Date sent:        18. Aug. 1998 
Subject:          Hoax-Info-Newsletter Nr. 3/98
Send reply to:    E-Mail-Adresse

Hoax-Info-Newsletter Nr. 3

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, "echte" E-Mail-Viren und ähnliches.

Zur Zeit wird eine deutschsprachige Hoax-FAQ erarbeitet, die dann Bestandteil dieses Newsletters wird. Unter FAQ versteht man eine Sammlung häufig gestellter Fragen (Frequently Asked Questions) sowie der Antworten auf diese Fragen.

Bitte besuchen Sie einstweilen die WWW-Seite http://hoax-info.tubit.tu-berlin.de/hoax/

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes.


Inhalt:

Die dritte Ausgabe des Hoax-Info-Newsletter beschäftigt sich aus aktuellem Anlaß nochmals mit Berichten über Sicherheitslücken in populären E-Mail-Programmen.

Dazu kommt eine Meldung über ein sog. Trojanisches Pferd, das sich als Sicherheits-Upgrade für den Internet Explorer ausgibt.

  1. MS Outlook + Netscape Messenger
  2. Eudora Pro
  3. gefälschtes Update für Internet Explorer

1. MS Outlook/Netscape Messenger und lange Dateinamen in Anhängen

Die Situation

Es wurde berichtet (s. Newsletter 2/98), daß es möglich sei, durch gezielte Manipulation von Attachments (Anhängen) beliebigen Programmcode auszuführen, ohne daß das Attachment geöffnet werden muß. Allein das Herunterladen der E-Mail soll ausreichen, um den Programmcode auszuführen. Dies ist möglich, weil die u.g. Programme mit Dateinamen von Attachments >200 Zeichen nicht richtig umgehen können und dabei abstürzen.

Betroffen sind folgende Programme: Explizit nicht betroffen hiervon:

Was tut Microsoft?

Microsoft hat für die englische Version von OutlookExpress 4.01 bereits ein Update fertiggestellt (sie wurden bereits vor einiger Zeit informiert), Updates für die deutschen Versionen werden folgen.

Was tut Netscape?

Netscape hat ein Update für Anfang/Mitte August angekündigt, das wahrscheinlich in dem ohnehin für diesen Zeitpunkt vorgesehenen Communicator 4.06 enthalten sein wird.

Netscape Communicator 4.06 (engl.) ist jetzt verfügbar, die deutsche Version kommt wie immer etwas später.

Es sind Versionen für alle von Netscape unterstützten Plattformen verfügbar (Win 3.x/9x/NT; Mac 68K/PPC; Unix: Linux 1.2/2.0, SunOS, AIX4, IRIX, HP-UX,..). Auch Navigator_standalone, d.h. ohne Extras wie Mail- und News-Client, Composer etc. ist für alle Plattformen verfügbar.

Wenn der Server von Netscape zu langsam ist (bzw. Ihre Verbindung dorthin), versuchen Sie es doch zur Abwechslung mal hier:

http://hoax-info.tubit.tu-berlin.de/software/netscape.shtml

2. Eudora Pro 4.0x und MSIE 4.x

Die Situation:

Es wird berichtet, daß Eudora (eines der populärsten Mail-Programme) Scripte in HTML-Mails ausführt, die Dateien auf der lokalen Festplatten manipulieren (können).

Fakt ist ...

... daß dieses Phänomen nur in der Kombination Eudora Pro 4.0x mit MS Internet Explorer 4.x auftritt und auch nur unter Windows.

Die Hinterlist dabei ist, daß sich der Link auf eine lokale Dateioperation hinter einem vermeintlichen Link auf eine 'ganz normale' URL (WWW-Adresse) verstecken kann. D.h. Sie sehen einen Link auf (z.B.) http://www.microsoft.com und ausgeführt wird nach Klicken auf den Link ein Script (JScript oder VBscript), daß Dateien auf Ihrer Festplatte manipuliert. Es kann auch ein lokales Programm direkt aufgerufen werden.

Eudora benutzt Komponenten des MSIE 4.x, um HTML-codierte Mails darzustellen, wenn der MSIE 4 installiert ist.

Leider wurde vom Eudora-Hersteller Qualcomm übersehen, daß die MS-Variante von JavaScript (genannt JScript) auch lokale Dateien manipulieren darf. Bei der Verwendung von IE-Komponenten kann man einstellen, welche Komponenten mit welchen aktivierten Optionen verwendet werden sollen. D.h. Qualcomm hätte das Problem vermeiden können.

