Date sent: 26. Sept. 2000 Subject: Hoax-Info-Newsletter Nr. 5/2000 Send reply to: E-Mail-Adresse |
Hoax-Info-Newsletter Nr. 5/2000 |
Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.
Bitte besuchen Sie auch die WWW-Seite
hoax-info.de
Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.
Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse
California/Wobbler
Es wird vor E-Mails mit dem Titel (Betreff) 'California' gewarnt,
die ein Virus namens 'Wobbler' enthalten sollen. Die Beschreibung
der Wirkung des angeblichen Virus entspricht der in dem Hoax
'It takes guts to say Jesus'.
Es gibt kein Virus, auf das diese Beschreibung zutrifft. Es gibt
ein Scherzprogramm (Joke) namens Wobbler, das die Bildschirmanzeige
zum Wackeln bringt. Das hat jedoch nichts mit diesem Hoax zu tun.
Win A Holiday
Einer der ältesten noch kursieren Hoaxes, den ich immer wieder an
dieser Stelle nennen muss. Derzeit ist er im Doppelpack mit
'California/Wobbler' im Umlauf.
Zlatko.exe
Eine Kopie des Hoax 'Budweiser Frogs Bildschirnschoner', häufig
mit der kompletten Dienstadresse eines Telekom-Mitarbeiters verziert.
Handy-Betrug, SMS
Eine uralte Geschichte geht derzeit vor allem in Österreich wieder
um, nachdem sie wohl von einem Mitarbeiter der Polizei in Wien
'abgesegnet' wurde. Im August geisterte die gleiche Falschmeldung in
der Schweiz umher, von der Kantonspolizei Zürich 'geadelt'. Der
Mitarbeiter dort hat nun auf seiner Mailbox eine automatische Antwort
installiert, die darauf hin weist, dass es sich um einen Hoax handelt.
Gerüchte, man könne mittels der Zahlenkombination '666' kostenlos
SMS-Nachrichten versenden, entbehren ebenso jeder faktischen Grundlage
wie die Warnung, ebendiese Funktion würde von Betrügern ausgenutzt,
um die SIM-Karte auszulesen und auf Kosten des Besitzers zu
telefonieren. Das ist technisch nicht möglich.
Die ganze Story inkl. Stellungnahme der Deutschen Telekom
(T-Mobil) dazu:
Bitte leiten Sie generell keine Virenwarnungen weiter, in denen zur Weiterleitung an alle Bekannten aufgefordert wird. In mehr als 99% aller Fälle handelt es sich um Hoaxes, also Falschmeldungen. Wenn Sie unsicher sind, schauen Sie in die Liste der bekannten Hoaxes:
http://hoax-info.tubit.tu-berlin.de/hoax/hoaxlist.shtmlÜberlassen Sie es den dafür zuständigen Mitarbeitern in Ihrem Unternehmen, die Kollegen über Virengefahren zu informieren.
Es kursieren immer wieder Kettenbriefe, in denen dazu aufgerufen wird, durch Hinzufügen des eigenen Namens in eine beiliegende Liste eine Petition zu 'unterschreiben', die sich für eine Sache einsetzt.
Da Kettenbriefe allgemein ein schlechtes Ansehen haben, ist der Nutzen einer solchen Petition für diese Sache eher gering.
Kettenbriefe sind kein adäquates Medium zur Kommunikation seriöser Anliegen.
Aufruf zum Tank-Boykott
Ein neuerlicher Versuch, durch einen Kettenbrief einen Aufruf zu einem
Boykott von Tankstellen aufzurufen, wurde Mitte September gestartet,
wohl als Reaktion auf die derzeitigen Treibstoffpreise. So
verständlich die Aufregung darüber auch sein mag -- ein Boykott wie
in dem Kettenbrief beschrieben träfe in erster Linie die Pächter von
Tankstellen, weniger die Mineralöl-Industrie. Der Aufruf zeugt auch
von wenig Kenntnis der realen Zusammenhänge, in denen die Mineralöl-
Industrie (dieses Mal) nur eine Nebenrolle spielt.
WAP-Handys zu verschenken
Nachdem eine erste Welle dieser Falschinformationen bereits im März
und April dieses Jahres durch Europa zog, wird das Thema nun wieder
neu belebt, mit praktisch unverändertem Text.
Weder Nokia, noch Ericsson oder Siemens (oder ein anderer Hersteller)
verschenken WAP-Handys an diejenigen, die den Kettenbrief an soundso
viele Personen weiterleiten. Siehe Stellungnahmen von Nokia und
Ericsson dazu:
Viren/Würmer, die sich des Mediums E-Mail für ihre Verbreitung bedienen, nehmen weiter zu. Dazu trägt neben der mangelnden Schulung von Mitarbeitern (bzw. Kenntnisstand der Nutzer) auch die Verwendung dafür anfälliger E-Mail-Software bei.
