Date sent:        08. Dez. 2000
Subject:          Hoax-Info-Newsletter Nr. 6/2000
Send reply to:    E-Mail-Adresse

Hoax-Info-Newsletter Nr. 6/2000

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Bitte besuchen Sie auch die WWW-Seite
hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.

Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse


Inhalt:


Aktuell im Umlauf befindliche Hoaxes

Folgende Hoaxes sind derzeit im Umlauf:

 

California/Wobbler
Es wird vor E-Mails mit dem Titel (Betreff) 'California' gewarnt, die ein Virus namens 'Wobbler' enthalten sollen. Die Beschreibung der Wirkung des angeblichen Virus entspricht der in dem Hoax 'It takes guts to say Jesus'. Es gibt kein Virus, auf das diese Beschreibung zutrifft. Es gibt ein Scherzprogramm (Joke) namens Wobbler, das die Bildschirmanzeige zum Wackeln bringt. Das hat jedoch nichts mit diesem Hoax zu tun.

http://hoax-info.tubit.tu-berlin.de/hoax/wobbler.shtml

 

Win A Holiday
Einer der ältesten noch kursieren Hoaxes, den ich immer wieder an dieser Stelle nennen muss. Derzeit ist er im Doppelpack mit 'California/Wobbler' im Umlauf.

 

Zlatko.exe
Eine Kopie des Hoax 'Budweiser Frogs Bildschirnschoner', häufig mit der kompletten Dienstadresse eines Telekom-Mitarbeiters verziert.

http://hoax-info.tubit.tu-berlin.de/hoax/budfrogs.shtml

 

Multi-Hoax/Buglist
Es wird von einer Mail mit dem Subject (Betreff) 'Internet Upgrade2' gewarnt, die eine Datei PERRIN.EXE enthalten soll.
Weiterhin ist eine Liste von Dateinamen enthalten, die angeblich von IBM stammen soll. Diese Dateien solle man nicht öffnen. Es sind einige wenige Dateinamen darunter, die tatsaächlich schon in Zusammenhang mit Malware (Viren, Würmer) aufgetreten sind.
Mehr darüber:

http://hoax-info.tubit.tu-berlin.de/hoax/buglist.shtml

 

Handy-Betrug, SMS
Eine uralte Geschichte geht derzeit vor allem in Österreich wieder um, nachdem sie wohl von einem Mitarbeiter der Polizei in Wien 'abgesegnet' wurde. Im August geisterte die gleiche Falschmeldung in der Schweiz umher, von der Kantonspolizei Zürich 'geadelt'. Der Mitarbeiter dort hat nun auf seiner Mailbox eine automatische Antwort installiert, die darauf hin weist, dass es sich um einen Hoax handelt.

Gerüchte, man könne mittels der Zahlenkombination '666' kostenlos SMS-Nachrichten versenden, entbehren ebenso jeder faktischen Grundlage wie die Warnung, ebendiese Funktion würde von Betrügern ausgenutzt, um die SIM-Karte auszulesen und auf Kosten des Besitzers zu telefonieren. Das ist technisch nicht möglich.
Die ganze Story inkl. Stellungnahme der Deutschen Telekom (T-Mobil) dazu:

http://hoax-info.tubit.tu-berlin.de/hoax/telefon.shtml

Desweiteren kursiert ein Kettenbrief, in dem behauptet wird, man könne durch Eingabe eine bestimmten Tastenfolge die Seriennummer (IMEI-Nummer) des Geräts abfragen. Dies solle man auch unbedingt machen und sich die Nummer notieren. Im Falle eines Diebstahls könne man so das Gerät beim Provider sperren lassen.

Richtig ist, dass man diese Seriennummer mit einer Tastenfolge auslesen kann, man kann aber auch einfach im Vertrag mit dem Provider nachschauen. Richtig ist lt. Nokia ferner, das die IMEI-Nummer bei jedem Verbindungsaufbau übertragen wird. Das ist nicht zu verwechseln mit der ID der SIM-Karte (IMSI). Die Seriennummer wird von den Providern nicht ausgewertet, eine Sperre des Geräts ist also nicht möglich.

