Date sent: 29. Maerz 1999 Subject: Hoax-Info-Newsletter Nr. 6/99 Send reply to: E-Mail-Adresse |
Hoax-Info-Newsletter Nr. 6/99 |
Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.
Zur Zeit wird eine deutschsprachige Hoax-FAQ erarbeitet, die dann Bestandteil dieses Newsletters wird. Unter FAQ versteht man eine Sammlung häufig gestellter Fragen (Frequently Asked Questions) sowie der Antworten auf diese Fragen. Eine Mini-FAQ wurde mit der Ausgabe 5/98 dieses Newsletters versandt. Sie kann von der Hoax-Seite an der TU Berlin heruntergeladen werden.
Bitte besuchen Sie einstweilen die WWW-Seite
http://hoax-info.de
Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln.
Der erstgenannte Hoax warnt vor einer E-Mail mit dem Betreff 'It takes guts to say 'Jesus'', siehe auch Ausgabe 3/99.
Die Mails, vor denen gewarnt wird, existieren nicht. Auch hat weder IBM (wie angeblich hier) noch Microsoft, AOL oder sonstwer jemals eine solche Warnung in Umlauf gebracht. Kein Virus kann durch eine reine Textnachricht übertragen werden.
Dies gilt sinngemäß auch für den zweiten Hoax. Dieser ging im Herbst 1998 schon mal sehr stark um (s. Newsletter 6/98) und derzeit läuft eine 'zweite Welle'.
Win A Holiday ist ebenfalls ein 'alter Hut' -- inhaltlich fast identisch mit GET MORE MONEY ist er jedoch älter als dieser.
Der 'Internet Clean-Up Day' ist ein alle Jahre wiederkehrender Aprilscherz. Hierin wird behauptet, am 1. April würde so eine Art Frühjahrsputz des Internet durchgeführt. Man solle alle Rechner von 00:00 bis 24:00 Uhr von Internet getrennt halten (inkl. WWW-Server), da sonst alle Daten darauf gelöscht würden. Dies soll zur Verbesserung der Geschwindigkeit des Internets dienen.
Es handelt sich hierbei um eine gezielte Falschmeldung.
Bitte widerstehen Sie jeder Versuchung, diese weiterzuleiten.
Derzeit werden in Presse, Funk und Fernsehen (!) Berichte über
ein Word-Makro-Virus namens 'Melissa' verbreitet.
Hierbei handelt es sich nicht um einen Hoax.
Dieses Virus existiert und heisst W97M.Melissa, da es mindestens
Word97 voraussetzt.
Die Berichte sind allerdings weit übertrieben, was die Bedeutung oder gar Gefährlichkeit dieses Virus angeht. Es handelt sich um ein ganz normales Word-Makro-Virus, das gute Antiviren-Programme mit den aktuellen Updates ohne Probleme entfernen können.
Es gibt derzeit noch keine Meldungen, daß dieses Virus in Europa tatsächlich in freier Wildbahn aufgetaucht ist. Angeblich soll es in USA die Mail-Server großer Unternehmen lahmgelegt haben (durch die schiere Zahl der erzeugten E-Mails). Diese Gefahr ist durchaus real, ihr kann aber durch geeignete Maßnahmen am Mail-Server vorgebeugt werden.
Diese überzogenen Pressemeldungen sind nicht zuletzt auf die Virus-Hype einiger Hersteller von Antivirus-Software zurückzuführen, deren Marketing-Abteilungen in letzter Zeit beinahe jedes neuentdeckte Virus mit groß aufgebauschten Pressemitteilungen begleiten.
Es handelt sich um ein Word-Makro-Virus, das unter Word97 und
dem neuen Word 2000 funktioniert. Weitere Voraussetzung für eine
aktive Verbreitung ist ein installiertes MS Outlook.
Melissa benutzt Outlook, um eine infizierte Word-Datei an Empfänger
aus dem Outlook-Adressbuch zu versenden. Ursprünglich wurde es
wohl mit einer Datei namens list.doc versandt, die Passwörter
für Porno-Web-Sites enthält.
Wird die Datei in Word geöffnet (und nur dann), infiziert Melissa
die Standard-Formatvorlage Normal.dot und dann jedes Dokument,
das bearbeitet oder neu angelegt wird.
