Date sent: 29. Januar 2002 Subject: Hoax-Info-Newsletter Nr. 1/2002 Send reply to: E-Mail-Adresse |
Hoax-Info Newsletter (E-Mail): Hoax-Info Newsletter (Internet): |
ISSN 1618-2081 ISSN 1618-209X |
Hoax-Info-Newsletter Nr. 1/2002 |
Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.
Bitte besuchen Sie auch die WWW-Seite http://hoax-info.de
Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.
Antworten Sie bitte nicht an die Absender-Adresse dieses Newsletters, sondern achten Sie bitte darauf, dass die voreingestellte Antwort-Adresse von Ihrem E-Mail-Programm übernommen wird. Senden Sie bitte bei einer Antwort nicht den kompletten Newsletter wieder mit - ich kenne den Inhalt.
Dieser Newsletter wird an über 20.000 Abonnenten versandt. Informationen zur Abbestellung dieses Newsletters finden Sie am Ende. Adressen, an die ein Newsletter nicht zugestellt werden kann, werden ohne weitere Rückfrage aus dem Verteiler gestrichen.
Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse
Nach den Attentaten am 11. September 2001 hat die Zahl der
E-Mail-Anfragen so stark zugenommen, dass ich leider keine
Zeit mehr gefunden habe, einen Newsletter zu schreiben.
Die eine oder andere Anfrage musste aus demselben Grund
unbeantwortet bleiben. Ich danke Ihnen für Ihr Verständnis.
Im neuen Jahr soll nun wieder regelmäßig einmal im Monat
ein Newsletter erscheinen.
Derzeit sind folgende falsche Warnungen vor Viren und Malware verstärkt im Umlauf, die eigentlich schon länger bekannt sind:
A Virtual Card for You
An Internet Flower for you
Ein länglicher Kettenbrief warnt vor E-Mails mit diesen beiden
Betreffzeilen. Sie sollen angeblich von Microsoft und McAfee bzw. von
Intel entdeckt worden sein und CNN soll darüber berichtet haben. Die
Wirkung dieser vermeintlichen Viren ist natürlich wie immer ganz
furchtbar und es kann sie auch kein Virenscanner entdecken. Letzteres
stimmt sogar - wo nichts ist, gibt es auch nichts zu entdecken... Es
gibt dazu ein Extra-Blatt, beide Titel stehen jedoch in der
Hoax-Liste:
Psychospiel & Co
Ein weiterer Hoax, der zusammen mit dem zuvor genannten die Runde macht, warnt gleich
vor drei Viren auf einmal: Psychospiel, Screensaver 'Baby Fun' und
Emanuel.exe - nur letzterer ist tatsächlich existent und relativ schädlich.
Dieser Dateiname wird von dem Virus/Wurm W32/Navidad.b verwendet:
http://hoax-info.tubit.tu-berlin.de/virus/navidadb.shtml
Extra-Blatt zu diesem Hoax
Typischerweise treten derzeit alle o.g. Hoaxes in einer einzigen Mail auf. Diese Kombi-Packung mit 'Virtual Card' macht hier zurzeit über 50% der Anfragen zu Viren-Hoaxes aus.
SULFNBK.EXE
Auch nicht neu, aber derzeit wieder stark im Umlauf ist die falsche
Warnung vor einem vermeintlichen 'schlafenden Virus', der angeblich
von keinem Virenscanner erkannt wird. Er soll in der Datei
SULFNBK.EXE stecken. Diese Datei ist jedoch, trotz des nicht gerade
gelungenen Dateisymbols, eine serienmäßige Windows-Datei, d.h. sie
ist auf allen PCs mit Windows 98 oder ME vorhanden, nicht jedoch bei
Windows 95, NT, 2000, XP.
Dieser Hoax ist dadurch entstanden, dass der Virus W32/Magistr.a System-Dateien infiziert und per E-Mail versendet. Das kann auch mal eine Datei aus dem Verzeichnis Windows\Command erwischen, z.B. die besagte SULFNBK.EXE. Aus nicht mehr nachvollziehbaren Gründen hat es eine Warnung vor einer ursprünglich wohl tatsächlich infizierten Datei dieses Namens, die per E-Mail beim Urheber der Warnung eintraf, geschafft, als Hoax um die Welt zu gehen. Viele Benutzer löschen ohne weitere Nachprüfung einfach diese Datei, weil sie sie auf ihrem Rechner finden und (natürlich) kein Virenscanner etwas findet. D.h. die Tatsache, dass kein Virenscanner einen Virus in der Datei findet, wird auch noch als Bestätigung der falschen Warnung fehlgedeutet - soweit ist es schon...
Wirkliche neue Hoaxes sind derzeit Mangelware, aber wer wollte das ernsthaft beklagen?! Einige ältere Hoaxes sind immer noch im Umlauf, erreichen aber kaum die Relevanzschwelle (jedenfalls, wenn ich nach den Meldungen gehe, die hier einlaufen).
