Date sent:        15. Okt. 1999 
Subject:          Hoax-Info-Newsletter Nr. 12/99
Send reply to:    E-Mail-Adresse

Hoax-Info-Newsletter Nr. 12/99

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Bitte besuchen Sie auch die WWW-Seite
http://hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.

Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse

Inhalt:

Aktuell im Umlauf befindliche Hoaxes

Folgende Hoaxes sind derzeit im Umlauf:

Fast alle diese falschen 'Viruswarnungen' beginnen an der entscheidenden Stelle mit einem Satz wie:

'Wenn Sie eine Mail mit dem Titel '...' erhalten, öffnen Sie sie nicht!!! Sie enthält einen Virus, der den Inhalt Ihrer gesamten Festplatte löscht!'

An der Stelle von '...' können Sie einen der o.g. Titel einsetzen. Häufig ist der Text auch in Englisch (dann haben Sie quasi das 'Original' vor sich). OFT SIND AUCH TEILE DES TEXTES IN GROSSBUCHSTABEN GESETZT. DAS LIEST SICH BESONDERS GUT!

Sie finden auf der Hoax-Seite (Symbol rechts neben der Liste der bekannten Hoaxes) auch mal ein typisches Beispiel für eine Hoax-Mail.

http://hoax-info.tubit.tu-berlin.de/hoax/beispiel.shtml

Win A Holiday' ist einer der ältesten noch im Umlauf befindlichen Hoaxes. Er unterscheidet sich nicht von vielen seiner Nachfolger, ausser in eben diesem Titel. Neu ist nur die deutsche Übersetzung.

Returned or unable to deliver' wird u.a. zusammen mit 'Win a Holiday' verschickt. Sollten Sie jemals eine Mail mit diesem oder einem sinnverwandten Betreff erhalten, wird es wohl eine Nachricht von einem Mail-Server sein, die Ihnen mitteilt, dass eine von Ihnen versandte Mail nicht zugestellt werden konnte -- mehr nicht.

Bud Frogs' ist Stammlesern dieses Newsletters nicht neu. Ein Bildschirmschoner dieses Namens existiert tatsächlich, hat aber einen anderen Dateinamen. Es sollen (!) mit dem CIH-Virus infizierte Versionen in Newsgroups gepostet worden sein. Das hat jedoch nichts mit diesem Hoax zu tun.
In der deutschen Version wird vor den Budweiser-Fröschen gewarnt, eben diesem Bildschirmschoner. Diese deutsche Version ist in mehreren geringfügig unterschiedlichen Varianten derzeit sehr stark verbreitet (Tendenz fallend), wodurch sich der Wahrheitsgehalt aber auch nicht erhöht.

Das Extra-Blatt dazu:
http://hoax-info.tubit.tu-berlin.de/hoax/budfrogs.shtml

It takes guts to say 'Jesus'' soll mit Hilfe der Norton Utilities sein Unwesen treiben, unter Windows ebenso wie auf Macs funktionieren und mit den beiden grossen WWW-Browsern interagieren.

 

How To Give A Cat A Colonic' warnt ebenfalls vor einen Virus, das angeblich die Festplatte löschen soll.

 

Phantom Menace' (nach Filmtitel StarWars Episode 1) warnt ebenfalls vor einen Virus, das angeblich die Festplatte löschen soll. Dieser Hoax ist recht neu (allerdings wenig originell).

Get More Money' warnt vor einem Virus, das sich an Ihre 'Computerverbindungsteile' (was immer das sein soll) heften und diese nutzlos machen soll.

California' soll der Titel (Betreff) von E-Mails sein, die mit einem Virus namens Wobbler infiziert sein sollen.
Die Schilderung des Virus und seiner Fähigkeiten ist offenbar von der hier schon beschriebenen zweiten Variante des Hoax 'It takes guts to say Jesus' abgeschrieben. Es wird neben IBM, AOL, Netscape und Microsoft auch noch das Melissa-Makrovirus erwähnt und es sollen sowohl PCs als auch Macs betroffen sein.

Die Mails, vor denen immer gewarnt wird, existieren nicht. Auch hat weder IBM noch Microsoft, AOL oder Compaq jemals eine solche Warnung in Umlauf gebracht.