Trotzdem ist es sinnvoll, diese Nummer zu wissen und einen Diebstahl des Handys bei der Polizei anzuzeigen. Diese kontrolliert bei Personen, die wegen anderer Delikte aufgegriffen werden (z.B. wg. Drogenhandel) diese Nummer und vergleicht sie mit einer Liste als gestohlen gemeldeter Handys. Vielleicht nicht immer, aber immer öfter...

Bitte leiten Sie generell keine Virenwarnungen weiter, in denen zur Weiterleitung an alle Bekannten aufgefordert wird. In mehr als 99% aller Fälle handelt es sich um Hoaxes, also Falschmeldungen. Wenn Sie unsicher sind, schauen Sie in die Liste der bekannten Hoaxes:

http://hoax-info.tubit.tu-berlin.de/hoax/hoaxlist.shtml

Überlassen Sie es den dafür zuständigen Mitarbeitern in Ihrem Unternehmen, die Kollegen über Virengefahren zu informieren.

Aktuelle Virenmeldungen und Links zu weiteren Informationen finden Sie seit Anfang Dezember 2000 auch auf dieser Seite:

http://hoax-info.tubit.tu-berlin.de/virus/aktuell.shtml

 

ICQ-Hoaxes
So richtig was Neues gibt es zum Thema eigentlich nicht, in ICQ kursieren dieselben Hoaxes wie seit Jahren schon und z.T. auch die, die es per E-Mail gibt. Letztere s.o., erstere sind z.B.:

'User #....... ist ein Hacker!'

ICQ Version 3.0 (oder andere Version) soll einen Virus enthalten.
(Siehe dazu: http://www.icq.com/support/virus.html )

Wenn nicht genug Leute diese Nachricht weiterleiten, wird ICQ zugemacht/nicht mehr kostenlos sein.
(Siehe dazu: http://www.icq.com/support/rumors.html )

'Neuer Virus biber.exe. Geht auf Award BIOS. Unbedingt auf Forward!'

'nicht öffnen; wenn wir 360000 haben bekommen wir ICQ2000c'

'alle Dateien auf www.....com sind mit Virus CIH infiziert'

-> Einziger Vorteil von ICQ-Hoaxes: Sie sind kürzer.


Kettenbriefe

E-Petitionen

Es kursieren immer wieder Kettenbriefe, in denen dazu aufgerufen wird, durch Hinzufügen des eigenen Namens in eine beiliegende Liste eine Petition zu 'unterschreiben', die sich für eine Sache einsetzt.

Da Kettenbriefe allgemein ein schlechtes Ansehen haben, ist der Nutzen einer solchen Petition für diese Sache eher gering.
Die E-Mail-Adressen, an die solche Listen geschickt werden sollen, haben damit meist das Ende ihrer Existenz erreicht -- sie werden in aller Regel von den Providern, Universitäten etc. gelöscht, sobald diese Kenntnis vom Sachverhalt erhalten.

Kettenbriefe sind kein adäquates Medium zur Kommunikation seriöser Anliegen.

Leukämie-Kettenbriefe, Knochenmarkspenden
In letzter Zeit kursieren vor allem zwei Kettenbriefe, in denen angeblich nach Spendern gesucht wird, die eine bestimmte Blutgruppe haben sollen. Als Absender tauchen deutlich mehr Namen auf, z.T. mit voller Adresse. Dabei handelt es sich meist um Personen, die den Kettenbrief nur weitergeleitet haben. Mir sind mehrere Fälle bekannt, in denen diese Personen nun mit E-Mails, Anrufen und Faxen geradezu bombardiert werden. Dabei handelt es sich vor allem um eine Julia S. aus Unterhaching und eine Petra G. aus Wien, deren voller Name, Adresse und Telefonnummer unter den Mails stehen. Bitte verschonen Sie diese und andere Personen mit Nachfragen oder Hilfsangeboten. Leiten Sie diese Kettenbriefe nicht weiter, Sie könnten selbst zum Opfer solcher Bombardements werden.

Weitere Infos und Adressen von Knochenmarkspender-Dateien finden Sie auf der folgenden Seite:
http://hoax-info.tubit.tu-berlin.de/hoax/kms.html

Krebskranke Kinder
Eine weitere derzeit grassierende Seuche sind Tränendrüsenbriefe, in denen mit eindringlichen Worten, die nachdenklich stimmen sollen, auf ein angebliches krebskrankes Kind hingewiesen wird. Dabei wird ordentlich auf die Tränendrüsen gedrückt.