Wird ein solches Dokument vom Anwender an andere Personen
verschickt (z.B. per E-Mail), kann Melissa (wie jedes andere
Makro-Virus auch!) auch auf diesem Wege verbreitet werden.
Ausserdem können durch Melissa Dokumente in die weite Welt verschickt werden, die nicht für anderer Leute Augen bestimmt sind.
Ruhe bewahren!
Öffnen Sie keine Word-Dokumente, die Sie per E-Mail erhalten haben, ohne
sie mit einem aktuellen Viren-Scanner geprüft zu haben. Aktuell heißt in
diesem Fall: Die Updates sollten ein Datum ab dem 26.03.1999 tragen.
Ausnahme: Spezielle heuristische Makro-Viren-Scanner wie F/WIN32
erkennen Melissa auch ohne Update.
Wenn Sie noch kein Update für Ihre Antivirus-Software haben, öffnen Sie eine fremde Word-Datei notfalls mit WordPad oder dem Word97-Viewer, den Sie kostenlos bei Microsoft herunterladen können; öffnen Sie sie nicht mit Word.
Sie können den Tatendrang von Melissa etwas dämpfen, wenn
Sie folgenden Eintrag in der Registry von Windows vornehmen:
HKEY_CURRENT_USER\Software\Microsoft\Office\Melissa?
mit dem Wert: '... by Kwyjibo'
Der Schlüssel
HKEY_CURRENT_USER\Software\Microsoft\Office
wird von der MS-Office-Installation angelegt, Melissa fügt
lediglich einen Unterschlüssel mit dem genannten Namen und
Wert ein, der als Indikator dient, daß Melissa auf diesem
Rechner bereits aktiv war. Dies ist allerdings kein
Allheilmittel, es schaltet Melissa nicht völlig aus.
Wenn Sie keine Erfahrung mit dem Bearbeiten der Registry haben, ist dies auch nicht der richtige Zeitpunkt, um dies zu ändern.
Verschonen Sie Ihre Support-Leute mit Anfragen bzgl. dieses Virus.
Wenn die einigermaßen fit sind, werden sie Sie mit einem
entsprechenden Update versorgen -- wenn nicht, hat es auch
keinen Zweck, da anzurufen. ;-)
Wenn nur jeder Zweite seinen Support anruft (gilt genauso für
Hotlines von Antivirus-Herstellern), kommt dort keiner mehr
dazu, für Abhilfe zu sorgen, da sie ständig am Telefon hängen.
Informationen über W97M.Melissa finden Sie u.a. hier:
http://www.cert.org/advisories/CA-99-04-Melissa-Macro-Virus.html
http://www.avp.ch/avpve/macro/word97/melissa.stm
http://www.avertlabs.com/public/datafiles/valerts/vinfo/melissa.asp
http://www.symantec.com/avcenter/venc/data/mailissa.html
http://www.DataFellows.com/v-descs/melissa.htm
(alle obigen engl.)
http://www.trendmicro.de/virusinfo/ (dt.)
Es gibt keinen Grund, wg. Melissa in den Panik-Modus zu wechseln. Das ist ein ganz normales Makro-Virus wie > 3000 andere auch.
Verfallen Sie nicht der Virus-Hype, schicken Sie nicht solche Warnungen 'an alle, die Sie kennen'. Falls Sie eine Mail mit diesem Virus erhalten sollten, informieren Sie den Absender darüber. Bitte melden Sie mir diesen Vorfall mit einer kurzen Mail, die keine weiteren Details enthalten muß. Stellen Sie aber bitte sicher, daß es sich nicht um einen Fehlalarm handelt.
Wenn Sie als EDV-Betreuer Ihre User warnen möchten und keinen
deutschen Text zur Hand haben, dürfen Sie diesen Newsletter
ungekürzt und unverändert (!) dafür verwenden.
Bitte teilen Sie mir dies lediglich kurz und formlos mit.
Anm.: Nein, danke, ich brauche keine Kopie des W97M.Melissa. Ich habe schon eine und die gebe ich auch nicht raus.
Bis zur nächsten Ausgabe
Frank Ziemann, Herausgeber
Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.
Die Themen der nächsten Ausgaben:
(C) Copyright TU Berlin, Frank Ziemann, 1998-99, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe
(außer zum persönlichen Gebrauch), auch auszugsweise,
bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!