Date sent:        16. Sept. 1999 
Subject:          Hoax-Info-Newsletter Nr. 11/99
Send reply to:    E-Mail-Adresse

Hoax-Info-Newsletter Nr. 11/99

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Bitte besuchen Sie auch die WWW-Seite
http://hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.

Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse

Inhalt:

Aktuell im Umlauf befindliche Hoaxes

Folgende Hoaxes sind derzeit im Umlauf:

 

Win A Holiday' ist einer der ältesten noch im Umlauf befindlichen Hoaxes. Er unterscheidet sich nicht von vielen seiner Nachfolger, ausser in eben diesem Titel.

Bud Frogs' ist Stammlesern dieses Newsletters nicht neu. Ein Bildschirmschoner dieses Namens existiert tatsächlich, hat aber einen anderen Dateinamen. Es sollen (!) mit dem CIH-Virus infizierte Versionen in Newsgroups gepostet worden sein. Das hat jedoch nichts mit diesem Hoax zu tun.
In der deutschen Version wird vor den Budweiser-Fröschen gewarnt, eben diesem Bildschirmschoner. Diese deutsche Version ist in mehreren geringfügig unterschiedlichen Varianten derzeit sehr stark verbreitet (Tendenz fallend), wodurch sich der Wahrheitsgehalt aber nicht erhöht.

Das Extra-Blatt dazu:
http://hoax-info.tubit.tu-berlin.de/hoax/budfrogs.shtml

It takes guts to say 'Jesus'' soll mit Hilfe der Norton Utilities sein Unwesen treiben, unter Windows ebenso wie auf Macs funktionieren und mit den beiden grossen WWW-Browsern interagieren.

California' soll der Titel (Betreff) von E-Mails sein, die mit einem Virus namens Wobbler infiziert sein sollen.
Die Schilderung des Virus und seiner Fähigkeiten ist offenbar von der hier schon beschriebenen zweiten Variante des Hoax 'It takes guts to say Jesus' abgeschrieben. Es wird neben IBM, AOL, Netscape und Microsoft auch noch das Melissa-Makrovirus erwähnt und es sollen sowohl PCs als auch Macs betroffen sein.

How To Give A Cat A Colonic' warnt ebenfalls vor einen Virus, das angeblich die Festplatte löschen soll.

 

Please help this poor dog and win a vacation' warnt ebenfalls vor einen Virus, das angeblich die Festplatte löschen soll.
Das Virus soll kürzlich auf der MS-Homepage entdeckt worden sein. Dieser Hoax ist recht neu (allerdings wenig originell).

Die Mails, vor denen immer gewarnt wird, existieren nicht. Auch hat weder IBM noch Microsoft, AOL oder Compaq jemals eine solche Warnung in Umlauf gebracht.
Sie finden auf der Hoax-Seite (rechts neben der Liste der bekannten Hoaxes) auch mal ein typisches Beispiel für eine Hoax-Mail.

http://hoax-info.tubit.tu-berlin.de/hoax/beispiel.shtml

  Kein Virus kann durch eine reine Textnachricht übertragen werden.
  Bitte leiten Sie diese 'Virus-Warnungen' nicht weiter!

Kettenbriefe

Es kursieren wieder mal Kettenbriefe aus der Kategorie 'Tränendrüsenbriefe', die die üblichen angeblichen Anliegen nichtexistenter krebskranker Kinder enthalten. Sie wollen eine Botschaft (z.B. ein Gedicht) um die Welt schicken oder möglichst viele Visitenkarten (Postkarten, E-Mails,...) erhalten, bevor sie sterben, damit sie ins Guiness-Buch der Rekorde kommen.

Alle diese Kinder existieren nicht. Es bleibt auch im Dunkeln, wie lange die Kettenbriefe schon unterwegs sind -- selbst wenn eines der Kinder tatsächlich real wäre, könnte es lange schon verstorben (oder wieder genesen sein).

