Date sent:        02. Nov. 1998 
Subject:          Hoax-Info-Newsletter Nr. 5/98
Send reply to:    E-Mail-Adresse

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, "echte" E-Mail-Viren und ähnliches.

Zur Zeit wird eine deutschsprachige Hoax-FAQ erarbeitet, die dann Bestandteil dieses Newsletters wird. Unter FAQ versteht man eine Sammlung häufig gestellter Fragen (Frequently Asked Questions) sowie der Antworten auf diese Fragen.

Bitte besuchen Sie einstweilen die WWW-Seite http://hoax-info.tubit.tu-berlin.de/hoax/

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes.

Inhalt:

Die fünfte Ausgabe des Hoax-Info-Newsletter enthält nun endlich die Hoax-Mini-FAQ. Diese soll die wichtigsten Fragen in Zusammenhang mit falschen Virenwarnungen beantworten. Sie soll Ihnen als Nachschlagewerk dienen, wenn Sie mal wieder ein solche Virenwarnung erhalten. Ferner können (und sollen) Sie diese FAQ an den Absender der Virenwarnung schicken.

Ferner enthält dieser Newsletter noch einen Nachtrag zu NetBus und Back Orifice, auf die ja in der vierten Ausgabe eingegangen wurde.
Zu wirtschaftlichen Schäden durch Hoaxes gibt es zumindest schonmal eine URL.

1. Hoax-Mini-FAQ
2. Nachtrag zu NetBus und Back Orifice
3. Wirtschaftliche Schäden durch Hoaxes

1. Hoax-Mini-FAQ

Inhalt der Mini-FAQ:

0. Vorwort
1. Worum geht es hier?
2. Fakten, Fakten, Fakten
3. Welche Hoaxes sind bekannt?
4. Wie erkenne ich einen Hoax?
5. Was mache ich, wenn ich eine solche Mail erhalte?
6. Warum soll ich das glauben was hier steht und nicht den Warnungen?
7. Wo erhalte ich weitere Informationen zu diesem Thema?
8. Kostenloser Hoax-Info-Newsletter

0. Vorwort

Diese Mini-FAQ ist die erste Ausgabe einer gekürzten Fassung der Hoax-FAQ. Die Hoax-FAQ ist noch in Bearbeitung und umfasst weitere, verwandte Themengebiete wie Kettenbriefe und Malware in Attachments. An der Erstellung der Hoax-FAQ wirken weitere Personen mit, die z.T. im 'richtigen' Leben für Antivirus-Firmen arbeiten. Insbesondere sei hier die Virus Help Munich (VHM) erwähnt.
In dieser Mini-FAQ geht es ausschliesslich um falsche Viruswarnungen.

1. Worum geht es hier?

Seit Jahren kursieren Warnungen vor (angeblichen) Viren, die sich per E-Mail verbreiten sollen. Diese "Warnungen" werden meist von gutgläubigen Usern verbreitet, die diese per E-Mail von ihresgleichen erhalten haben. Sie zeigen dabei oft sogar ein Engagement, das man sich sonst nur wünschen könnte, im Glauben, sie täten den Adressaten einen Gefallen, in dem sie sie vor gefährlichen Viren warnen. Die Empfänger werden aufgefordert, E-Mails, die im Betreff (subject) einen der weiter unten genannten Begriffe enthalten, nicht zu lesen sondern sofort zu löschen. Andernfalls würde ein Virus furchtbare Dinge mit dem Rechner des Empfängers anrichten.

2. Fakt ist...

... daß alle diese Warnungen keinen ernstzunehmenden Hintergrund haben (was die Gefährlichkeit der vermeintlichen Viren angeht). Es handelt sich wohl mehr um ein soziologisches Phänomen. Weder die E-Mails noch die Viren, vor denen gewarnt wird, sind jemals irgendwo aufgetaucht. Diese Warnungen werden Hoaxes genannt (Hoax: engl. f. Jux, Scherz; v. lat. hocus).

Diese "Warnungen" stellen die eigentlichen Viren dar, denn sie richten erheblichen Schaden an, in dem sie Menschen verunsichern und Arbeitszeit binden. Außerdem belasten sie durch ihre nicht geringe Zahl das Internet durch nutzlosen Datenverkehr.

Generell werden nie echte Virus-Warnungen auf diese Weise in die weite Welt geschickt!

