Date sent:        7. Aug. 2000
Subject:          Hoax-Info-Newsletter Nr. 4/2000
Send reply to:    E-Mail-Adresse

Hoax-Info-Newsletter Nr. 4/2000

Bitte beachten Sie auch den Nachtrag zu dieser Ausgabe

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Bitte besuchen Sie auch die WWW-Seite
http://hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.

Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse


Inhalt:


Aktuell im Umlauf befindliche Hoaxes

Folgende Hoaxes sind derzeit im Umlauf:

 

California/Wobbler
Es wird vor E-Mails mit dem Titel (Betreff) 'California' gewarnt, die ein Virus namens 'Wobbler' enthalten sollen. Die Beschreibung der Wirkung des angeblichen Virus entspricht der in dem Hoax 'It takes guts to say Jesus'. Es gibt kein Virus, auf das diese Beschreibung zutrifft. Es gibt ein Scherzprogramm (Joke) namens Wobbler, das die Bildschirmanzeige zum Wackeln bringt. Das hat jedoch nichts mit diesem Hoax zu tun.

http://hoax-info.tubit.tu-berlin.de/hoax/wobbler.shtml  

Win A Holiday
Einer der ältesten noch kursieren Hoaxes, den ich immer wieder an dieser Stelle nennen muss. Derzeit ist er im Doppelpack mit 'California/Wobbler' im Umlauf.

 

BUDDLY SIP
Eine weitere Schreibweisenvariante des 'Budweiser Frogs' Hoax. Derzeit im Umlauf im Doppelpack mit einer übertriebenen Warnung vor dem SouthPark-Wurm.

http://hoax-info.tubit.tu-berlin.de/hoax/budfrogs.shtml  

SouthPark-Wurm
Dieser Wurm existiert. Er ist jedoch weniger verbreitet als die Warnungen davor.

Beschreibung:
http://hoax-info.tubit.tu-berlin.de/virus/southpark.shtml  

Kali/Lets watch TV
Ein weiterer Hoax, der vor einem Virus in Mails mit dem Betreff 'Lets watch TV' warnt, die ein Virus namens Kali enthalten sollen. Es gibt diese Mails nicht. Es gibt ein lange bekanntes Virus namens Kali, das jedoch nicht verbreitet ist und auch nicht die in dem Hoax beschriebene Wirkung hat.

Bitte leiten Sie generell keine Virenwarnungen weiter, in denen zur Weiterleitung an alle Bekannten aufgefordert wird. In mehr als 99% aller Fälle handelt es sich um Hoaxes, also Falschmeldungen. Wenn Sie unsicher sind, schauen Sie in die Liste der bekannten Hoaxes:

http://hoax-info.tubit.tu-berlin.de/hoax/hoaxlist.shtml

Überlassen Sie es den dafür zuständigen Mitarbeitern in Ihrem Unternehmen, die Kollegen über Virengefahren zu informieren.


Kettenbriefe

Es kursieren immer wieder Kettenbriefe, in denen dazu aufgerufen wird, durch Hinzufügen des eigenen Namens in eine beiliegende Liste eine Petition zu 'unterschreiben', die sich für eine Sache einsetzt.

Da Kettenbriefe allgemein ein schlechtes Ansehen haben, ist der Nutzen einer solchen Petition für diese Sache eher gering.

Kettenbriefe sind kein adäquates Medium zur Kommunikation seriöser Anliegen.

Regenwald-Petition
Hier geht es um die Abholzung großer Teile des brasilianischen Regenwaldes. Es gab tatsächlich eine Vorlage im brasilianischen Congress, die eine solche Maßnahme zum Ziel hatte. Sie wurde jedoch von der Mehrheit der Abgeordneten abgelehnt. Dazu hat sicherlich auch der Druck der Öffentlichkeit und nationaler und internationaler Organisationen und Initiativen beigetragen. Behauptungen, E-Mail- Petitionen hätten wesentlichen Anteil an diesem Erfolg sind maßlos übertrieben und entbehren jeder faktischen Grundlage.
Die in dem im deutschsprachigen Raum kursierenden Kettenbrief angegebene E-Mail-Adresse, an die die 'Unterschriftenlisten' zu senden sein sollen, existiert nicht (mehr).

Es existiert tatsächlich eine Website, die nach dem erfolgreichen Schema der 'Hungersite' Spenden für Regenwaldprojekte sammelt.

http://hoax-info.tubit.tu-berlin.de/hoax/hungersite.shtml

Der Betreiber der 'Rainforestsite' ist derselbe wie der der 'Hungersite'.
Eine weitere Website funktioniert ähnlich und sie leitet wirklich Spenden an eine US-Naturschutzorganisation weiter. Dies wurde mir auf Nachfrage von derselben bestätigt.