Tradehall-Aktien

 

Bereits vor einiger Zeit kursierten Kettenbriefe, die für kostenlose Aktien der Fa. Tradehall warben. Im Hoax-Info Newsletter 10/99 wurde schon darüber berichtet.
Wie darin bereits vermutet, handelt es sich bei dieser Werbeaktion nur um einen Marketing-Trick.
Die Fa. Himel Technology LLC, Besitzer und Betreiber von Tradehall.com, ist keine Aktiengesellschaft, sondern eben eine LLC (Limited Liability Company), ähnlich einer deutschen GmbH, kann also gar keine Aktien ausgeben. Dies ist lt. eigenen Aussagen dieser Firma auch nicht geplant. Es handelt sich also um eine Irreführung potentieller Kunden. Im Gegensatz zu Tradehall/Himel hatte Yahoo damals tatsächlich Aktien zu einem sehr niedrigen Kurs ausgegeben und war damit rechtlich auf der richtigen Seite. Tradehall, das sich auf diese Yahoo-Aktion beruft, betätigt sich hier als Trittbrettfahrer mit einer lausigen weil rechtswidrigen Kopie des Vorbilds. Die US-Börsenaufsicht SEC ermittelt bereits.

Free4U

Eine ähnliche Werbestrategie scheint der Internetdienst Free4U zu betreiben, allerdings wird hier nicht von Aktien gesprochen. Vielmehr sollen erfolgreiche Neukunden-Werber Freieinheiten erhalten.
Auch andere Firmen wenden ähnliche Taktiken an, um Neukunden ohne eigene Anstrengungen zu werben. Wer sich bei solchen Firmen registrieren lässt, erhält eine Referenznummer, die die neugeworbenen Kunden bei ihrer Anmeldung angeben sollen. Dadurch sollen die Werber verschiedene Vergünstigungen erhalten. Das Prinzip 'Kunden werben Kunden' ist natürlich uralt, nur bleibt bei vielen solchen Anbietern im Internet die Frage offen, ob es tatsächlich zur Ausschüttung der versprochenen Prämien kommen wird.

Hotmail-Accounts gehackt

Ende August diesen Jahres wurde bekannt, dass die Mailboxen von Hotmail-Kunden von nahezu jedermann eingesehen und manipuiert werden konnten. Microsoft (denen gehört Hotmail) bestätigte diese Sicherheitslücke, die inzwischen geschlossen wurde. Siehe auch http://www.hotmail.com -> [Deutsch] -> Sicherheitsloch

Wer seinen Hotmail-Account kündigen will, steht vor dem Problem, dass dies gar nicht vorgesehen ist. Man muss vielmehr seinen Account für einige Monate ruhen lassen, nach Monaten der Nichtbenutzung wird er dann automatisch gelöscht.

Trojanische Pferde und Backdoors

Das Programmieren Trojanischer Pferde, die Passwörter und andere Daten ausspionieren und/oder Dateien manipulieren, ist derzeit stark in Mode. Nahezu täglich gibt es neue, meist unnötig aufgebauschte Meldungen über neue Bedrohungen aus dieser Ecke.

Viele Hersteller von Antiviren-Programmen haben es inzwischen wieder aufgegeben, jedes Trojanische Pferd exakt identifizieren zu wollen. Sie setzen vielmehr auf eine generische Erkennung und Einordnung. So gibt es z.B. die Klassen 'APS.trojan' (APS = AOL Password Stealer) und 'PSW.trojan' (PSW = Passwort Stealer Windows). Ein Beispiel finden Sie weiter unten (ICQpws).

Das heisst jedoch nicht, dass die Erkennung solcher sog. Malware völlig aufgegeben wurde. Ein regelmässig (wöchentlich) aktualisiertes Antivirus-Programm stellt immernoch einen guten Schutz vor den meisten Trojanischen Pferden dar.

