Date sent:        01. Juni 1999 
Subject:          Hoax-Info-Newsletter Nr. 8/99
Send reply to:    E-Mail-Adresse

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Zur Zeit wird eine deutschsprachige Hoax-FAQ erarbeitet, die dann Bestandteil dieses Newsletters wird. Unter FAQ versteht man eine Sammlung häufig gestellter Fragen (Frequently Asked Questions) sowie der Antworten auf diese Fragen. Eine Mini-FAQ wurde mit der Ausgabe 5/98 dieses Newsletters versandt. Sie kann von der Hoax-Seite an der TU Berlin heruntergeladen werden.

Bitte besuchen Sie einstweilen die WWW-Seite
http://hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln.

Fragen zu Hoaxes und Kettenbriefen richten Sie bitte an diese Adresse

Inhalt:

• Aktuell im Umlauf befindliche Hoaxes
• ICQ-Hoaxes
• neue Melissa-Hype
• Happy99 (ein E-Mail-Wurm)

Aktuell im Umlauf befindliche Hoaxes

Folgende Hoaxes sind derzeit im Umlauf:

• Budweiser Frogs / Budweiser Frösche
• A bug's life
• Frog and Fish
• California (Wobbler)
• Mockway-Virus (AOL)
• Jessica Mydek Kettenbrief

Budweiser Frogs ist Stammlesern längst bekannt. Es wird in der Mail davor gewarnt, einen bestimmten Bildschirmschoner (Screen Saver) herunterzuladen.
Es tauchen jetzt auch vermehrt deutsche Übersetzungen dieses Hoax auf, wodurch sich allerdings der Wahrheitsgehalt nicht signifikant erhöht.

A bug's life' ist vom Text her nahezu identisch mit 'Bud Frogs'.

Frog and Fish
Es kursieren zwei Dateien, die interaktive Animationen in einer selbstlauffähigen Weise (als .EXE) enthalten. Häufigste Dateinamen: BLENDER.EXE und FISH.EXE. Diese können jedoch beliebig verändert werden.
In einem Hoax wird vor diesen Dateien gewarnt, sie würden ein absolut gefährliches Virus enthalten.

Es handelt sich bei diesen Dateien um Multimedia-Spielereien, die mit Macromedias Shockwave Flash erstellt wurden. Die Dateien können natürlich -- wie jede andere auch -- im Einzelfall mit einem Virus infiziert sein. Die Originaldateien sind jedoch nicht an sich virulent.
Es wurden von Network Associates vereinzelte mit dem CIH-Virus infizierte Versionen gemeldet. Dieser aktiviert sich (je nach Version) am 26. Mai oder am 26. jedes Monats.

California ist der Titel einer Mail, die ein Virus namens 'Wobbler' enthalten soll (furchtbarstes Virus aller Zeiten). Weder diese Mail noch das Virus existieren.
Der Text der 'Warnung' ist nahezu identisch mit der kürzlich aufgetauchten Variante von 'It takes guts to say 'Jesus''. Es wird Bezug auf Netscape und Microsoft genommen, Melissa kommt auch vor, das Wobbler-Virus soll Macintosh und PC befallen.

In AOL kursiert eine 'Warnung' vor einem Mockway-Virus, das höchst gefahrlich sein soll. Diese Warnung dient lediglich der Werbung für eine WebSite bei T-Online, wo Viren auf CDROM zum Verkauf angeboten werden. Das Virus selbst existiert nicht (auch nicht auf diesen CDs). T-Online wurde darüber informiert. Signifikant ist hier die enorme Zahl von Rechtschreibfehlern sowohl in der Hoax-Mail als auch auf der WebSite.

Ein Kettenbrief, in dem es um ein todkrankes Mädchen namens Jessica Mydek geht, kursiert nun auch schon eine Monate, wenn nicht Jahre. Das Mädchen existiert nicht. Nähere Infos finden Sie in einem 'Extra-Blatt' auf der Hoax-Seite der TU Berlin.

Bitte leiten Sie keinerlei 'Viren-Warnungen', Kettenbriefe und dergleichen weiter. 'Kann ja nicht schaden' gilt nicht! Es kann!

Hoaxes in ICQ

ICQ (sprich: I seek you, 'ei ssie kjuh') ist ein Chatsystem von Mirabilis (jetzt AOL).
Auch in ICQ werden gerne Falschmeldungen verbreitet. Das fängt bei '#xxxxxx ist ein Hacker' an, geht über Warnungen vor der ICQ-WebSite (die soll angeblich Benutzer löschen) bis zu abstrusen Viren-Warnungen sowie Kettenbriefen. Dazu gehört auch eine Aktion, um den ICQ-Dienst zu erhalten, der angeblich eingestellt werden soll.

