Date sent:        27. Juli 1999 
Subject:          Hoax-Info-Newsletter Nr. 10/99
Send reply to:    E-Mail-Adresse

Hoax-Info-Newsletter Nr. 10/99

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Zur Zeit wird eine deutschsprachige Hoax-FAQ erarbeitet, die dann Bestandteil dieses Newsletters wird. Unter FAQ versteht man eine Sammlung häufig gestellter Fragen (Frequently Asked Questions) sowie der Antworten auf diese Fragen. Eine Mini-FAQ wurde mit der Ausgabe 5/98 dieses Newsletters versandt. Sie kann von der Hoax-Seite an der TU Berlin heruntergeladen werden.

Bitte besuchen Sie auch die WWW-Seite
hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.

Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse

Inhalt:

Aktuell im Umlauf befindliche Hoaxes

Folgende Hoaxes sind derzeit im Umlauf:

Bud Frogs' ist Stammlesern dieses Newsletters nicht neu. Ein Bildschirmschoner dieses Namens existiert tatsächlich, hat aber einen anderen Dateinamen. Es sollen (!) mit dem CIH-Virus infizierte Versionen in Newsgroups gepostet worden sein. Das hat jedoch nichts mit diesem Hoax zu tun.
In der deutschen Version wird vor den Budweiser-Fröschen gewarnt, eben diesem Bildschirmschoner. Diese deutsche Version ist in mehreren geringfügig unterschiedlichen Varianten derzeit sehr stark verbreitet, wodurch sich der Wahrheitsgehalt aber nicht erhöht.

Extra-Blatt:
http://hoax-info.tubit.tu-berlin.de/hoax/budfrogs.shtml

Die Penetranz dieses Hoax läßt langsam wieder nach, dafür treten andere an seine Stelle:

California' soll der Titel (Betreff) von E-Mails sein, die mit einem Virus namens Wobbler infiziert sein sollen.
Die Schilderung des Virus und seiner Fähigkeiten ist offenbar von der hier schon beschriebenen zweiten Variante des Hoax 'It takes guts to say Jesus' abgeschrieben. Es wird neben IBM, AOL, Netscape und Microsoft auch noch das Melissa-Makrovirus erwähnt und es sollen sowohl PCs als auch Macs betroffen sein.
Nachdem dieser Hoax in USA und Asien schon länger kursiert, häufen sich nun auch in Europa die Meldungen.

Die Mails, vor denen immer gewarnt wird, existieren nicht. Auch hat weder IBM noch Microsoft, AOL oder Compaq jemals eine solche Warnung in Umlauf gebracht.
Sie finden auf der Hoax-Seite (rechts neben der Liste der bekannten Hoaxes) auch mal ein typisches Beispiel für eine Hoax-Mail.

http://hoax-info.tubit.tu-berlin.de/hoax/beispiel.shtml

Kein Virus kann durch eine reine Textnachricht übertragen werden.

Bitte leiten Sie diese 'Virus-Warnungen' nicht weiter!

Virus-Warnung im WWW

Wenn Sie auf einer WebSite unvermittelt eine Warnung erhalten, Ihr Rechner sei mit einem Virus infiziert (z.B. 'Black Moon'), handelt es sich ebenfalls um einen Hoax (Scherz).

Zwar gibt es Antivirus-Hersteller, die einen Online-Virus-Check anbieten, hierzu muß jedoch stets eine Software auf dem Rechner installiert werden, die Sie zunächst herunterladen müssen. Diese prüft dann die lokale Festplatte und nutzt dabei 'live' die Virendatenbank auf dem Server des Herstellers.

Vorteil:
Aktueller können die Vergleichsdaten kaum sein.
Nachteil:
Man lädt sich dabei z.B. ein ActiveX-Control auf die Festplatte, das freien Zugriff auf alle Dateien auf dem Rechner hat, zu denen auch Sie Zugang haben.
Dies ist unter Sicherheitsaspekten kaum akzeptabel.

Kettenbriefe

 

Free Computers

IBM verschenkt Computer.
Man müsse nur den betreffenden Kettenbrief an fünf Freunde oder Bekannte weiterleiten und schon...
Die E-Mail-Weiterleitungen würden registriert und man bekäme dann Nachricht von IBM...
Wem das bekannt vorkommt, der liegt richtig -- das sog. 'Microsoft E-Mail Tracking System' läßt grüßen.

Es gibt keine funktionierende Methode, die Weiterleitung von beliebigen E-Mails zu protokollieren. Auch wird sich IBM hüten, 250.000 PCs zu verschenken -- das kann sich nicht einmal IBM leisten. Selbst bei einem Stückpreis von nur 2000,- DM sind das 500 Mio DM, also eine halbe Milliarde Mark!

Die Stellungnahme von IBM (engl.): http://www.ibm.com/news/1999/07/082.phtml

 

Aktien zu verschenken

Die Firma Tradehall soll Aktien verschenken. Jeder, der sich registriere, bekomme eine Aktie und eine Nummer. Wer Freunde und Bekannte werbe, die sich unter Angabe dieser Nummer registrierten, bekomme weitere Gratis-Aktien.