Der längliche Text enthält Sätze wie
"Nimm Dir ein wenig Zeit und lese"
"Tanze nicht so schnell" usw.

Schließlich folgt dann der disqualifizierende Abschnitt, in dem mal wieder behauptet wird, durch die Weiterleitung des Kettenbriefs würde pro Kopie ein Geldbetrag für die Behandlung des Mädchens gespendet. Da dies technisch nach wie vor nicht möglich ist, muss es sich folglich um einen Hoax, einen schlechten Scherz handeln.
Mehr darüber:
http://hoax-info.tubit.tu-berlin.de/hoax/slowdance.shtml

WAP-Handys zu verschenken
Nachdem eine erste Welle dieser Falschinformationen bereits im März und April dieses Jahres durch Europa zog, wird das Thema nun wieder neu belebt, mit praktisch unverändertem Text, nur die Rollen der Hersteller, die angeblich so für sich werben, wechseln.
Weder Nokia, noch Ericsson oder Siemens (oder ein anderer Hersteller) verschenken WAP-Handys an diejenigen, die den Kettenbrief an soundso viele Personen weiterleiten. Siehe Stellungnahmen von Nokia, Ericsson und Siemens dazu:

http://hoax-info.tubit.tu-berlin.de/hoax/freephone.shtml

Viren in E-Mails

Viren/Würmer, die sich des Mediums E-Mail für ihre Verbreitung bedienen, nehmen weiter zu. Dazu trägt neben der mangelnden Schulung von Mitarbeitern (bzw. Kenntnisstand der Nutzer) auch die Verwendung dafür anfälliger E-Mail-Software bei.

Derzeit besonders verbreitet scheinen die Viren/Würmer W32/MTX, W32/Hybris und W32/Blebla ('Romeo&Julia') zu sein.

W32/MTX wurde bereits in der vorherigen Ausgabe dieses Newsletters gewürdigt, siehe auch Extra-Blatt und Entfernungsanleitung:

http://hoax-info.tubit.tu-berlin.de/virus/mtx.shtml
http://hoax-info.tubit.tu-berlin.de/virus/mtx_removal.shtml

W32/Hybris gibt es in mehreren Versionen, es kann sich über das Internet (bzw. die Newsgroup alt.comp.virus) selbst Updates und neue Komponenten holen und sein Verhalten dadurch komplett ändern. Es versendet sich per E-Mail mit einem Attachment, das die Extension .exe oder .scr trägt. W32/Hybris.C kommt u.a. in Mails von <hahaha@sexyfun.net> mit einer Geschichte von Schneewittchen und den sieben Zwergen in verschiedenen Sprachen (nur eine Sprache pro Mail). Im Englischen lautet der Betreff dann z.B. 'Snow White and the seven dwarfs...' und die angehängte Datei kann z.B. 'dwarf4you.exe' heissen.

W32/Blebla ist ebenfalls Gegenstand kursierender Warnungen vor einem Virus. Es ist meist von einem 'Romeo und Julia' Virus die Rede. Dies wohl daher, weil die Dateianhänge der ursprünglichen Version die Namen 'xromeo.exe' und 'xjuliet.chm' lauten.
W32/BleBla nutzt bestehende Sicherheitslücken in Microsoft-Produkten aus, die durch Updates beseitigt werden können und sollten.
Siehe dazu:

http://www.microsoft.com/technet/security/bulletin/ms99-032.asp
http://www.microsoft.com/technet/security/bulletin/ms99-042.asp
http://www.microsoft.com/technet/security/bulletin/ms00-037.asp
http://www.microsoft.com/technet/security/bulletin/ms00-046.asp

Ebenfalls in die Kategorie 'kein Hoax, sondern echt' gehören u.a. W32/Music, W32/ProLin (Troj_Shockwave.A) und VBS/Jean.
W32/Music verspricht Weihnachtsmusik, W32/ProLin eine tolle Animation im Shockwave-Format und VBS/Jean günstige Weihnachtseinkäufe im Web.