  Kein Virus kann durch eine reine Textnachricht übertragen werden.
  Bitte leiten Sie diese 'Virus-Warnungen' nicht weiter!

Kettenbriefe

Es kursieren eine Reihe von Kettenbriefen, die auf verschiedene angebliche 'E-Mail-Projekte' an US-Schulen zurückgehen sollen. Angeblich würde man in einem Schüler-Projekt eine Landkarte erstellen, wo man alle Orte eintrage, aus denen eine Antwort auf den Kettenbrief komme.
Seltsam ist nur, dass mir mehrere Versionen mit unterschiedlichen Schulen vorliegen. Sollten tatsächlich mehrere Schulen gleichzeitig auf diese (ohnehin zweifelhafte) Idee gekommen sein?! Wohl kaum.

Da es sich bei den angegebenen E-Mail-Adressen um solche bei kostenlosen (sog. FreeMail-) Diensten handelt, liegt die Vermutung nahe, dass hier Spammer auf der Jagd nach E-Mail-Adressen sind, an die sie dann Werbemails senden können.

Procter&Gamble und die Satanskirche

Ein weiterer Kettenbrief kolportiert einen (vermeintlichen) Skandal aus der Kategorie 'Urban Legends' (Grossstadtmärchen): Der Präsident des US-Lebensmittelkonzerns Procter&Gamble soll in einer Talkshow (der Sally Jesse Raphael Show) zugegeben haben, dass er (und auch die Firma) eine Verbindung zur sog. Satanskirche habe. Auch sollen Gewinne des Konzerns an diese Kirche fliessen. Richtig ist, dass der Präsident von Procter&Gamble nie Gast in dieser Show war und natürlich auch nichts dergleichen behauptet hat. Lesen Sie hier mehr Details darüber (engl.):

http://urbanlegends.about.com/culture/beliefs/urbanlegends/library/blpg2.htm
http://www.sallyjr.com/faq.html (dritte Frage)

Microsoft-AOL-Merger

In einem z.Z. sehr stark verbreiteten Kettenbrief wird implizit die (falsche) Nachricht verbreitet, Microsoft und AOL hätten fusioniert. Weiterhin wird behauptet, sie würden nunmehr mit diesem Kettenbrief Geld verschenken, wenn man ihn nur weiterleite. Die Weiterleitung würde automatisch registriert und man bekäme dann für jede Weiterleitung einen Geldbetrag.

Soweit bekannt, sind AOL und Microsoft immer noch zwei Firmen, die nichts miteinander zu tun haben.

Bereits in der Vergangenheit kursierten Kettenbriefe, die auf Basis eines sog. 'Microsoft E-Mail-Tracking System' Geld oder Sachpreise für die Weiterleitung des Kettenbriefs versprachen.

Dieses System existiert nicht und ist technisch so auch nicht möglich.

Glücksbriefe

Es kursieren nach wie vor Kettenbriefe, die dem Empfänger Glück verheissen, wenn er den Brief (innerhalb best. Frist) weiterleitet. Andernfalls droht Ungemach, Pech, ja die grosse persönliche Katastrophe. Leitet er dagegen den Brief weiter, soll er Geld, Ruhm und Ehre erhalten sowie Glück in allen Lebenslagen.

Diese 'Glücksbriefe' stammen angeblich aus Nepal oder Neuseeland, sind soundso oft um die Welt gegangen und enthalten eine Reihe von Lebensweisheiten ('Tantras') oder aber angebliche Schicksale von Menschen, die den Kettenbrief nicht weitergeleitet haben.

Diese Art von Briefen gibt es bereits, seit Menschen schreiben können und dürfen (!) -- sie sind keine Erfindung des Internet- Zeitalters. Hier wird in verantwortungsloser Art und Weise mit dem Aberglauben von Menschen gespielt, die in ihrem Glauben (an was auch immer) nicht hinreichend gefestigt sind und jedem esoterischen Unsinn nachlaufen (es mag auch Aspekte von Esoterik geben, die kein Unsinn sind, das ist aber hier nicht Thema).

Bitte leisten Sie diesem groben Unfug keinen Vorschub!