Film 'Gay Jesus'
Es wird behauptet, es solle demnächst ein Film anlaufen, in dem Jesus und seine Jünger als Homosexuelle dargestellt werden. Der Kettenbrief ruft alle Christen auf, sich der Petition gegen diesen Film anzuschließen.
Es gibt keinen solchen Film, auch kein Theaterstück, auf dem ein solcher Film beruhen könnte (das wird in dem Kettenbrief behauptet). Das Gerücht über Pläne zu einem solchen Film wird schon seit Jahren in wechselnden Kettenbriefaktionen verbreitet, was den Gehalt an Fakten jedoch nicht signifikant erhöht.

urbanlegends.about.com

Bitte beachten Sie hierzu auch den Nachtrag zu dieser Ausgabe

Glücks- und Tränendrüsenbriefe
Es kursieren weiterhin diverse Kettenbriefe, in denen 'Glücks-Tantras', 'nepalesische Tantra-Totems' und ähnlicher Unfug 'transportiert' werden. Bitte nicht weiterleiten.
Es kursieren weiterhin Kettenbriefe, in denen von todkranken Kindern die Rede ist, denen auf diese Weise geholfen werden soll. Das ist Unfug. Diese Kinder existieren nicht, vergleiche exemplarisch:

http://hoax-info.tubit.tu-berlin.de/hoax/jessica.shtml

Intel/AOL E-Mail-Beta-Test
Variante des 'Microsoft/AOL Beta-Test' Hoax, in der behauptet wird, Intel und AOL hätten fusioniert und man bekäme Geld für das Weiterleiten des Kettenbriefs.

http://hoax-info.tubit.tu-berlin.de/hoax/msaol.shtml

Nachbetrachtung zu VBS/Loveletter ('ILOVEYOU-Virus')

Unbenommen der Tatsache, dass die ursprüngliche Version dieses Virus (bzw. E-Mail-Wurms) erhebliche Verwirrung und Schäden angerichtet hat, ist die Bedeutung aller in der Folge aufgetauchten Versionen minimal. Auch diverse andere Viren/Würmer, die nach VBS/Loveletter bekannt wurden, haben eine Publizität erfahren, die ihrer Bedeutung keineswegs angemessen ist.

Was wir durch VBS/Loveletter erfahren haben ist, dass die Verantwortlichen für Datensicherheit in vielen Organisationen nichts aus dem Melissa-Vorfall im März/April 1999 gelernt haben.

Immer noch sind viele Mailserver ungeschützt, teils weil zwar eine Antivirus-Lösung gekauft wurde, diese jedoch nach der Installation nicht gepflegt wird und damit veraltet ist. Allein durch regelmäßige Updates der Virensignatur-Dateien kann zwar ein Schaden durch neue, noch unbekannte Viren/Würmer nicht verhindert werden, dies bietet jedoch guten Schutz vor bekannter Malware. Die zusätzliche Filterung von Attachments (Dateianhängen) leistet hier ergänzende Dienste. So gibt es eigentlich keinen vernünftigen Grund, warum eine E-Mail Dateien mit der Doppelendung '.txt.vbs' enthalten sollte. Es wird sich also mit hoher Wahrscheinlichkeit um Malware handeln. Auch der Austausch von Daten mittels Dateien in den eigenen Formaten von Office-Programmen (z.B. *.doc) ist immer noch eine weit verbreitete Unsitte. Nicht zuletzt dadurch wurden Makro-Viren zu der am weitesten verbreiteten Gattung von Viren. Ähnliches gilt für die verbreitete Unsitte, HMTL-formattierte Mails zu versenden (s.u.).

Immer noch ist die Schulung und Einweisung von Mitarbeitern, die E-Mail und Web am Arbeitsplatz nutzen können, die Ausnahme. Geschulte Mitarbeiter sind eine wertvolle Ressource, deren Wert durch ständige Weiterbildung erhalten werden muss. Dies ist ein wesentlicher Baustein eines umfassenden Datensicherheitskonzepts, vielleicht der wichtigste.

Viren in E-Mails

Viren/Würmer, die sich des Mediums E-Mail für ihre Verbreitung bedienen, nehmen weiter zu. Dazu trägt neben der mangelnden Schulung von Mitarbeitern (bzw. Kenntnisstand der Nutzer) auch die Verwendung dafür anfälliger E-Mail-Software bei.