In näherer Zukunft wird auch auf der Hoax-Seite der TU Berlin über ICQ-Hoaxes berichtet werden. Bitte schicken Sie mir also auch ICQ-Hoaxes, wenn Sie solche erhalten, ebenso solche aus dem IRC (Internet Relay Chat).

Weiterhin gibt es die Möglichkeit, anderen ICQ-Teilnehmern Dateien zu übermitteln. Hier werden neben Spiele-Cheats und -Demos auch gerne als Spiele oder Utilities getarnte Trojanische Pferde angeboten. Diese ermöglichen den Zugriff auf Dateien des Rechners, auf dem sie installiert werden, über das Internet.

Tip: Nehmen Sie nichts von Fremden an. Prüfen Sie jede Datei, die Sie annehmen, sorgfältig mit einem (besser zwei) aktuellen Virenscanner (wöchentlich updaten!). Trennen Sie jede Verbindung zum Internet und am besten auch zum internen Netzwerk, bevor Sie ein solches Programm ausführen. Bleiben Sie trotz dieser Maßnahmen mißtrauisch.

Neue Melissa-Hype

Symantec (Norton Antivirus) kocht die Melissa-Hype nochmal auf.
Es sollen neue Varianten von Melissa (s. Newsletter 06/99) in RTF-Dateien (Rich Text Format) aufgetaucht sein.
Richtig ist, daß RTF-Dateien keine Makros enthalten kann, folglich auch keine Viren.
Richtig ist aber auch, daß man Word-Dateien (*.DOC) nach *.RTF umbenennen kann. Werden diese in Word geöffnet, 'merkt' Word, daß es sich um Dateien im DOC-Format handelt und führt auch enthaltene Makros aus.
Genau dies ist die Grundlage für die Meldung von Symantec, es handelt sich aber keineswegs um neue Varianten von Melissa.

Die guten Virenscanner prüfen RTF-Dateien ohnehin standardmäßig, wenn NAV das bislang nicht machte, sagt das ja auch etwas aus...

Wenn Sie eine RTF-Datei erhalten, benutzen Sie unter Windows das enthaltene WordPad, um sie zu öffnen. Kann es die Datei nicht öffnen, handelt es sich wohl um eine Word97-Datei.

Richtige RTF-Dateien sind reiner ASCII-Text mit recht kryptisch anmutenden Formatierungsanweisungen, die PostScript- oder HTML-Quelltext nicht unähnlich sind. Sie beginnen (im ASCII-Editor geöffnet) mit einer Zeile wie dieser:
{\rtf1\ansi\deff0\deftab720{\fonttbl{\f0\fnil Arial;}
Alle Anweisungen sind in Blöcken mit {} eingeschlossen.

Happy99

Auch Happy99 ist den Stammlesern nicht neu. Bereits kurz nach seiner Entdeckung Ende Januar wurde an dieser Stelle darüber berichtet. Da dieser Wurm (kein Virus) immernoch recht verbreitet ist, sei nochmals darauf hingewiesen.
Happy99 wird als Anhang einer E-Mail (Happy99.exe) verschickt. Der Dateiname kann natürlich variieren.
Wird die Datei ausgeführt, erscheint eine kleine Feuerwerks- Animation auf dem Bildschirm, während der Wurm sich im Hintergrund einnistet.
Es versendet dann an jeden, dem Sie eine Mail schreiben, eine zweite Mail mit der Happy99.exe als Anhang, ebenso bei Beiträgen, die Sie in Newsgroups posten.

Aktuelle Virenscanner erkennen Happy99 (z.B. als I-Worm.Happy oder W32/SKA) und können ihn entfernen.
Viren-Scanner auf E-Mail-Servern können Happy99-Mails mittels einer zusätzlichen Zeile im Header identifizieren:
X-Spanska: Yes

Weitere Infos zu Happy99 demnächst in einem 'Extra-Blatt'. Darin auch eine Anleitung zur manuellen Entfernung des Wurms.

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber

Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

• aktuelle Hoaxes und Kettenbriefe
• Viren in E-Mails

(C) Copyright TU Berlin, Frank Ziemann, 1998-99, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Wenn Sie eingehende Hoaxes mit Sendung des Newsletters beantworten möchten, können Sie dies gerne tun. Dergleichen wird als 'persönl. Gebrauch' angesehen und bedarf keiner expliziten Erlaubnis. Dies gilt auch für die Weitergabe an einzelne Kollegen und Bekannte. In allen Fällen darf der Text jedoch nicht verändert werden.

Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!