Unterdrückung afghanischer Frauen

Dieser Kettenbrief setzt sich für die Rechte unterdrückter Frauen in Afghanistan ein. Die in diesem Brief wiedergegebenen Schilderungen dazu sind weitgehend zutreffend. Die E-Mail-Adressen sind jedoch ebenso falsch wie die Wahl dieses Mediums zur Kommunikation dieses Anliegens. Da dieser Kettenbrief nicht neu ist, verweise ich für weitere Details auf das entsprechende 'Extra-Blatt':

http://hoax-info.tubit.tu-berlin.de/hoax/taliban.shtml

GuteSache-Newsletter (GoodCause-Newsletter)

Ich habe von mehreren Personen Kopien einer aktuellen Ausgabe dieses Newsletters erhalten. Dem Anschein nach verbreitet dieser Newsletter massiv Falschmeldungen über E-Mail-Viren. Die mir vorliegende Ausgabe enthält folgende Hoaxes:

Microsoft lässt spammen

Haben Sie auch schon eine solche Mail erhalten:

8<-------
Betreff: Gewinnen Sie Reisen im Wert von 750.000 Mark! 
Inhalt: Einfach hier klicken:
http://expedia.de/pubspec/scripts/eap.asp?eapid=XXX-X 

willkommen bei Expedia.de, Ihrem Reisebüro im Internet. 
[...]
------->8

'XXX-X' am Ende der URL-Zeile steht für eine Nummer, die je nach Absender verschieden sein kann.

Expedia.de ist ein Reisebüro im Internet, das zu Microsoft gehört. Es fordert seine Kunden bzw. Besucher der Website dazu auf, mit einer nach Registrierung zugeteilten ID (ebendieser XXX-X) andere Menschen per E-Mail zum Besuch der Website von Expedia.de zu animieren.
Diese Kunden-werben-Kunden-Marketing-Strategie ist zwar weder neu noch originell und auch keine Erfindung des Internet-Zeitalters (und auch keine von Microsoft), stellt im Internet jedoch einen UCE-Tatbestand dar (UCE: Unsolicited Commercial E-Mail = unverlangte Werbesendung). Man nennt es auch 'Spam'.

Ähnliche Praktiken wurden in der vorherigen Ausgabe dieses Newsletters bereits für Free4U und Tradehall gemeldet.

 

Nachtrag zu 'The Hungersite'

Wie bereits im Newsletter 10/99 berichtet, existiert eine Website, auf der man per Mausklick ein kleine Spende auslösen kann, die von einem Sponsor finanziert wird. Damit soll ein kleiner Beitrag geleistet werden, den Hunger in der Welt zu bekämpfen.
Die Seriosität dieser Sache war damals noch nicht ganz gesichert, inzwischen liegt mir eine positive Stellungnahme des UN World Food Program (www.wfp.org) vor, die bestätigt, dass aus dieser Aktion Spendengelder an die Organisation fliessen.
Es gibt dazu ein 'Extra-Blatt' mit mehr Details:

http://hoax-info.tubit.tu-berlin.de/hoax/hungersite.shtml

Existierende Viren und Malware

Leider werden inzwischen (seit 'Melissa' durch die Medien ging) auch Virenwarnungen durch dieselben Mechanismen wie Hoaxes verbreitet, die sich auf durchaus ernstzunehmende Gefahren durch Malware (malicious software, also Viren, Würmer, Trojanische Pferde usw.) beziehen. Für die Empfänger wird es damit noch schwieriger, zwischen realen Gefahren und schlechten Scherzen zu unterscheiden.

Daher hier wieder einige aktuelle Meldungen über reale Gefahren, soweit sie direkt das Medium E-Mail tangieren. Einige wurden schon in zurückliegenden Ausgaben gewürdigt, sie werden daher nur kurz erwähnt.

Wenn Sie meinen, unbedingt andere über eine Virengefahr informieren zu müssen, stellen Sie erstens sicher (!), dass es sich um ein wirklich existierendes Virus handelt und geben Sie dazu die URL der Seite an, wo Sie dies festgestellt haben. Das sollte in der Regel die Website eines der bekannten Antivirus-Hersteller sein, die grosse Bibliotheken mit Virenbeschreibungen im WWW bereitstellen.
Im Zweifel unterlassen Sie lieber die Weiterleitung von Virenwarnungen. So akut ist die Sache meist nicht, als dass das Lostreten einer Kettenbrieflawine damit zu rechtfertigen wäre. Fragen Sie (vorher!) hier (E-Mail-Adresse) nach, was es mit einer Virenwarnung auf sich hat.