VBS/BubbleBoy
So tauchte im Frühjahr 2000 eine Variante des seit Herbst 1999 bekannten Wurms VBS/BubbleBoy erstmals in freier Wildbahn auf. Dieser Wurm wird bereits in der Vorschau (Preview-Mode) von Outlook/Outlook Express aktiv, d.h. ohne dass der Empfänger die Mail bewusst öffnet. Der Virus-Code ist nicht in einer angehängten Datei enthalten, sondern in HTML-formattiertem Mail-Text eingebettet.

http://hoax-info.tubit.tu-berlin.de/virus/bubbleboy.shtml

Virus in angeblicher T-Online-Werbe-Mail
Im Juli 2000 tauchten E-Mails mit dem Betreff 'T-Online Flat-Rate Gewinnchancen' auf, die den Empfängern den Gewinn einer so genannten Flatrate versprach. Die Mail stammte vorgeblich von einem Silvio Reuter, der sich als Chef einer 'T-Online-Flat.Rate Ag Deutschland' ausgab. Die 'Gewinner' sollten lediglich den beigefügten 'patch' ausführen (es war eine Datei angehängt). Diese Datei war jedoch (absichtlich) mit einem Virus aus der 'F-YOU'-Familie infiziert.

Eine Subfirma der Telekom mit dem angegebenen Namen existiert nicht. Falls Sie eine solche Mail erhalten (haben), führen Sie die angehängte Datei nicht aus. Sollten Sie dies bereits getan haben, können Sie die Infektion mit nahezu jeder am Markt befindlichen Antivirus-Software entfernen. F-YOU-Viren sind schon ziemlich lange bekannt, auch die vorliegende Variante (F-You.417.a) ist nicht neu. F-You ist speicherresident und infiziert EXE- und COM-Dateien, wenn diese ausgeführt werden. In regelmäßigen Abständen werden Meldungen angezeigt; weitere Schäden richtet F-You nicht an.

E-Mails mit kriminellen Absichten

Bereits seit Jahren werden Faxe und E-Mails gezielt versandt, in denen unter Titeln wie 'Confidential Business Proposal' Millionen von Dollar versprochen werden.
Dazu wird eine erfundene Geschichte erzählt (z.B. hohe Erbschaft), die sich meist in Nigeria zugetragen haben soll. Der Absender wendet sich hilfesuchend an den angeblich als seriöse Geschäftsperson bekannten Empfänger und bittet ihn, sein Bankkonto für die Transaktion des Geldes zur Verfügung zu stellen. Er soll dafür einen prozentualen Anteil an dem Geld erhalten, das auf diese Weise außer Landes geschafft werden soll. Es handelt sich regelmäßig um einige Millionen Dollar, die es dabei zu verdienen geben soll.

An dieser Stelle (mit dem Empfang dieser Mail, dieses Faxes) sollte die Geschichte besser enden, denn die Fortsetzung wäre wenig erbaulich sondern endet regelmäßig mit einer finanziellen und persönlichen Katastrophe.

Hier geht es nicht um vergleichsweise 'harmlose' Viren oder Würmer, auch nicht um mehr oder weniger schlimme Scherze, die mit den Adressaten getrieben werden.
Es geht vielmehr um kriminelle Machenschaften, in die die Adressaten nicht nur als Opfer sondern zum Teil auch als Täter hineingezogen werden sollen.

Dem wachen Verstand des aufmerksamen Lesers sollte sich bereits beim Lesen zumindest der Verdacht aufdrängen, dass es hier nicht mit rechten Dingen zugehen kann. Wer sich auf die Aktion einlässt, zeigt damit erhebliche kriminelle Energie, die durch Gier geweckt wird. Häufig geht es nämlich um Gelder, die dem Staat Nigeria gehören und der Absender gibt sich als Staatsdiener oder Anwalt aus.

Antwortet man auf die Mail (bzw. Fax) in der geforderten Weise, wird der nächste Schritt der Täter darin bestehen, für die Abwicklung der Transaktion sowie notwendige Bestechungsgelder einen Vorschuss zu erbitten, der im Vergleich zu der zu erwartenden Summe gering ist, jedoch durchaus einige tausend DM betragen kann. Geht der nunmehrige Mittäter darauf ein und überweist das Geld, endet die Geschichte meist an dieser Stelle -- das Geld ist weg, dessen Empfänger auch. Es handelt sich also um das auch hierzulande (siehe Angebote für Nebenjobs im Kleinanzeigenteil von Zeitungen) bekannte Delikt des 'Vorschuss-Betrugs' (Advance Fee Fraud) nach dem entsprechenden Artikel im nigerianischen Stragesetzbuch auch '419' genannt.