Einige aktuellere Beispiele:
VBS/Funny (I-Worm.Funny)
VBS/Funny tauchte am 15.09.2000 erstmals auf und schien zunächst
eine neue Epidemie auszulösen. Dies erwies sich jedoch alsbald als
verfrühte Einschätzung. VBS/Funny sucht in der Windows-Registry
nach einem Schlüssel, der einen Eintrag für das Online-Banking
einer bestimmten Bank enthält. Wird dieser nicht gefunden, versendet
sich VBS/Funny per E-Mail an alle Adressen im MAPI-Adressbuch, das
vor allem von MS Outlook benutzt wird. Wird der Eintrag hingegen
gefunden, geschieht dies nicht, sondern es wird ein im VBS-Code
in Form von Hex-Codes enthaltenes Trojanisches Pferd installiert,
das Passwörter und anderen Daten ausspioniert und Tastatureingaben
protokollieren kann. Die gesammelten Daten werden per E-Mail an eine
chinesische E-Mail-Adresse geschickt.
Mails, die VBS/Funny enthalten, sehen z.B. so aus:
VBS/Funny.a: Subject: Funny story Text: ./. Attachment: FUNNY_STORY.HTM.vbs VBS/Funny.b: Subject: When did you die? Text: ./. Attachment: LIFE_ASSURANCE.HTM.vbs VBS/Funny.c,d: Subject: Rechnungsabschrift Text: INVOICE (gefolgt von einer falschen Rechnung) Attachment: RECHNUNGSABSCHRIFT.DOC.vbs
Je nach Systemeinstellungen (Explorer: Ansicht/Optionen) und E-Mail-Client wird die Endung .vbs teilweise nicht angezeigt.
Mehr Details:
http://hoax-info.tubit.tu-berlin.de/virus/funny.shtmlVBS/Quatro (VBS/Disabled)
Es kursieren aus Pressemeldungen kopierte Warnungen vor diesem Virus.
VBS/Quatro kommt per E-Mail mit einem Attachment (Dateianhang) namens
UPDATE.VBS und erfordert den Windows Scripting Host (WSH). Die Mails
haben den Betreff (subject) 'UPDATE IEXPLORE 5.5' und enthalten eine
Nachricht in französischer Sprache. Diese preist die Vorzüge der
neuen Version 5.5 des MS Internet Explorers.
VBS/Quatro sammelt Adressen aus Dateien mit den Endungen .htm, .html,
.txt und .wap und speichert sie in C:\Testfile.txt.
Es ruft eine Seite auf der Website von Microsoft auf,
wo man den Internet Explorer herunterladen kann.
VBS/Quatro löscht Dateien in allen Verzeichnissen ausser dem Haupt-
Verzeichnis (C:\), es sei denn, es findet die Datei C:\13a0.txt vor.
Auch weitere Laufwerke (D:, E:,...) werden nicht verschont.
W32/Qaz (W32.HLLW.Qaz, I-Worm.Qaz, Troj/Qaz)
Qaz ist ein Trojanisches Pferd mit Wurm-Eigenschaften. Qaz verbreitet
sich über die Netzwerkumgebung von Windows und das Internet. Dazu
müssen Freigaben nicht als Laufwerk gemapped sein. Auf infizierten
Systemen wird NOTEPAD.EXE gesucht und wenn gefunden, nach NOTE.COM
umbenannt, während Qaz sich selbst als NOTEPAD.EXE installiert. Es
sendet die IP-Adresse infizierter Rechner per E-Mail an seinen Autor.
Es lauscht am TCP-Port 7597 und ermöglicht den externen Zugriff auf
infizierte Rechner. Es handelt sich also um ein so genanntes Backdoor-
Programm oder RAT (Remote Administration Tool).
W32/MTX (I-Worm.MTX)
MTX besteht aus mehreren Teilen: Einem Wurm, der für die Verbreitung
sorgt; einem Virus, der Dateien infiziert und einem RAT (Remote
Administration Tool, Backdoor). Der Wurm benutzt eine ähnliche
Technik wie Happy99 (W32/Ska): Er ersetzt die Datei WSOCK32.DLL durch
eine modifizierte Version und speichert das Original als WSOCK32.MTX.