Eine Liste dieser Websites finden Sie z.B. hier: http://hoax-info.tubit.tu-berlin.de/software/antivirus.shtml

Aktuelle Malware

Count2K (Y2Kcount)
Siehe Newsletter 11/99 und Extra-Blatt

Fix2001 (Win32/Fix2001)
Siehe Newsletter 11/99 und Extra-Blatt

Win32/Cholera, Win32/CTX
Siehe Newsletter 11/99 und Extra-Blätter:  Win32/Cholera, Win32/CTX

VBS/Freelinks
Zur Zeit sind einige hoaxähnliche Virenwarnungen im Umlauf, die vor Mails mit dem Subject (Betreff, Titel) 'Check this' warnen, die ein Attachment (Dateianhang) namens 'links.vbs' enthalten sollen.
Dies ist kein Hoax, es existiert ein Virus, auf das diese sehr rudimentäre Beschreibung zutrifft. Es handelt sich um ein virus, das den Windows Scripting Host (WSH) voraussetzt, der mit Windows 98 und 2000 serienmässig installiert wird, während er in Windows 95 und NT nicht enthalten ist, aber nachgerüstet werden kann.
Details im Extra-Blatt

I-Worm.PrettyPark (W32/Pretty, Trojan.PSW.CHV)
PrettyPark ist bereits seit Mai 1999 bekannt und war zunächst nur in Frankreich verbreitet. Kürzlich wurde PrettyPark von NAI/McAfee wieder auf die Warniste gesetzt, scheint sich nunmehr also auch ausserhalb Frankreichs zu verbreiten (ich habe heute selbst ein Exemplar aus Holland erhalten).

Kurz-Info (aus Hoax-Info Newsletter 9/99, überarbeitet):
Wurm (Windows, EXE)
entdeckt: Mai 1999
Schadensfunktionen: E-Mail-Versand, IRC-Kontakt zum Autor, Trojanisches Pferd, kann Benutzer-Daten ausspionieren.
Info (engl.):
http://vil.mcafee.com/vil/vpe10175.asp
http://www.avp.ch/avpve/worms/ppark.stm
http://www.sarc.com/avcenter/venc/data/prettypark.worm.html
http://www.Europe.Datafellows.com/v-descs/prettyp.htm

PrettyPark legt im Windows\System-Verzeichnis eine Datei 'files32.vxd' ab und modifiziert einen Registry-Schlüssel.
Mehr Details im Extra-Blatt

I-Worm.BadAss
Dieses Woche frisch eingetroffen: Wieder mal ein Wurm, der sich per E-Mail selbst weiterleitet.
In diversen Meldungen wird er als 'Melissa-Klon' bezeichnet, was nicht ganz richtig ist (Melissa ist ein Word-Makrovirus, BadAss hingegen wie Happy99 und ExploreZip ein selbständig lauffähiges Programm (EXE-Datei). Es wird allerdings vermutet, dass der Melissa-Quellcode als Basis verwendet wurde, um die EXE-Datei zu kompilieren.
I-Worm.BadAss (so die Bezeichnung des Antivirus-Herstellers AVP, wo er entdeckt wurde) kommt als Anhang (Attachment) einer E-Mail, deren Betreff (Subject) den Text 'Moguh..' enthält. Die Nachricht selbst lautet: 'Dit is wel grappig! :-)'.
Die Original-Datei heisst BADASS.EXE, sie kann aber umbenannt werden, dann verbreitet sich BadAss mit dem neuen Dateinamen.
Es sendet sich nach Aufruf (Ausführen) der EXE-Datei per Outlook an alle Adressen im Outlook-Adressbuch. Es sendet sich nicht mehrmals von demselben Computer aus. Dazu erstellt es einen Registry-Eintrag.

BadAss zeigt Windows-Dialogboxen mit Fäkal-Ausdrücken an, die Systemfehler vortäuschen sollen.
Mehr darüber im Extra-Blatt (dt.) sowie bei AVP und Symantec. (beide engl.)