Aktuelle Meldungen über in freier Wildbahn (ITW, In The Wild) gesichtete Viren und Würmer finden Sie neuerdings auch hier:

http://hoax-info.tubit.tu-berlin.de/virus/aktuell.shtml

Öffnen Sie grundsätzlich nie Dateianhänge unbekannter Herkunft.
Prüfen Sie alle Dateianhänge mit einem aktuellen Virenscanner, selbst wenn die Mail von Ihrem Chef, Ihrem Ehepartner oder Sysop kommt. Führen Sie nie Programme aus, die per E-Mail kommen.
Wo immer möglich, deaktivieren oder deinstallieren Sie den Windows Scripting Host.


Anti-Hoax-Policy

Unternehmen, die etwas gegen die Verbreitung von Kettenbriefen im internen wie externen Mail-Verkehr tun wollen, möchte ich vier Maßnahmen empfehlen:

1. Nehmen Sie in die Nutzungvorschriften, Betriebsvereinbarung oder Policy einen Satz auf wie:
Es ist untersagt, Kettenbriefe und Virenwarnungen innerhalb des Unternehmens und nach außen weiterzuleiten.

Führen Sie eine Meldepflicht für Kettenbriefe und dergleichen ein. Sie riskieren allerdings, als 'Spaßbremse' beschimpft zu werden.
Daher:

2. Informieren Sie alle Mitarbeiter/innen über Hoaxes und Kettenbriefe. Menschen, die sich über den wahren Charakter solcher Mails (und Faxe!) im Klaren sind, werden wahrscheinlich seltener auf dergleichen hereinfallen. Sie können dazu den Hoax-Info Newsletter und die Texte auf

http://hoax-info.de

verwenden. Ich bitte lediglich, darüber informiert zu werden, eine einzelne Erlaubnis ist für die Verwendung im Intranet nicht erforderlich. Original-Quelle und Copyright-Hinweis müssen deutlich erkennbar sein, Auslassungen, Änderungen am Text oder auszugsweise Zitate ebenso.

3. Prüfen Sie die Möglichkeiten, Kettenbriefe bereits auf den Mail-Gateways abzufangen. Beachten Sie jedoch, dass diesem so genannten Content-Filtering in Deutschland enge rechtliche Grenzen gesteckt sind. Ziehen Sie einen Anwalt zu Rate. In aller Regel müssen die Mitarbeiter über den Einsatz solcher Filter informiert werden und es ist die Zustimmung des Betriebsrats erforderlich.

Anmerkung: Dies stellt keine Rechtsberatung dar und kann und soll den Rat eines Rechtsanwalts nicht ersetzen.

4. Sorgen Sie dafür, dass wenn Virenwarnungen im Unternehmen verteilt werden sollen, diese vorher von einer besonders dafür qualifizierten Person authorisiert werden müssen.


Melden Sie Hoaxes

Um Sie (in Zukunft wieder etwas häufiger) über aktuell im Umlauf befindliche Hoaxes und Kettenbriefe informieren zu können, bin ich auch auf Ihre Mithilfe angewiesen.
Wenn Sie einen Hoax/Kettenbrief erhalten, den Sie als solchen selbst erkennen, also keine Antwort von mir erwarten, schreiben Sie bitte an diese Adresse. Fügen Sie bitte der Betreffzeile den Zusatz [NOREPLY] hinzu.

Wenn Sie Fragen haben, auf die Sie eine Antwort wünschen, schreiben Sie bitte weiterhin an diese Adresse.
Ich bitte um Verständnis, wenn die Antworten oft aus Textbausteinen bestehen, anders geht es zeitlich nicht mehr.

Presse- und Medienanfragen bitte an diese Adresse.
Liebe Presse- und Medienmenschen: Versuchen Sie bitte gar nicht erst, mich in der TU Berlin telefonisch zu erreichen. Das ist reine Zeitverschwendung. Schicken Sie mir eine E-Mail und alles wird gut.

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber


Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright TU Berlin, Frank Ziemann, 1998-2000, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Ausnahmen:
Sie dürfen ohne besondere Einwilligung des Autors diesen Newsletter unverändert an einzelne Personen weiterleiten.
Verwendung in Intranets: siehe weiter oben.


Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]