Date sent:        26. Sept. 2000
Subject:          Hoax-Info-Newsletter Nr. 5/2000
Send reply to:    E-Mail-Adresse

Hoax-Info-Newsletter Nr. 5/2000

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Bitte besuchen Sie auch die WWW-Seite
hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.

Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse


Inhalt:


Aktuell im Umlauf befindliche Hoaxes

Folgende Hoaxes sind derzeit im Umlauf:

 

California/Wobbler
Es wird vor E-Mails mit dem Titel (Betreff) 'California' gewarnt, die ein Virus namens 'Wobbler' enthalten sollen. Die Beschreibung der Wirkung des angeblichen Virus entspricht der in dem Hoax 'It takes guts to say Jesus'. Es gibt kein Virus, auf das diese Beschreibung zutrifft. Es gibt ein Scherzprogramm (Joke) namens Wobbler, das die Bildschirmanzeige zum Wackeln bringt. Das hat jedoch nichts mit diesem Hoax zu tun.

http://hoax-info.tubit.tu-berlin.de/hoax/wobbler.shtml  

Win A Holiday
Einer der ältesten noch kursieren Hoaxes, den ich immer wieder an dieser Stelle nennen muss. Derzeit ist er im Doppelpack mit 'California/Wobbler' im Umlauf.

 

Zlatko.exe
Eine Kopie des Hoax 'Budweiser Frogs Bildschirnschoner', häufig mit der kompletten Dienstadresse eines Telekom-Mitarbeiters verziert.

http://hoax-info.tubit.tu-berlin.de/hoax/budfrogs.shtml  

Handy-Betrug, SMS
Eine uralte Geschichte geht derzeit vor allem in Österreich wieder um, nachdem sie wohl von einem Mitarbeiter der Polizei in Wien 'abgesegnet' wurde. Im August geisterte die gleiche Falschmeldung in der Schweiz umher, von der Kantonspolizei Zürich 'geadelt'. Der Mitarbeiter dort hat nun auf seiner Mailbox eine automatische Antwort installiert, die darauf hin weist, dass es sich um einen Hoax handelt.

Gerüchte, man könne mittels der Zahlenkombination '666' kostenlos SMS-Nachrichten versenden, entbehren ebenso jeder faktischen Grundlage wie die Warnung, ebendiese Funktion würde von Betrügern ausgenutzt, um die SIM-Karte auszulesen und auf Kosten des Besitzers zu telefonieren. Das ist technisch nicht möglich.
Die ganze Story inkl. Stellungnahme der Deutschen Telekom (T-Mobil) dazu:

http://hoax-info.tubit.tu-berlin.de/hoax/telefon.shtml

Bitte leiten Sie generell keine Virenwarnungen weiter, in denen zur Weiterleitung an alle Bekannten aufgefordert wird. In mehr als 99% aller Fälle handelt es sich um Hoaxes, also Falschmeldungen. Wenn Sie unsicher sind, schauen Sie in die Liste der bekannten Hoaxes:

http://hoax-info.tubit.tu-berlin.de/hoax/hoaxlist.shtml

Überlassen Sie es den dafür zuständigen Mitarbeitern in Ihrem Unternehmen, die Kollegen über Virengefahren zu informieren.


Kettenbriefe

E-Petitionen

Es kursieren immer wieder Kettenbriefe, in denen dazu aufgerufen wird, durch Hinzufügen des eigenen Namens in eine beiliegende Liste eine Petition zu 'unterschreiben', die sich für eine Sache einsetzt.

Da Kettenbriefe allgemein ein schlechtes Ansehen haben, ist der Nutzen einer solchen Petition für diese Sache eher gering.

Kettenbriefe sind kein adäquates Medium zur Kommunikation seriöser Anliegen.

Aufruf zum Tank-Boykott
Ein neuerlicher Versuch, durch einen Kettenbrief einen Aufruf zu einem Boykott von Tankstellen aufzurufen, wurde Mitte September gestartet, wohl als Reaktion auf die derzeitigen Treibstoffpreise. So verständlich die Aufregung darüber auch sein mag -- ein Boykott wie in dem Kettenbrief beschrieben träfe in erster Linie die Pächter von Tankstellen, weniger die Mineralöl-Industrie. Der Aufruf zeugt auch von wenig Kenntnis der realen Zusammenhänge, in denen die Mineralöl- Industrie (dieses Mal) nur eine Nebenrolle spielt.

http://hoax-info.tubit.tu-berlin.de/hoax/tanken.shtml

WAP-Handys zu verschenken
Nachdem eine erste Welle dieser Falschinformationen bereits im März und April dieses Jahres durch Europa zog, wird das Thema nun wieder neu belebt, mit praktisch unverändertem Text.
Weder Nokia, noch Ericsson oder Siemens (oder ein anderer Hersteller) verschenken WAP-Handys an diejenigen, die den Kettenbrief an soundso viele Personen weiterleiten. Siehe Stellungnahmen von Nokia und Ericsson dazu:

http://hoax-info.tubit.tu-berlin.de/hoax/freephone.shtml

Viren in E-Mails

Viren/Würmer, die sich des Mediums E-Mail für ihre Verbreitung bedienen, nehmen weiter zu. Dazu trägt neben der mangelnden Schulung von Mitarbeitern (bzw. Kenntnisstand der Nutzer) auch die Verwendung dafür anfälliger E-Mail-Software bei.