Bitte leiten Sie generell keine Virenwarnungen weiter, in denen zur Weiterleitung an alle Bekannten aufgefordert wird. In mehr als 99% aller Fälle handelt es sich um Hoaxes, also Falschmeldungen. Wenn Sie unsicher sind, schauen Sie in die Liste der bekannten Hoaxes
Überlassen Sie es den dafür zuständigen Mitarbeitern in Ihrem Unternehmen, die Kollegen über Virengefahren zu informieren.
Aktuelle Virenmeldungen und Links zu weiteren Informationen finden Sie seit Anfang Dezember 2000 auch auf dieser Seite:
http://hoax-info.tubit.tu-berlin.de/virus/aktuell.shtml
In diese Liste werden (tagesaktuell) nur Viren und Würmer aufgenommen, die von mehreren Antivirus-Herstellern als verbreitet gemeldet werden. Ferner ausnahmsweise solche, die ein großes Medien-Echo oder eine große Zahl an Anfragen generiert haben.
Tipp: Wenn Sie einen vermutlichen Hoax nicht in der Liste finden,
picken Sie sich eindeutige Stichwoerter aus dem Text, vor allem
aus dem angeblichen Betreff der Mails, vor denen gewarnt wird,
und fuettern Sie die lokale Suchmaschine
('Suchfunktion') damit.
Sie durchsucht alle Seiten nach diesen Begriffen und listet die
Treffer nach Relevanz sortiert auf. Die Syntax ist wie bei den
bekannten Web-Suchmaschinen.
Pyramidensysteme
Auf diese Art von Kettenbriefen bin ich in der
Ausgabe 1/2001
schon ausführlich eingegangen. Es gibt offensichtlich eine Reihe
von Unbelehrbaren, die auch nach dem sie beim dritten Mail-Provider
deshalb rausgeflogen sind, weiter solche illegalen Mails versenden -
immer schön mit voller Postadresse an der Stelle, wo man den
'Report Nr. 1' (oder wie es gerade genannt wird) bestellen soll.
Die Liste der Überschriften, mit denen diese Systeme (nicht nur) per E-Mail propagiert werden, ist zu lang, um alle in die Hoax-Liste aufzunehmen. Allen gemeinsam ist, dass die Mails sehr lang sind. 'PC-Verdienst durch E-Mail Senden' ist eines der jüngeren Beispiele, die Texte sind inhaltlich praktisch identisch.
Es sei für alle, die mit dem Gedanken spielen, es auch mal damit zu versuchen, darauf hingewiesen, dass sich auch die Polizei für derlei Machenschaften interessiert. Zum Teil existieren spezielle Ermittlungsgruppen bei den Landeskriminalämtern.
http://hoax-info.tubit.tu-berlin.de/hoax/#8.1
http://www.detta.de/Schneeballsysteme.htm
Drain Ernold
Was haben Schweizer Bankdirektoren, Vorstandsmitglieder süddeutscher
Pharma-Unternehmen, Berliner Universitätsprofessoren und die
Nachrichtenredaktion eines großen deutschen Privatsenders mit
normalen Internetbenutzern gemeinsam? Sie sind alle auf einen
Kettenbrief aus der Abteilung 'Tränendrüsenbriefe' hereingefallen.
Angeblich ist es der Wunsch eines todkranken Jungen namens Drain
Ernold (teils auch Drain Arnold u.a.), mit den meisten Genesungs-
wünschen ins Guinness-Buch der Rekorde zu kommen. Es wird sogar
eine Postadresse in Grossbritannien angegeben - die variiert jedoch
ständig und ist in jedem Fall falsch. So warnen u.a. der sächsische
Landtag und die IHK Hannover in Pressemitteilungen vor diesem
Kettenbrief.
Das Ganze basiert auf der wahren Geschichte von Craig Shergold, die
im Jahre 1989 begann. Lesen Sie mehr darüber auf
http://hoax-info.tubit.tu-berlin.de/hoax/craig.shtml
Knochenmarkspender gesucht (Julia S.)
Seit 14 Monaten kursiert ein Kettenbrief, in dem jemand mit der
Blutgruppe 'AB negativ' gesucht wird, der sich als Knochenmarkspender
zur Verfügung stellt. Angegeben ist die volle Adresse einer Julia S.
aus dem Raum München, die in Wirklichkeit auch nur den Kettenbrief
weitergeleitet hat. Volltext und weitere Infos zu diesem Kettenbrief,
der im Januar 2002 wieder sehr stark im Umlauf ist:
http://hoax-info.tubit.tu-berlin.de/hoax/knochenmarkspende.shtml
Merke:
Kettenbriefe sind kein adäquates Medium
zur Kommunikation seriöser Anliegen.
Viren/Würmer, die sich des Mediums E-Mail für ihre Verbreitung bedienen, nehmen weiter zu. Dazu trägt neben der mangelnden Schulung von Mitarbeitern (bzw. Kenntnisstand der Nutzer) auch die Verwendung dafür anfälliger E-Mail-Software bei.