Ein anderer Ansatz sind sog. Firewalls. In Form einer spez. Kombination von Hardware und Software schützen sie (wenn von Fachleuten konzipiert und gewartet) ganze Netzwerke vor Angriffen verschiedener Art.
Für den Privatanwender gibt es sog. Desktop-Firewalls, die als Programm oder Dienst auf dem eigenen Rechner laufen und den Netzwerkverkehr überwachen, um verdächtige Übertragungen zu melden und zu blockieren. Sie enthalten z.T. auch einen Virenscanner.
Backdoors (das sind Programme, die speicherresident eine Hintertür für Angreifer von aussen offenhalten) lauschen meist an bestimmten TCP/IP-Ports, das sind Übertragungskanäle im Internet-Protokoll. Welche Malware an welchen Ports lauscht, können Sie einer Tabelle entnehmen, die ich für Sie bereitgestellt habe:

http://hoax-info.tubit.tu-berlin.de/virus/avtrojan.shtml

Damit können Sie Netzwerk-Monitore zur Überwachung verdächtiger Aktivitäten einsetzen und Firewalls diffenziertere Alarmmeldungen beibringen. Diese Tabelle ist jedoch mehr für Fachleute geeignet, die damit auch etwas anfangen können. Sie wird aktualisiert, wenn neue Infos vorliegen.

Wie schon vermutet, kommen jetzt eine Reihe von Viren und anderer Malware heraus, die sich des Themas Y2K (Jahr 2000) bedienen, um ihre Aktivitäten zu tarnen. Alle folgenden Quälgeister betreffen Windows 95/98/NT:

Count2K (Y2Kcount)
Die Antivirus-Firmen Network Associates (McAfee, Dr. Solomon's) und Sophos berichten über ein E-Mail-Attachment, das sich als Countdown-Programm für das Jahr 2000 ausgibt, jedoch ein sog. Trojanisches Pferd enthält, das Benutzernamen und Passwörter ausspioniert und an seinen Urheber weiterleitet.
Die Mail stammt vorgeblich von support@microsoft.com und enthält ein Attachment (Dateianhang) mit dem Namen Y2KCOUNT.EXE, welches das Trojanische Pferd installiert, wenn es aufgerufen wird. Dabei wird (ähnlich wie bei Happy99) die WSOCK32.DLL durch eine modifizierte Version ersetzt, um in den Internetzugang eingreifen zu können und Mails mit dem genannten Attachment weiterzuverbreiten.

Infos:
http://www.zdnet.de/news/artikel/1999/09/16018-wc.html (dt.)
http://vil.mcafee.com/vil/tro10358.asp (engl.)
http://www.sophos.com/downloads/ide/index.html#polyglot (engl.)

Win32/Fix2001
Wiederum Sophos und McAfee berichten über einen E-Mail-Wurm, der behauptet, er würde den Internetzugang auf Jahr-2000-Kompatibilität prüfen. Dieser Wurm kommt per E-Mail mit einem Attachment, das vorgibt, ein Update gegen einen Jahr2000-Fehler in der Internet- Software zu enthalten (auf englisch und spanisch).
Es ändert einen Registry-Eintrag und nach dem nächsten Neustart versendet es sich selbst weiter, in dem jeder Mail, die Sie verschicken, eine zweite folgt, die das Attachment enthält und den Betreff (Subject) 'Internet problem year 2000' trägt.
Im Text der Mail, die von 'Administrator' zu kommen vorgibt, wird auf besagten Fehler der Internet-Software verwiesen und der Benutzer aufgefordert, das Attachment auszuführen, um den Fehler zu beseitigen. Das Programm meldet dann, das System sei bereits Jahr-2000-fest, egal ob das zutrifft oder nicht.

Info:
http://www.sophos.com/downloads/ide/index.html#fix2001 (engl.)
http://vil.mcafee.com/vil/vpe10355.asp (engl.)

Weder Count2K noch Fix2001 enthalten irgendeine Funktionalität, die Jahr-2000-Bugs (Fehler) beseitigen oder auch nur erkennen könnten. Sie sollten daher diese Attachments nicht ausführen! Löschen Sie sie und auch jede Mail, die diese Anhänge enthält.