Einige aktuellere Beispiele:

VBS/Funny (I-Worm.Funny)
VBS/Funny tauchte am 15.09.2000 erstmals auf und schien zunächst eine neue Epidemie auszulösen. Dies erwies sich jedoch alsbald als verfrühte Einschätzung. VBS/Funny sucht in der Windows-Registry nach einem Schlüssel, der einen Eintrag für das Online-Banking einer bestimmten Bank enthält. Wird dieser nicht gefunden, versendet sich VBS/Funny per E-Mail an alle Adressen im MAPI-Adressbuch, das vor allem von MS Outlook benutzt wird. Wird der Eintrag hingegen gefunden, geschieht dies nicht, sondern es wird ein im VBS-Code in Form von Hex-Codes enthaltenes Trojanisches Pferd installiert, das Passwörter und anderen Daten ausspioniert und Tastatureingaben protokollieren kann. Die gesammelten Daten werden per E-Mail an eine chinesische E-Mail-Adresse geschickt. Mails, die VBS/Funny enthalten, sehen z.B. so aus:

VBS/Funny.a:
Subject: Funny story
Text: ./.
Attachment: FUNNY_STORY.HTM.vbs

VBS/Funny.b:
Subject: When did you die?
Text: ./.
Attachment: LIFE_ASSURANCE.HTM.vbs

VBS/Funny.c,d:
Subject: Rechnungsabschrift
Text: INVOICE (gefolgt von einer falschen Rechnung)
Attachment: RECHNUNGSABSCHRIFT.DOC.vbs

Je nach Systemeinstellungen (Explorer: Ansicht/Optionen) und E-Mail-Client wird die Endung .vbs teilweise nicht angezeigt.

Mehr Details:

http://hoax-info.tubit.tu-berlin.de/virus/funny.shtml

VBS/Quatro (VBS/Disabled)
Es kursieren aus Pressemeldungen kopierte Warnungen vor diesem Virus. VBS/Quatro kommt per E-Mail mit einem Attachment (Dateianhang) namens UPDATE.VBS und erfordert den Windows Scripting Host (WSH). Die Mails haben den Betreff (subject) 'UPDATE IEXPLORE 5.5' und enthalten eine Nachricht in französischer Sprache. Diese preist die Vorzüge der neuen Version 5.5 des MS Internet Explorers.
VBS/Quatro sammelt Adressen aus Dateien mit den Endungen .htm, .html, .txt und .wap und speichert sie in C:\Testfile.txt.
Es ruft eine Seite auf der Website von Microsoft auf, wo man den Internet Explorer herunterladen kann.
VBS/Quatro löscht Dateien in allen Verzeichnissen ausser dem Haupt- Verzeichnis (C:\), es sei denn, es findet die Datei C:\13a0.txt vor. Auch weitere Laufwerke (D:, E:,...) werden nicht verschont.

http://vil.nai.com/vil/.asp?virus_k=98824
http://www.symantec.com/avcenter/venc/data/vbs.disabled.worm.html
http://www.sophos.com/virusinfo/analyses/vbsquatroa.html

W32/Qaz (W32.HLLW.Qaz, I-Worm.Qaz, Troj/Qaz)
Qaz ist ein Trojanisches Pferd mit Wurm-Eigenschaften. Qaz verbreitet sich über die Netzwerkumgebung von Windows und das Internet. Dazu müssen Freigaben nicht als Laufwerk gemapped sein. Auf infizierten Systemen wird NOTEPAD.EXE gesucht und wenn gefunden, nach NOTE.COM umbenannt, während Qaz sich selbst als NOTEPAD.EXE installiert. Es sendet die IP-Adresse infizierter Rechner per E-Mail an seinen Autor. Es lauscht am TCP-Port 7597 und ermöglicht den externen Zugriff auf infizierte Rechner. Es handelt sich also um ein so genanntes Backdoor- Programm oder RAT (Remote Administration Tool).

http://www.cai.com/virusinfo/encyclopedia/descriptions/qaz.htm
http://www.symantec.com/avcenter/venc/data/w32.hllw.qaz.a.html
http://www.sophos.com/virusinfo/analyses/trojqaz.html

W32/MTX (I-Worm.MTX)
MTX besteht aus mehreren Teilen: Einem Wurm, der für die Verbreitung sorgt; einem Virus, der Dateien infiziert und einem RAT (Remote Administration Tool, Backdoor). Der Wurm benutzt eine ähnliche Technik wie Happy99 (W32/Ska): Er ersetzt die Datei WSOCK32.DLL durch eine modifizierte Version und speichert das Original als WSOCK32.MTX. Damit sendet sich MTX als Attachment an alle Adressen, an die Sie Mails schicken. Die Namen dieser Dateianhänge variieren je nach Datum, hier einige wenige Beispiele:

 README.TXT.pif
 FREE_xxx_sites.TXT.pif
 I_am_sorry.DOC.pif
 MATRiX_Screen_Saver.SCR
 ANTI_CIH.EXE

Achtung: Die Endung .pif wird auch im Explorer nicht angezeigt, selbst wenn dieser so eingestellt ist, dass er alle Endungen anzeigen sollte. Die Datei kann folglich auch nicht im Explorer mit einer harmlosen Endung versehen werden.
MTX unterbindet ausserdem E-Mail- und WWW-Kontakt zu Antivirus-Firmen.

Die Virus-Komponente infizierte Win32-EXE-Dateien (PE-Typ) und installiert folgende versteckte Dateien im Windows-Verzeichnis:

 IE_PACK.EXE - der Wurm
 WIN32.DLL   - der Wurm, mit dem Virus infiziert
 MTX_.EXE    - Backdoor

Die Backdoor-Komponente trägt sich in die Registry ein und nimmt Verbindung mit einem Server im Internet auf, um weitere Dateien und Programme herunterzuladen und zu installieren. Die geschieht bei jedem Windows-Start. MTX_.EXE ist nicht in der Taskliste sichtbar.

http://www.symantec.com/avcenter/venc/data/w95.mtx.html
http://vil.nai.com/vil/dispVirus.asp?virus_k=98797
http://www.avp.ch/avpve/worms/email/mtx.stm

Joke-Viren

Einige Antivirus-Programme erkennen auch eine Reihe von Scherzprogrammen und melden diese dann als Virus 'JOKE_xyz' oder 'Joke.xyz'. Es handelt sich hierbei nicht um Viren! Bitte leiten Sie vor allen Dingen keine Mails mit Warnungen vor solchen 'Viren' weiter. Diese E-Mails werden von den Antivirus-Programmen generiert und an Empfänger und Absender der betreffenden Mail gesandt. Und bei diesem Personenkreis sollte es im Wesentlichen auch bleiben!

http://hoax-info.tubit.tu-berlin.de/hoax/joke.shtml

Konfiguration von E-Mail-Filtern

Dieser Newsletter bleibt bei einigen Firmen regelmässig in den Content-Filtern der Mail-Server hängen und erreicht deshalb in einigen Fällen nicht oder verspätet seine Abonnenten. Urache: Er enthält naturgemäss und unvermeidlich die Namen von Hoaxes und Viren. Allzu einfach gestrickte Filter können das nicht von den 'richtigen' Hoaxes und/oder Viren unterscheiden. Ich möchte sicher stellen, dass der Newsletter, der ja dieselbe Zielsetzung wie diese Filter hat, diese jedoch durch Information und nicht durch Vorenthalten derselben erreichen will, bei allen Abonnenten ankommt. Ich biete daher den Administratoren dieser Mail-Filter an, sie bei der Konfiguration zu unterstützen. Die meisten Lösungen bieten die Möglichkeit, Ausnahmeregeln zu definieren, sie muss nur genutzt werden.

Ich habe daher bereits mit einigen Herstellern Kontakt aufgenommen. Bitte schreiben Sie mir, welche Software Sie einsetzen und ich werde Ihnen geeignete Vorschläge machen, wo dies möglich ist. Aus dem Versand des Hoax-Info Newsletter 4/2000 habe ich bereits folgende Programme als beteiligt identifiziert:

Trend Micro eManager (VirusWall, ScanMail): Ausnahmeregeln möglich
Network Associates WebScan SMTP 4.x : Ausnahmeregeln nicht möglich
MAILsweeper/MIMEsweeper: noch ungeklärt, wahrscheinlich ja
ChineseWall: Hersteller und Produkt unbekannt, bitte Info

Browser-Check

Viele Updates und Patches für die verbreiteten Browser Netscape Communicator und MS Internet Explorer werden angeboten, weil wieder eine neue Sicherheitslücke entdeckt wurde. Durch eine sinnvolle Konfiguration des Browsers und Installation einer aktuellen Version können die daraus entstehenden Risiken meist vermieden werden.
In Zusammenarbeit mit der Zeitschrift c't entstand der Browser-Check, der dabei helfen soll, die eigenen Einstellungen zu prüfen und anzupassen. Es werden auch einige Sicherheitslücken demonstriert; für Linux ist auch etwas dabei.

http://www.heise.de/ct/browsercheck/

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber


Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright TU Berlin, Frank Ziemann, 1998-2000, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Ausnahmen:
Sie dürfen ohne besondere Einwilligung des Autors diesen Newsletter unverändert an einzelne Personen weiterleiten. Sie dürfen diesen Newsletter innerhalb Ihrer Organisation in unveränderter Form zur Information Ihrer User verwenden, in diesem Falle bitte ich nur um formlose Mitteilung.


Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]