Hierbei handelt es sich um eine Werbeaktion, die Menschen dazu verleitet, Kettenbriefe zu versenden. Zur Belohnung sollen sie (vermutlich wertlose) Aktien bekommen (wenn überhaupt).
Es ist kaum anzunehmen, daß diese Aktion zu dem verlautbarten Ziel führt, vielmehr ist wahrscheinlich das Sammeln von E-Mail-Adressen der Zweck. Diese können dann zum Versenden von Werbe-Mails verwendet und anschliessend verkauft werden. Daß dann der Wert der Aktien steigt, ist zu bezweifeln.

Auf der WebSite von Tradehall ist inzwischen auch keine Rede mehr von kostenlosen Aktien. Es handelt sich übrigens um eine Firma, die u.a. Online-Auktionen anbietet.

 

Hunger lindern

Es existiert eine WebSite, die sich 'the HungerSite' nennt und anbietet, daß man auf Knopfdruck (bzw. Mausklick) eine Spende auslösen kann, die den Hunger in der Welt lindern soll. Das Geld dafür sollen Sponsoren aufbringen, die dies als Werbemaßnahme betrachten.

Das ganze ist recht seriös aufgemacht. Der Aufwand scheint für einen Scherz ein wenig hoch. Da man weder Namen noch E-Mail-Adresse angeben muß, bleibt die Auslösung einer Spende anonym. Es kann jedoch nur einmal pro Tag geklickt werden. Wie das genau realisiert wird, daß mehrfaches Klicken nicht gezählt wird, ist nicht ganz klar, da keine Cookies verwendet werden. Wahrscheinlich erfolgt die Kontrolle über die IP-Adresse des Besuchers, die im Log-File eines jeden WWW-Servers gespeichert wird.

Es ist mir bis heute nicht gelungen, vom (angeblichen?) Nutzniesser dieser Spenden, dem UN World Food Program (www.wfp.org), eine Bestätigung zu bekommen, daß es sich hierbei um eine seriöse Sache handelt. Daher bleiben im Moment Zweifel.
Sobald es in der einen oder anderen Richtung Klarheit gibt, wird es dazu ein 'Extra-Blatt' auf der Hoax-Info-Seite geben. Natürlich wird dann auch hier im Newsletter darüber berichtet.

Unabhängig von der eventuell ehrenhaften Absicht hinter dieser Aktion ist es sicher keine gute Idee, diese mit Kettenbriefen bekannt zu machen. Dies würde ein schlechtes Licht auf die an sich gute Sache werfen (so es denn eine solche ist).

Pressestimmen:

c't (Heft 14/99, S. 66):
http://www.heise.de/ct/99/14/066/
stern-Online (21.06.1999):
http://www.stern.de/webguide/webreporter/ausland/1999/06/21/hunger.html

Viren und Malware

BO2K

B ack Orifice 2000 (BO2K) ist das neueste 'Produkt' der Hacker-Gruppe cDc (Cult of the Dead Cow). Im Gegensatz zur Vorgänger-Version funktioniert es nun auch unter Windows NT. Es wird mit Quellcode publiziert, sodaß sich jeder, der etwas von Programmieren versteht, seine eigene Version basteln kann. Auch die Hacker setzen offenbar jetzt auf OpenSource...

Die ursprüngliche Version, die auf der DefCon'99 auf CD verteilt wurde, ist mit dem CIH-Virus infiziert. Verschiedene Antivirus- Programme erkennen nur diese infizierte Version. Wird die CIH-Infektion bereinigt, wird das funktionsfähige BO2K nicht mehr erkannt. Dies dürfte mit aktualisierten Viren-Signaturen bereits in dieser Woche abgestellt werden. Ob allerdings aus dem Quellcode selbstkompilierte Versionen zuverlässig erkannt werden, bleibt abzuwarten...

BO ist ein sog. Remote Administration Tool, also -- positiv formuliert -- eine Art Fernwartungssoftware.
In Antivirus-Kreisen spricht man allerdings lieber von einem Backdoor-Programm oder Trojanischen Pferd, da der Zugriff auf den Rechner des Opfers ohne Einwilligung (und meist ohne Kenntnis) der Betroffenen geschieht.
Neben BO und NetBus existieren inzwischen noch ein paar Dutzend ähnlicher Programme, sie sind nur nicht so bekannt.

http://hoax-info.tubit.tu-berlin.de/software/antivirus.shtml#bo

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber


Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright TU Berlin, Frank Ziemann, 1998-99, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Wenn Sie eingehende Hoaxes mit Sendung des Newsletters beantworten möchten, können Sie dies gerne tun. Dergleichen wird als 'persönl. Gebrauch' angesehen und bedarf keiner expliziten Erlaubnis. Dies gilt auch für die Weitergabe an einzelne Kollegen und Bekannte. In allen Fällen darf der Text jedoch nicht verändert werden.


Informieren Sie sich über sog. E-Mail-Viren:
hoax-info.de
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]