Mit dem Internet Explorer 3.x oder anderen Browsern tritt das Problem nicht auf, ebensowenig mit Eudora 3.x oder Eudora Light. Auch die Mac-Version scheint nicht betroffen zu sein.

Es sind bislang keine Berichte aufgetaucht, daß diese Sicherheitslücke in der Praxis von böswilligen Absendern ausgenutzt worden sei.

Was tut Qualcomm?

Auf der Eudora-WebSite gibt es eine öffentliche Beta-Version von Eudora Pro 4.1, die das Problem nicht mehr enthalten soll.

http://eudora.qualcomm.com/security.html

Außerdem gibt es einen Patch für Eudora Pro 4.0x.

Was können Sie tun?

Laden Sie sich den Fix-Patch für Eudora Pro herunter und installieren Sie ihn.

http://eudora.qualcomm.com/security.html

In der Zwischenzeit können Sie in Eudora Pro die Verwendung von MSIE als Viewer deaktivieren.


3. Gefälschtes Upgrade für Internet Explorer

Die Situation:

Unter der Bezeichnung IE080898.EXE wird ein angebliches Upgrade für den MS Internet Explorer angeboten. Es soll angeblich Sicherheitslücken im MSIE beseitigen.

Die Datei kommt in einer E-Mail, die von Microsoft zu kommen scheint (!):
8<----------------------------------------------
From: Microsoft Internet Explorer Support Center 
<IEsupport@microsoft.com>
 Subject: FREE! Your upgrade for Microsoft Internet Explorer
---------------------------------------------->8

Fakt ist:

Tatsächlich verbirgt sich in dieser Datei, die an die Mail (wirklicher Urprung: Bulgarien) angehängt ist, ein sog. Trojaner (Trojanisches Pferd).

Es installiert sich als SHELL32.EXE im Windows/System-Verzeichnis und trägt sich in der Registry so ein, daß er ab dem nächsten Windows-Neustart stets automatisch ausgeführt wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run shell32.exe

Er versucht dann mittels System-Aufrufen, E-Mails mit zufällig ausgewähltem Betreff, Absender und Inhalt zu versenden. Diese werden aus im Programm enthaltenen Daten bausteinartig zusammengesetzt.
Weitere Schadensfunktionen sind derzeit nicht bekannt.

Dieser Trojaner wird auch unter folgenden Bezeichnungen geführt:
BadSector, Snake (DataFellows), IE_FAKE_UPDATE_TROJAN (McAfee).

Was kann man dagegen tun?

Viele Antiviren-Programme enthalten in der allerneuesten Version bereits eine Erkennungsroutine für diesen Trojaner (z.B. AVP, F-Secure, McAfee,...).

Wenn Sie eine solche Mail erhalten (haben), löschen Sie sie und führen Sie vor allem nicht das angehängte Programm aus.

Haben Sie dies bereits getan, löschen Sie die Datei SHELL32.EXE (nicht SHELL32.DLL !!) im Windows/System-Verzeichnis (NT: /WinNT/system32/) und entfernen Sie den o.g. Eintrag in der Registry mit RegEdit. Löschen Sie dazu im rechten Fenster von RegEdit nur diesen einen Eintrag.

Oder benutzen Sie die neueste Version eines Antivirus-Programms, um das Problem zu erkennen und zu beseitigen.
Hierzu benötigen Sie u.U. noch das jeweils aktuelle Update für Ihre AV-Software. Für Mcafee warten Sie auf die Version 3108 der DAT-Dateien (dat-3108.zip) oder laden Sie sich eine Beta-Version herunter.

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber


Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright TU Berlin, Frank Ziemann, 1998, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors.


Wenn Sie den Hoax-Info-Newsletter abbestellen möchten, schreiben Sie eine E-Mail an

  majordomo@zrz.tu-berlin.de

Das Betreff- (Subject-) Feld können Sie leer lassen oder irgendwas hineinschreiben, es wird nicht ausgewertet. In den eigentlichen Text der Mail (Body) schreiben Sie genau zwei Zeilen:

  unsubscribe hoax-info [e-mail-adresse]
  end

Die Angabe der E-Mail-Adresse ist nur nötig, wenn sie von der Absender-Adresse abweicht und sollte dann ohne die []-Klammern erfolgen.


Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.tubit.tu-berlin.de/hoax/
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]