Schlimmer trifft es diejenigen, die gebeten werden, das Geld persönlich nach Nigeria zu bringen. Sie werden nicht nur des Geldes beraubt, sondern oft auch als Geisel genommen und nur gegen Lösegeld wieder frei gelassen.

Was sich nach einer sehr abenteuerlichen Geschichte anhört, ist nahezu tägliche Realität der Polizeibehörden in Europa und Afrika. Betroffene sollten sich an die deutsche Polizei und / oder die Botschaft des jeweiligen (meist afrikanischen) Landes wenden. Sie erhalten zwar ihr Geld nicht wieder, geben aber u.U. wertvolle Hinweise, die gelegentlich auch zur Ergreifung solcher Täter führen können. Es gibt wohl sogar einen Selbsthilfeverein der derart Geneppten.

Es muss also dringend davor gewarnt werden, auf solche Angebote einzugehen, es stecken praktisch immer Kriminelle dahinter.

http://www.v-d-boom.de/419.html

ICANN At Large Mitgliedschaft

Unter der plakativen, aber wenig realistischen Einleitung 'Das Internet bekommt ab September 2000 eine weltweite Regierung' wird in einem Kettenbief, durch einen Bericht des SPIEGEL inspiriert, der darin auch zitiert wird, dazu aufgerufen, sich als Wähler registrieren zu lassen.

Abgesehen von der massiven Überschätzung der Bedeutung von ICANN (International Corporation for Assigned Names and Numbers) ist die Darstellung im Kern zutreffend.
Die Frist für die Registrierung (31. Juli 2000) ist unterdessen abgelaufen, Anmeldungen waren auch vorher schon praktisch nicht mehr möglich, da die Anmelde-Server zu jeder Tages- und Nachtzeit überlastet und somit nicht nutzbar waren. ICANN hatte wohl die zu erwartende Teilnahme massiv unterschätzt und war unfähig, die die Erwartungen um etwa eine Größenordnung übersteigende Zahl der Anmeldungen zu meistern.

Aufgabe der ICANN ist v.a. der Beschluss über die Einführung neuer gTLD (generic Top Level Domains), zusätzlich zu den bestehenden (com, net, org, edu, gov, int, mil), z.B. .web, .eu etc., in das DNS (Domain Name System) des Internet. Dazu kommt die Zulassung von Domain-Registraturen und rechtliche Fragen bei Domainstreitigkeiten. Die registrierten Wähler sollen je einen Vertreter jedes Kontinents für das Direktorium der ICANN wählen.

Obwohl sich viele Internetnutzer nicht anmelden konnten, wird die Wahl des Direktoriums wie geplant fortgesetzt.

http://www.icann.org

In eigener Sache

Dieser Hoax-Info Newsletter wird an mehr als 8600 Abonnenten versandt. Um die Web-Adresse leichter merk- und kommunizierbar zu machen, habe ich die Domain hoax-info.de registriert. Unter www.hoax-info.de finden sich derzeit keine Inhalte, man wird automatisch auf die bekannte Seite an der TU Berlin weitergeleitet. Wahlweise kann auf den Mirror bei der VHM (Virus Help Munich, www.vhm.haitec.de) verzweigt werden.

Anfragen zu Hoaxes und Kettenbriefen können an diese Adresse gesandt werden, die bisherigen Adressen bleiben weiterhin bestehen.

Mails mit Fragen zur Abo-Verwaltung bitte nur an <hoax-info-owner(at)zrz.tu-berlin.de>, bitte keine Hoax-Fragen an diese Adresse schicken. Für Abbestellungen und Adressänderungen im Do-It-Yourself-Verfahren nur die weiter unten genannte Adresse verwenden, denn hier wird ein automatisches Verfahren verwendet, das auch davon abhängig ist, dass die Mails richtig formuliert sind.

Bitte schicken Sie keinerlei Mails an die Zustelladresse des Newsletters <hoax-info(at)zrz.tu-berlin.de>, alle Mails an diese werden abgeblockt.

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber


Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright TU Berlin, Frank Ziemann, 1998-2000, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Ausnahmen:
Sie dürfen ohne besondere Einwilligung des Autors diesen Newsletter unverändert an einzelne Personen weiterleiten. Sie dürfen diesen Newsletter innerhalb Ihrer Organisation in unveränderter Form zur Information Ihrer User verwenden, in diesem Falle bitte ich nur um formlose Mitteilung.


Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]