3. Welche Hoaxes sind bekannt?

Die Zahl der Hoaxes ist nicht gering, die meisten sind letztlich nur Nachahmungen ("copycats") des ersten dokumentierten Hoax "GoodTimes". Folgende sind erwiesenermaßen Hoaxes (ohne Anspruch auf Vollständigkeit):

A little girl needs help⁴ | A.I.D.S.¹ | AOL4FREE¹ | Baby New Year | Bill Gates⁴ | Bloat MPEG Virus | Bud Frogs Screensaver | Deeyenda | Elvira | GET MORE MONEY Virus Warnung⁵ | Ghost | GoodTimes | Irina | Join the Crew | Make Money Fast⁴ | Mirabilis ICQ virus | NaughtyRobot | New virus debug device | Nike⁴ | (no subject)³ | Open: Very Cool | Penpal Greetings | PKZIP300¹ | Red Alert | Returned or undeliverable mail² | TimeBomb | Win a holiday | ...

1 Einige Hoaxes basieren auf (ehemals) realen Gefahren,
  haben aber ein Eigenleben entwickelt und ihre Ursache um einiges überlebt.
2 Das ist i.d.R. eine ganz normale Fehler-Nachricht von einem E-Mail-Server
3 Das heißt nur, daß der Absender kein Betreff (subject) angegeben hat.
4 Das ist ein Kettenbrief, kein Hoax, hat aber ähnliche Wirkung.
5 Warnt vor einem Virus, das aber "nur" ein Kettenbrief ist.

Eine vollständige Liste kann hier leider nicht wiedergegeben werden. Sie wäre ziemlich lang. Wenn Sie eine verdächtige E-Mail erhalten, die hier nicht aufgeführt ist, schauen Sie mal bei Barn Owl rein.

4. Wie erkenne ich einen Hoax?

• Das Subject (Betreff) enthält oft den Begriff "Virus Warnung" oder sinnverwandtes.
• Der Adressat wird aufgefordert, die "Warnung" an möglichst viele Menschen weiterzuleiten.
• Die Wirkung des Virus wird sehr drastisch dargestellt und beinhaltet Dinge, die ein Computer-Virus gar nicht kann (z.B. Hardware beschädigen).
• Häufig wird als Quelle eine namhafte Firma oder Organisation genannt, um die Glaubwürdigkeit zu verbessern.

Keine der genannten Firmen hat tatsächlich jemals Warnungen dieser Art publiziert. Es werden generell nie echte Virus-Warnungen auf diese Weise in die weite Welt geschickt -- das sind alles Hoaxes!

5. Was mache ich, wenn ich eine solche Mail erhalte?

Da sind zwei Fälle zu unterscheiden:

5.1. Sie erhalten eine E-Mail mit einer Warnung vor einem Virus:

Leiten Sie sie auf keinen Fall weiter!
Löschen Sie sie. Verweisen Sie den Absender auf diese FAQ.
Vergessen Sie dann die ganze Sache -- verschwenden Sie keine wertvolle Zeit damit!

5.2. Sie erhalten eine E-Mail, vor der Sie jemand gewarnt hat:

Lautet das subject "Returned or undeliverable mail", "(no subject)" oder so ähnlich, handelt es sich wahrscheinlich um eine normale E-Mail, die Sie lesen sollten.

Enthält das Betreff dagegen einen der o.g. Begriffe, erlaubt sich wahrscheinlich jemand einen schlechten Scherz mit Ihnen, da die Mails, vor denen gewarnt wird, eigentlich gar nicht existieren.
Auch hier gilt: Löschen und vergessen.

Und eines noch: Viren können sehr wohl per E-Mail verbreitet werden. Sie können nämlich im Anhang (Attachment) als Teil eines ausführbaren Programms verschickt werden. Hier sei auch auf Macro-Viren hingewiesen (spez. MS Word ab v6.0, *.doc; aber auch andere).

Es gibt nur einen wirksamen Schutz gegen Hoaxes: Information! Also, informieren Sie sich, lesen Sie weiter.