Damit sendet sich MTX als Attachment an alle Adressen, an die Sie
Mails schicken. Die Namen dieser Dateianhänge variieren je nach
Datum, hier einige wenige Beispiele:
README.TXT.pif FREE_xxx_sites.TXT.pif I_am_sorry.DOC.pif MATRiX_Screen_Saver.SCR ANTI_CIH.EXE
Achtung: Die Endung .pif wird auch im Explorer nicht angezeigt, selbst
wenn dieser so eingestellt ist, dass er alle Endungen anzeigen sollte.
Die Datei kann folglich auch nicht im Explorer mit einer harmlosen
Endung versehen werden.
MTX unterbindet ausserdem E-Mail- und WWW-Kontakt zu Antivirus-Firmen.
Die Virus-Komponente infizierte Win32-EXE-Dateien (PE-Typ) und installiert folgende versteckte Dateien im Windows-Verzeichnis:
IE_PACK.EXE - der Wurm WIN32.DLL - der Wurm, mit dem Virus infiziert MTX_.EXE - Backdoor
Die Backdoor-Komponente trägt sich in die Registry ein und nimmt Verbindung mit einem Server im Internet auf, um weitere Dateien und Programme herunterzuladen und zu installieren. Die geschieht bei jedem Windows-Start. MTX_.EXE ist nicht in der Taskliste sichtbar.
http://www.symantec.com/avcenter/venc/data/w95.mtx.htmlEinige Antivirus-Programme erkennen auch eine Reihe von Scherzprogrammen und melden diese dann als Virus 'JOKE_xyz' oder 'Joke.xyz'. Es handelt sich hierbei nicht um Viren! Bitte leiten Sie vor allen Dingen keine Mails mit Warnungen vor solchen 'Viren' weiter. Diese E-Mails werden von den Antivirus-Programmen generiert und an Empfänger und Absender der betreffenden Mail gesandt. Und bei diesem Personenkreis sollte es im Wesentlichen auch bleiben!
http://hoax-info.tubit.tu-berlin.de/hoax/joke.shtmlDieser Newsletter bleibt bei einigen Firmen regelmässig in den Content-Filtern der Mail-Server hängen und erreicht deshalb in einigen Fällen nicht oder verspätet seine Abonnenten. Urache: Er enthält naturgemäss und unvermeidlich die Namen von Hoaxes und Viren. Allzu einfach gestrickte Filter können das nicht von den 'richtigen' Hoaxes und/oder Viren unterscheiden. Ich möchte sicher stellen, dass der Newsletter, der ja dieselbe Zielsetzung wie diese Filter hat, diese jedoch durch Information und nicht durch Vorenthalten derselben erreichen will, bei allen Abonnenten ankommt. Ich biete daher den Administratoren dieser Mail-Filter an, sie bei der Konfiguration zu unterstützen. Die meisten Lösungen bieten die Möglichkeit, Ausnahmeregeln zu definieren, sie muss nur genutzt werden.
Ich habe daher bereits mit einigen Herstellern Kontakt aufgenommen. Bitte schreiben Sie mir, welche Software Sie einsetzen und ich werde Ihnen geeignete Vorschläge machen, wo dies möglich ist. Aus dem Versand des Hoax-Info Newsletter 4/2000 habe ich bereits folgende Programme als beteiligt identifiziert:
Trend Micro eManager (VirusWall, ScanMail): Ausnahmeregeln möglich
Network Associates WebScan SMTP 4.x : Ausnahmeregeln nicht möglich
MAILsweeper/MIMEsweeper: noch ungeklärt, wahrscheinlich ja
ChineseWall: Hersteller und Produkt unbekannt, bitte Info
Viele Updates und Patches für die verbreiteten Browser Netscape
Communicator und MS Internet Explorer werden angeboten, weil wieder
eine neue Sicherheitslücke entdeckt wurde. Durch eine sinnvolle
Konfiguration des Browsers und Installation einer aktuellen
Version können die daraus entstehenden Risiken meist vermieden
werden.
In Zusammenarbeit mit der Zeitschrift c't entstand der Browser-Check,
der dabei helfen soll, die eigenen Einstellungen zu prüfen und
anzupassen. Es werden auch einige Sicherheitslücken demonstriert;
für Linux ist auch etwas dabei.
Bis zur nächsten Ausgabe
Frank Ziemann, Herausgeber
Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.
Die Themen der nächsten Ausgaben:
(C) Copyright TU Berlin, Frank Ziemann, 1998-2000, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe
(außer zum persönlichen Gebrauch), auch auszugsweise,
bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Ausnahmen:
Sie dürfen ohne besondere Einwilligung des Autors diesen
Newsletter unverändert an einzelne Personen weiterleiten.
Sie dürfen diesen Newsletter innerhalb Ihrer Organisation in
unveränderter Form zur Information Ihrer User verwenden, in
diesem Falle bitte ich nur um formlose Mitteilung.
Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!