W32/Cholera, W32/CTX
Cholera ist ein E-Mail-Wurm, der sich nicht der MAPI-Funktionen bedient, um sich selbst weiterzuschicken. Er nutzt dafür vielmehr Routinen, die er selbst mitbringt. Daher begrenzt sich die Gruppe der betroffenen Anwender nicht auf solche, die MAPI-konforme E-Mail-Programme (wie Outlook) einsetzen.
Die Mails enthalten ein Attachment (Dateianhang) namens 'setup.exe' mit einer Grösse von 49.187 Bytes, die Nachricht enthält lediglich ein Smiley ( :-) ).
Cholera (bzw. setup.exe) installiert auf dem betroffenen Rechner das CTX-Virus, welches mehrere EXE-Dateien infiziert und aktiv wird, wenn 6 Monate nach der Infektion eine infizierte Datei ausgeführt wird (und zwar zur gleichen Uhrzeit). Win32/CTX invertiert die Farbdarstellung des Desktops. Wegen Fehlern in der Infektionsroutine können Dateien beschädigt werden, was in Einzelfällen dazu führen kann, das Windows NT nicht mehr startet.

Nach dem Versenden der E-Mails werden 'setup.exe' und die Registry-Einträge für den Autostart wieder entfernt. Die Virus-Infektion bleibt.
Laut Network Associates wurde dieser Wurm mitsamt dem Virus auch in Europa gesichtet, andere Hersteller bestätigen dies nur z.T.

Info:
http://vil.mcafee.com/vil/vpe10346.asp (Cholera)
http://vil.mcafee.com/vil/vpe10347.asp (CTX)
http://www.avp.ch/avpve/newexe/win32/ctx.stm (Win32/CTX)

ICQpws.gen
Der ICQpws (ICQ PassWord Stealer) tarnt sich durch eine doppelte Dateiendung: Der (unterschiedlich lautende) Name wird von der Endung '.jpg.exe' gefolgt. Windows95/98/NT zeigt die Endung '.exe' standardmässig nicht an, da diese dem registrierten Dateityp 'Anwendung' zugeordnet ist. Die Datei erscheint daher im Explorer als 'datei.jpg' mit dem Typ 'Anwendung'. Normalerweise würde der Explorer bei Dateien mit der Endung '.jpg' als Typ 'JPG-Datei' oder, wenn dafür eine Anwendung registriert ist, den Namen dieser Anwendung zeigen.
ICQ selbst zeigt nur die ersten 12 Zeichen eines Dateinamens an, daher kann die doppelte Endung dort ebenfalls unbemerkt bleiben.

Wird die Datei durch Doppelklick ausgeführt, wird das enthaltene JPEG-Bild angezeigt und im Hintergrund das Trojanische Pferd installiert, das ICQ-Passwörter ausspäht. Eine Infektion mit diesem Trojanischen Pferd kann dadurch erkannt werden, dass im Taskmanager ein Task mit der Bezeichnung 'MSWIN32' erscheint.

Info:
http://www.mcafee.com/viruses/ICQ/default.asp

Der Suffix '.gen' im Namen weist auf die o.g. generische Erkennung hin, es handelt sich also nicht unbedingt nur um ein einzelnes Trojanisches Pferd, sondern um eine ganze Familie ähnlicher Machart.

Dieses Trojanische Pferd ist lediglich ein Beispiel für Malware, die sich auf diese Weise (doppelte Dateiendung) tarnt.
Achten Sie also sorgfältig auf den Dateityp, den der Explorer anzeigt und/oder schalten Sie im Explorer die Anzeige aller Dateiendungen ein:

Ansicht/Optionen:
  [ ] keine Erweiterung für registrierte Dateitypen

Deaktivieren Sie diese Option.

Zu allen o.g. Trojanischen Pferden werde ich in den nächsten Tagen Extra-Blätter bereitstellen, die in deutscher Sprache die vorliegenden Information ausführlich darstellen.

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber


Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright TU Berlin, Frank Ziemann, 1998-99, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Wenn Sie eingehende Hoaxes mit Sendung des Newsletters beantworten möchten, können Sie dies gerne tun. Dergleichen wird als 'persönl. Gebrauch' angesehen und bedarf keiner expliziten Erlaubnis. Dies gilt auch für die Weitergabe an einzelne Kollegen und Bekannte. In allen Fällen darf der Text jedoch nicht verändert werden.


Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]