W32/Badtrans.b
Neuer Rekordhalter bei den meisten versandten Virus-Mails dürfte
unangefochten W32/Badtrans.b sein. Diese im November 2001 entdeckte
Variante des seit März 2001 bekannten Badtrans.a macht sich
Sicherheitslücken in Outlook Express zunutze. Dadurch wird der
Anhang automatisch geöffnet und ausgeführt, wenn die Mail in der
Vorschau angezeigt wird.
Allein hier wurden seit November 2001 über 3000 mit Badtrans.b
infizierte Mails gezählt (in einer einzigen Mailbox). Freunde von
Mail-Filtern finden ein zuverlässiges Filterkriterium auf der Seite
http://hoax-info.tubit.tu-berlin.de/virus/aktuell.shtml
ebenso wie Links zu weiteren Infos über W32/Badtrans.b. Den Text für den Filter kann ich leider nicht hier einfügen, da sonst dieser Newsletter bei diversen Mailservern hängen bleiben würde, die dieses Filterkriterium bereits verwenden. Auch kostenlos erhältliche Gegenmittel sind dort angegeben, ebenso ein Programm zum Entschlüsseln der Daten, die das von Badtrans.b installierte Trojanische Pferd aufgezeichnet hat. Es protokolliert Tastaturanschläge, um Passwörter auszuspionieren.
W32/MyParty
Am 28.01.2002 entdeckt, breitet sich W32/MyParty schnell aus.
Der Dateiname 'www.myparty.yahoo.com' (29 KB) soll eine Webadresse
suggerieren, es handelt sich jedoch um eine PE-Datei (EXE).
Mails mit diesem Wurm treffen mit dem Betreff
'new photos from my party!'
und dem o.g. Anhang ein. Die Schadensfunktion beschränkt sich nach
bisherigen Erkenntnissen im Wesentlichen auf den Versand von
infizierten E-Mails - zumindest bei Windows 9x/ME.
W32/MyParty legt unter Windows 95/98/ME eine Datei REGCTRL.EXE im
Verzeichnis C:\Recycled an, bei Windows NT/2000/XP landet sie in C:\.
Ferner findet sich im Windows-Papierkorb eine Datei F-???.EXE, wobei
die Fragezeichen eine zufällige Zahl repräsentieren. Diese Datei
wird jedoch nur angelegt, wenn das Systemdatum zwischen dem 26. und
29. Januar liegt. Auf NT-Systemen (inkl. Windows 2000 + XP) versucht
der Wurm auch, sich als MSSTASK.EXE im Autostart-Ordner einzutragen
und installiert damit einen Backdoor-Trojaner.
Eine zweite Variante benutzt den Dateinamen 'myparty.photos.yahoo.com',
28 KB groß, ist ansonsten praktisch identisch.
Bei Bitdefender (AVX) gibt es kostenlose Gegenmittel, sowohl
eines gegen W32/Badtrans als auch eines gegen W32/MyParty:
http://www.bitdefender.com/html/free_tools.php
Aktuelle Meldungen über in freier Wildbahn (ITW, In The Wild) gesichtete Viren und Würmer finden Sie auch hier:
http://hoax-info.tubit.tu-berlin.de/virus/aktuell.shtml
Öffnen Sie grundsätzlich nie Dateianhänge unbekannter Herkunft.
Prüfen Sie alle Dateianhänge mit einem aktuellen Virenscanner,
selbst wenn die Mail von Ihrem Chef, Ihrem Ehepartner oder Sysop
kommt. Führen Sie nie Programme aus, die per E-Mail kommen.
Wo immer möglich, deaktivieren oder deinstallieren Sie den Windows
Scripting Host.
Nachdem es ermutigende Rückmeldungen zur Ankündigung von
Hoax-Info Pro gab, habe ich auf der Systems in München mit den
dort vertretenen Anbietern von Content-Filtern gesprochen. Alle
waren sehr interessiert, im Hoax-Info Pro Forum mitzuwirken.
Leider wird sich der Start noch etwas verzögern. Geplant ist
derzeit das 2. Quartal diesen Jahres. Rechtzeitig zur CeBIT wird
es mehr darüber zu erfahren geben. Ich werde auch im Rahmen der
CeBIT weitere Gespräche führen und bei Bedarf auch Interessenten
für Hoax-Info Pro dort zur Verfügung stehen. Weitere Infos zu
Hoax-Info Pro finden Sie in Zukunft auf
http://hoax-info.de/pro/
Bis zur nächsten Ausgabe
Frank Ziemann, Herausgeber
Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.
Die Themen der nächsten Ausgaben:
(C) Copyright Frank Ziemann, TU Berlin, 1998-2002, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe
(außer zum persönlichen Gebrauch), auch auszugsweise,
bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Ausnahmen von der Einwilligungspflicht:
Sie dürfen ohne besondere Einwilligung des Autors diesen
Newsletter unverändert an einzelne Personen weiterleiten.
Verwendung in Intranets.
Informieren Sie sich über sog. E-Mail-Viren:
hoax-info.de
Information ist das einzige Gegenmittel!