Date sent:        11. Feb. 1999 
Subject:          Hoax-Info-Newsletter Nr. 3/99
Send reply to:    E-Mail-Adresse

Hoax-Info-Newsletter Nr. 3/99

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Zur Zeit wird eine deutschsprachige Hoax-FAQ erarbeitet, die dann Bestandteil dieses Newsletters wird. Unter FAQ versteht man eine Sammlung häufig gestellter Fragen (Frequently Asked Questions) sowie der Antworten auf diese Fragen. Eine Mini-FAQ wurde mit der Ausgabe 5/99 dieses Newsletters versandt. Sie kann von der Hoax-Seite an der TU Berlin heruntergeladen werden.

Bitte besuchen Sie einstweilen die WWW-Seite
http://hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes.

Inhalt:

Aktuell im Umlauf befindliche Hoaxes

Derzeit gehen die folgenden Hoaxes verstärkt um:  

Der letztgenannte Hoax warnt vor einer E-Mail mit dem Betreff 'It takes guts to say 'Jesus''. Das ist weder neu noch originell, denn es handelt sich nur um eine umetikettierte Kopie des altbekannten Hoax 'Win a Holiday'. Lediglich der Betreff (subject, title) wurde verändert. Auch die Warnung vor Mails mit dem Betreff 'RETURNED OR UNABLE TO DELIVER' ist bereits in vielen Hoaxes mit eingebaut und wird dadurch auch nicht glaubwürdiger.

Die Mails, vor denen gewarnt wird, existieren nicht. Auch hat weder IBM (wie angeblich hier) noch Microsoft, AOL oder sonstwer jemals eine solche Warnung in Umlauf gebracht. Kein Virus kann durch eine reine Textnachricht übertragen werden.

Der erstgenannte Hoax behauptet, es gäbe bei Disney etwas zu gewinnen, wenn man die Mail an möglichst viele Leute weiterschickt. Dies würde durch ein von Microsoft entwickeltes System zur Zählung weitergeleiteter Mails ausgewertet und man teste dieses System gerade. Zur Belohnung für's Mitmachen könne man etwas gewinnen.
Auch das ist natürlich Unfug -- ein solches System existiert nicht und ist auch technisch so nicht möglich.

Hilferufe per Kettenbrief

Seit einiger Zeit kursieren Kettenbriefe, in denen verschiedene Aufrufe zur Unterstützung von Menschen in Not zirkuliert werden.
Das scheint derzeit voll im Trend zu liegen, denn es werden ständig mehr.

Dazu einige grundsätzliche Bemerkungen:

Kettenbriefe sind Spam bzw. UBE (Unsolicited Bulk E-Mail, unverlangte Massen-E-Mail) und als solche werden sie von den meistens Empfängern als Belästigung emfunden, ganz unabhängig vom Inhalt.

Solche Kettenbriefe zirkulieren munter weiter und sind auch nicht aufzuhalten, wenn der Anlaß längst sein Verfallsdatum überschritten hat. Es gibt keine brauchbaren Mechanismen, wie die Aktualität eines solchen Kettenbriefs vom Empfänger überprüft werden kann.

Denkbar wären schon welche, sie werden aber nicht mal im Ansatz verwendet. Stattdessen werden Telefonnummern und/oder E-Mail-Adressen angegeben, die dann zu einer Überflutung der Besitzer mit Anfragen nach der Aktualität führen, sodaß das jeweilige Kommunikationsmittel für den Besitzer wirksam unbrauchbar gemacht wird.

Dabei bleibt stets völlig offen, ob die, denen geholfen werden soll, von dieser Kettenbriefaktion überhaupt wissen und ggf. das auch so wollten. Meist sind es 'wohlmeinende' Dritte, die eine solche Aktion lostreten, ohne sich Gedanken über die Folgen zu machen und ohne geeignete Vorkehrungen zu treffen, diese abzuwenden (WWW-Seite, spez. E-Mail-Adresse).

Die Initiatoren/Betroffenen lernen so auf die harte Tour, dass ein Kettenbrief kein geeignetes Mittel für seriöse und naturgemäß zeitlich begrenzte Notrufe, Spendenaufrufe und dergleichen ist. Siehe dazu auch http://hoax-info.de, darin die Extra-Blätter.

Leisten Sie diesem Mißbrauch keinen Vorschub, belästigen Sie nicht andere, indem Sie dergleichen weiter verbreiten helfen. Auch das ist Spam (UBE, s.o.)!

