. Angeblich bietet ein Japaner in New York Katzen an, die von klein auf in engen Glasbehältern aufgezogen werden:

http://www.bonsaikitten.com

Diese Website ist reine Satire, die Proteste der 'Tierschützer' sind hingegen echt - die haben es nicht kapiert...
Die Hoax-Liste enthaelt einen Eintrag dazu unter B mit einem Link zu der entsprechenden Seite auf http://urbanlegends.about.com, wo mehr darüber steht.

Pyramidensysteme
Gern mit Multi-Level-Marketing und Schneeballsystemen in einen Topf geworfen (und ordentlich umgerührt), sind Pyramidensysteme doch klar definiert. Es handelt sich (im Falle der E-Mail-Variante, um die es hier geht) um Kettenbriefsysteme, bei denen die Versender neue Teilnehmer werben, die ihrerseits ebenso verfahren sollen usw. Dabei müssen für einen meist vergleichsweise geringen Betrag so genannte Reports erworben werden. Durch diese Art des 'Struktur-Vertriebs' sollen die neuen Teilnehmer mittels Versenden von ein paar hundert oder tausend E-Mails schnell zu Reichtum kommen. Es werden horrende Gewinnsummen versprochen, die natürlich nie realisiert werden können. Wer die Grundrechenarten Addition und Multiplikation beherrrscht, kann sich mit ein wenig gesundem Menschenverstand leicht ausrechnen, dass und warum dies nicht funktionieren kann. Wer das nicht kann oder will, möge es in dem Aufsatz von Prof. Röss nachlesen, der seit Jahren hier zur Verfügung steht.

Es sei ausdrücklich darauf hingewiesen, dass diese Pyramidensysteme (nicht nur in Deutschland) illegal sind. § 6c UWG sieht dafür bis zu zwei Jahre Haft vor. Die ganze Sache ist allerdings bei weitem nicht so einfach, wie die beiden vorstehenden Sätze annehmen lassen könnten. Es kommt auf eine ganze Reihe von Randbedingungen an, ob man sich im Einzelfall als Teilnehmer nun strafbar macht oder nicht. Für juristische Laien (wie mich) ist das kaum in Gänze zu durchdringen. Daher sei dringend empfohlen, einfach die Finger davon zu lassen.

Dazu kommt, dass nahezu jeder Provider das Versenden solcher Kettenbriefe als Verstoss gegen die Nutzungsbedingungen wertet und sich meist leichten Herzens von solchen Kunden trennt - insbesondere natürlich FreeMail-Provider, die ihre Leistungen kostenlos anbieten.

Wer sich von Versendern solcher Kettenbriefe belästigt fühlt, verfahre damit wie mit Spammern (Werbe-Mail-Versender):
Höfliche (!) E-Mail an den Provider des Versenders, inklusive der kompletten Header des Kettenbriefs (teils als 'Mail-Quelltext' bezeichnet, in MS-Clients mit Strg-F3), aus denen sich auch die Information gewinnen lässt, wer denn der Provider ist. Dies schicke man an <abuse@provider>, also z.B. an <abuse@gmx.net>, <de.abuse@hotmail.com>, <abuse@t-online.de>, usw.
Wie man diese Header liest, um den Provider zu ermitteln, erklärt die deutsche E-Mail-Header-FAQ oder freundliche Netizens in der Newsgroup de.admin.net-abuse.mail (kurz: dan-am).
Die FAQ im Web
Darin steht auch für die üblichen E-Mail-Programme, wie man die Header zur Anzeige bringt.

Viren in E-Mails

Viren/Würmer, die sich des Mediums E-Mail für ihre Verbreitung bedienen, nehmen weiter zu. Dazu trägt neben der mangelnden Schulung von Mitarbeitern (bzw. Kenntnisstand der Nutzer) auch die Verwendung dafür anfälliger E-Mail-Software bei.

Derzeit besonders verbreitet scheinen die Viren/Wuermer W32/MTX, W32/Hybris und VBS/Homepage zu sein. Insbesondere Hybris ist sehr aktiv, hier treffen täglich damit infizierte Mails ein.

MTX und Hybris wurden bereits in früheren Ausgaben dieses Newsletters gewürdigt, siehe auch die Extra-Blätter.

Im Januar machte ein als 'AnnaKournikova'-Virus bekannt gewordener VB-Script-Virus die Runde und erreichte eine Verbreitung wie nur Loveletter und Melissa zuvor. Es handelt sich um ein Elaborat eines Baukastensystems, das als VBSWG (VB-Script Worm Generator) bekannt ist. Weitere Derivate aus diesem Baukasten folgten, zunächst VBS/NeueTarife und im Mai VBS/Homepage, um nur die prominentesten zu nennen. VBS/Homepage entstammt der Version 2 des Baukastens, ebenso VBS/Mawanella, der auf Sri Lanka entstand.

VBS/Loveletter.cn (teilweise als .cm),
Loveletter-Variante, angeblich mit Foto von Jennifer Lopez.

W32/MissWorld, mit angeblichem Flash-Movie
Typ: EXE (Win32), E-Mail-Wurm, destruktiv
Verbreitung per E-Mail, (Anhang: MWrld.exe, MissWorld.exe, MWld.exe)
Betreff/Subject: 'Miss World'
Nachricht: 'Hi, [Ihr Name]
  Enjoy the latest pictures of Miss World from various Country'
Schaden: versendet sich per E-Mail, löscht Registry-Backups, modifiziert AUTOEXEC.BAT ('format C:')

Aktuelle Meldungen über in freier Wildbahn (ITW, In The Wild) gesichtete Viren und Würmer finden Sie neuerdings auch hier:

http://hoax-info.tubit.tu-berlin.de/virus/aktuell.shtml

Öffnen Sie grundsätzlich nie Dateianhänge unbekannter Herkunft.
Prüfen Sie alle Dateianhänge mit einem aktuellen Virenscanner, selbst wenn die Mail von Ihrem Chef, Ihrem Ehepartner oder Sysop kommt. Führen Sie nie Programme aus, die per E-Mail kommen.
Wo immer möglich, deaktivieren oder deinstallieren Sie den Windows Scripting Host.

Melden Sie Hoaxes

Um Sie (in Zukunft wieder etwas häufiger) über aktuell im Umlauf befindliche Hoaxes und Kettenbriefe informieren zu können, bin ich auch auf Ihre Mithilfe angewiesen.
Wenn Sie einen Hoax/Kettenbrief erhalten, den Sie als solchen selbst erkennen, also keine Antwort von mir erwarten, schreiben Sie bitte an diese Adresse. Fügen Sie bitte der Betreffzeile den Zusatz [NOREPLY] hinzu. Diese Mails werden nicht beantwortet, aber durchaus gelesen.

Wenn Sie Fragen haben, auf die Sie eine Antwort wünschen, schreiben Sie bitte weiterhin an diese Adresse.
Ich bitte um Verständnis, wenn die Antworten oft aus Textbausteinen bestehen, anders geht es zeitlich nicht mehr.

Presse- und Medienanfragen bitte an diese Adresse.
http://hoax-info.tubit.tu-berlin.de/hoax/presse.shtml

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber

Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

• aktuelle Hoaxes und Kettenbriefe
• Viren in E-Mails

(C) Copyright Frank Ziemann, TU Berlin, 1998-2001, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Ausnahmen:
Sie dürfen ohne besondere Einwilligung des Autors diesen Newsletter unverändert an einzelne Personen weiterleiten.
Verwendung in Intranets.

Informieren Sie sich über sog. E-Mail-Viren:
hoax-info.de
Information ist das einzige Gegenmittel!