6. Warum soll ich das glauben, was hier steht und nicht den Warnungen?

Eine gute Frage. Vielleicht, weil Sie glauben, diese FAQ wurde von ausgewiesenen Antivirus-Experten erstellt. Gut, aber was beweist das? Also: Schauen Sie unter den unten angegebenen Adressen nach, dort finden Sie seriöse Quellen, aus denen auch diese Informationen stammen. Sie sind leider fast alle auf englisch, wie so vieles im Internet.

7. Wo erhalte ich weitere Informationen zu diesem Thema?

• TU Berlin (dt.) Hier ist die Hoax-FAQ 'zu Hause'
  
• Uni Hamburg (dt.)
• ICSA - International Computer Security Association (vormals: NCSA)
• CIAC - U.S. Department of Energy Computer Incident Advisory Capability
• GoodTimes-FAQ von Les Jones (engl.)
• GoodTimes-FAQ deutsche Übersetzung von Markus Seifert
• Trend Micro (InterScan VirusWall) (dt.)
• Dr. Solomon Viren-Lexikon (z.T. dt.)
• Data Fellows (F-Secure, F-Prot)
• Symantec Antivirus Center (Norton AntiVirus)
• NAI/McAfee (VirusScan)
• IBM (IBM AntiVirus)
• Stiller Research (Integrity Master)
• Barn Owl Software - computer virus myths & hoaxes
• AVP Virus Encyclopedia
• Sophos (Sophos Anti-Virus)

8. Hoax-Info-Newsletter

Sie können sich aktuelle Informationen über Hoaxes und E-Mail-Sicherheitsfragen per E-Mail zuschicken lassen. Dafür gibt es den Hoax-Info-Newsletter, den Sie auf der Hoax-Seite der TU Berlin (s.o.) bestellen können.
Die bislang erschienenen Ausgaben sind auch im WWW verfügbar.

P.S.:
Der letzte Punkt (8.) ist Ihnen natürlich bereits bekannt, soll aber auch diejenigen, die von Ihnen diese Hoax-FAQ geschickt bekommen, weil Sie von ihnen einen Hoax erhalten haben, über dieses Angebot informieren.

2. Nachtrag zu NetBus und Back Orifice

Sie finden jetzt auf der Seite

auch eine Liste mit Antivirus-Software, die in der Lage ist, Back Orifice und NetBus zu erkennen und zu entfernen. Ferner liegt die Anleitung zum Entfernen von NetBus jetzt auch in einer deutschen Übersetzung vor.

3. Wirtschaftliche Schäden durch Hoaxes

Howard Fuhs, Geschäftsführer von Fuhs Security Consultants in Wiesbaden, hielt auf der VIRUS.GER-Con 1998 einen Vortrag zu diesem Thema. Der Vortrag ist im WWW abrufbar unter der URL

Sie finden diesen Link auch auf der Hoax-Seite an der TU Berlin.

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber

Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden. Sie finden alle erschienenen Newsletter im WWW unter folgender URL: http://hoax-info.tubit.tu-berlin.de/hoax/letterXXYY.html, wobei 'XX' durch die Nummer der jeweiligen Ausgabe zu ersetzen ist und 'YY' durch das Erscheinungsjahr. So finden Sie die Ausgabe 1 unter dem Dateinamen letter0198.html.

Unter der URL http://hoax-info.tubit.tu-berlin.de/hoax/ finden Sie das Verzeichnis der bislang erschienenen Newsletter.

Die Themen der nächsten Ausgaben:

• 'echte' E-Mail-Viren -- gibt es die?
• gibt es Viren-Scanner, die Hoaxes erkennen?
• mehr über wirtschaftliche Schäden durch Hoaxes
• aktualisierte Hoax-Mini-FAQ

(C) Copyright TU Berlin, Frank Ziemann, 1998, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors.

Wenn Sie den Hoax-Info-Newsletter abbestellen möchten, schreiben Sie eine E-Mail an

  majordomo@zrz.tu-berlin.de

Das Betreff- (Subject-) Feld können Sie leer lassen oder irgendwas hineinschreiben, es wird nicht ausgewertet. In den eigentlichen Text der Mail (Body) schreiben Sie genau zwei Zeilen:

  unsubscribe hoax-info [e-mail-adresse]
  end

Die Angabe der E-Mail-Adresse ist nur nötig, wenn sie von der Absender-Adresse abweicht und sollte dann ohne die []-Klammern erfolgen.

Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.tubit.tu-berlin.de/hoax/
Information ist das einzige Gegenmittel!