Echte Viren per E-Mail

Bei den im folgenden genannten Viren (bzw. sog. Malware) handelt es sich nicht um E-Mail-Viren. Sie werden nicht durch das Lesen einer E-Mail aktiviert, sondern durch das Ausführen bzw. Öffnen eines Attachments.

1. Happy99

Verschiedene Medien warnen vor einem Virus mit Namen 'Happy99'. Dies ist kein Hoax, die Meldungen sind im Kern zutreffend. Es handelt sich allerdings nicht um ein Virus, sondern um einen sog. Wurm, der sich über das Netzwerk (inkl. DFÜ-Netzwerk) verbreitet. Er gelangt in der Regel per E-Mail-Anhang, aber eben auch über das Netzwerk auf weitere Rechner (z.B. als HAPPY99.EXE).
Genauere Beschreibungen finden Sie z.B. hier:

http://www.avp.ch/avpve/worms/happy.stm (AVP, engl.)
http://beta.nai.com/public/dataFiles/Valerts/vinfo/w32ska.htm (NAi/McAfee, engl.)

Dieser Wurm wird als I-Worm.Happy (AVP) oder W32/Ska (McAfee) identifiziert.

2. IE9901.EXE

Ein Trojaner ist hingegen Ataka oder IE0199.EXE, der unter dem letztgenannten Dateinamen als E-Mail-Anhang verschickt wird. Es soll sich vorgeblich um ein Update für den MS Internet Explorer handeln, die E-Mail-Adresse des Absenders ist jedoch gefälscht.

Er initiiert eine sog. DoS- (Denial of Service) Attacke gegen drei Web-Server. Diese werden dadurch mit Anfragen überhäuft und ggf. überlastet.
Eine genauere Beschreibung finden Sie z.B. hier:

http://beta.nai.com/public/dataFiles/Valerts/vinfo/ataka.htm (NAi/McAfee, engl.)

3. Caligula

Schließlich noch ein Makro-Virus, das die geheimen (privaten) PGP-Schlüssel ausspioniert und per FTP an den Server der Hacker-Gruppe Codebreakers schickt. Es hört auf den Namen W97M.Caligula.a und ist ein Word97-Makro-Virus (daher der Namenspräfix).
Zwar können Hacker auch mit den privaten PGP-Schlüsseln ohne das zugehörige Passwort (Passphrase) nichts anfangen, bei sehr einfachen Passwörtern kann man diese jedoch in aller Ruhe mit einem Wörterbuch innerhalb vertretbarer Zeit knacken.
Eine genauere Beschreibung finden Sie z.B. hier:

http://beta.nai.com/public/dataFiles/Valerts/vinfo/ataka.htm (NAi/McAfee, engl.)

Grundsätzlich muß vor angehängten EXE-Dateien gewarnt werden, sie können Trojanische Pferde enthalten (auch wenn sie scheinbar etwas harmloses machen) oder mit Viren infiziert sein.

Das gleiche gilt für Dokumente in Datei-Formaten von MS-Office- Produkten (Word, Excel, Access, PowerPoint). Inzwischen gibt es für alle diese Anwendungen Makro-Viren, die z.T. auch zwischen einzelnen oder allen Office-Applikationen wechseln können.

Angehängte Multimedia-Dateien, die nicht selbstlauffähig sind, also z.B. .AVI, .MOV, .MP3 oder .WAV, die ein Abspielprogramm wie z.B. den Media Player erfordern, sind nicht gefährlich.

Aktuelle Versionen von Antivirus-Programmen sollten mit den neuesten Viren-Signatur-Updates in der Lage sein, diese Viren zu erkennen.
Wenn Sie eine E-Mail mit einem zweifelhaften Attachment (Anhang) erhalten, löschen Sie diese Datei -- führen Sie sie nicht aus.

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber

P.S. Es sind noch einige Exemplare der CD-ROM zur VIRUS.GER-Con'98 erhaeltlich (s. Newsletter 1/99). Bestellungen an Howard Fuhs.

Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright TU Berlin, Frank Ziemann, 1998-99, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors.


Wenn Sie den Hoax-Info-Newsletter abbestellen möchten, schreiben Sie eine E-Mail an

  majordomo@zrz.tu-berlin.de

Das Betreff- (Subject-) Feld können Sie leer lassen oder irgendwas hineinschreiben, es wird nicht ausgewertet. In den eigentlichen Text der Mail (Body) schreiben Sie genau zwei Zeilen:

  unsubscribe hoax-info [e-mail-adresse]
  end

Die Angabe der E-Mail-Adresse ist nur nötig, wenn sie von der Absender-Adresse abweicht und sollte dann ohne die []-Klammern erfolgen.


Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]