I-Worm.Anap Ebenfalls in dieser Woche erst entdeckt wurde der Wurm 'Anap'. Er kommt per E-Mail, die den Betreff 'Patch' trägt und vermeintlich von einem der folgenden Absender stammt:
<support@microsoft.com> <support@netscape.com> <support@pc.ibm.com> <support@ibm.com> <support@intel.com>
Dabei wird als Name des Absenders einer ebenso zufällig aus einer längeren Liste ausgewählt.
Die Nachricht lautet:
'This is the patch you asked for.'
Die angehängte Datei heisst SETUP.EXE und ist etwa 16 kB gross. Anap durchsucht lokale HTML-Dateien nach E-Mail-Adressen und versendet sich selbst an diese per SMTP an max. 10 dieser Adressen pro Aufruf der SETUP.EXE.
Anap modifiziert keine Dateien oder Registry-Einträge, ist nicht speicherresident und wird nicht mit jeden Windows-Start ausgeführt.
Mehr Details im Extra-Blatt (dt.) sowie bei AVP (engl.).

I-Worm.Sysclock
SysClock ist recht vielseitig in seinen Aktivitäten. Er verbreitet sich per E-Mail (mit Eudora) und IRC (mIRC), löscht und überschreibt eine Reihe von Programmdateien, spioniert Passwörter aus, und manipuliert eine ganze Reihe von Registry-Einträgen, die Einstellungen von Anwendungsprogrammen enthalten usw.
SysClock kommt per E-Mail mit dem Betreff 'here's what u requested' und der Nachricht

 'You had requested this a while back, so here you are.
  enjoy.'
Die angehängte Datei PKZIP.EXE, etwa 80 kB gross, enthält den Wurm. Er installiert sich per Registry-Eintrag so, dass er mit jedem Windows-Start aufgerufen wird.
Ferner modifiziert SysClock die SCRIPT.INI des Chat-Programms mIRC (sofern vorhanden) so, dass die besagte PKZIP.EXE an jeden versandt wird der einem bestimmten IRC-Channel betritt.
Mehr Details im Extra-Blatt (dt.) sowie bei AVP (engl.).

I-Worm.Suppl (W97M.Suppl)
Dieser Wurm kommt zunächst per E-Mail in einem Word-Dokument namens SUPPL.DOC. Wird diese Datei in Word geöffnet, wird ein Makro aktiv, das eine Programmbibliothek (DLL) installiert, die bei nächsten Windows-Start die serienmässige WSOCK32.DLL ersetzt. Dadurch kann der Wurm aktive Internetverbindungen erkennen und sich per E-Mail weiterverbreiten.
Auf Grund der Installationsmethode (per WININIT.BAT) funktioniert Suppl nur unter Windows 95/98, nicht unter NT. Die originale WSOCK32.DLL wird dabei in WSOCK33.DLL umbenannt.
Eine Woche nach Installation wird die Schadensroutine aktiv: Sie überschreibt und löscht (ähnlich ExploreZip) Dateien mit den Erweiterungen DOC XLS TXT RTF DBF ZIP ARJ RAR. Diese können nicht wieder hergestellt werden (es sei denn von Backups).
Mehr Details im Extra-Blatt (dt.) sowie bei AVP, McAfee und Symantec (alle engl.).

Die genannten Extra-Blätter werden in den nächsten Tagen sukzessive bereitgestellt, einige existieren auch schon seit einiger Zeit.

Sind ihre Computer auf den Jahreswechsel 1999/2000 vorbereitet?

In den kommenden Tagen entsteht an der TU Berlin auch eine Seite mit Tipps und Links zum sog. Millennium-Bug:
http://hoax-info.tubit.tu-berlin.de/software/y2k.shtml

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber


Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright TU Berlin, Frank Ziemann, 1998-99, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Wenn Sie eingehende Hoaxes mit Sendung des Newsletters beantworten möchten, können Sie dies gerne tun. Dergleichen wird als 'persönl. Gebrauch' angesehen und bedarf keiner expliziten Erlaubnis. Dies gilt auch für die Weitergabe an einzelne Kollegen und Bekannte. In allen Fällen darf der Text jedoch nicht verändert werden.


Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]