Date sent:        15. Dez. 1998 
Subject:          Hoax-Info-Newsletter Nr. 7/98
Send reply to:    E-Mail-Adresse

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Zur Zeit wird eine deutschsprachige Hoax-FAQ erarbeitet, die dann Bestandteil dieses Newsletters wird. Unter FAQ versteht man eine Sammlung häufig gestellter Fragen (Frequently Asked Questions) sowie der Antworten auf diese Fragen. Eine Mini-FAQ wurde mit der Ausgabe #5 dieses Newsletters versandt. Sie kann von der Hoax-Seite an der TU Berlin heruntergeladen werden.

Bitte besuchen Sie einstweilen die WWW-Seite
http://hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes.

Inhalt:

Die siebente Ausgabe des Hoax-Info-Newsletter enthält aus aktuellem Anlaß ein paar Infos zu den derzeit umlaufenden Hoaxes. Da seit dem Erscheinen der Ausgabe 6/98 einige Hundert neue Abonnenten hinzugekommen sind, werden einige Aspekte nochmals kurz erwähnt.
Auch die Hacker-Tools Back Orifice und NetBus wurden hier schon ausgiebig gewürdigt, ein kleiner Hinweis auf die WWW-Seiten muß daher genügen.

Aktuell im Umlauf befindliche Hoaxes

Die zur Zeit grassierenden Hoaxes sind:

• GET MORE MONEY Virus Warnung
• Budweiser Frogs Screensaver (BUDDYLST.ZIP)
• Swisscom 90# -- Telefonmißbrauch
• Glücksbriefe und anderer Unfug

Mich erreichten in den letzten zwei Monaten mehr als 40 Kopien von GET MORE MONEY, die meisten bezogen sich auf eine angebliche Meldung von Microsoft, die deutschsprachigen Varianten zusätzlich auf einen Dr. Andreas Spiller von der Uni Bremen.

GET MORE MONEY ist eine Kopie von 'Win a Holiday', nur der Text der Betreffzeile wurde verändert.

Bitte lesen Sie auf der Hoax-Info-Seite an der TU Berlin den Abschnitt 8. Kettenbriefe und besonders die Analyse von Prof. Röß zu diesen MLM-Schemata. Diese Analyse liegt ebenfalls auf dem Server der TU Berlin und ist über die Hoax-Seite verlinkt. In der Ausgabe 6/98 diese Newsletters wurde bereits ausführlicher auf den GET MORE MONEY Hoax eingegangen. Sie finden diese Ausgabe auch im Internet (s. Fußzeilen)

Bud Frogs (aktualisiert)

Budweiser Frogs Screensaver warnt hingegen davor, eine Datei mit dem Namen BUDDYLST.ZIP aus dem Internet herunterzuladen. Das installieren des enthaltenen Bildschirmschoners (Screensaver) soll den Rechner mit einem fürchterlichen Virus infizieren, der ... (naja, Sie wissen schon). [Extra-Blatt]

Auch das ist Humbug, diese Datei hat nie existiert, es gibt allerdings einen solchen Bildschirmschoner -- wenn auch mit anderem Dateinamen (final2.exe).
Die Gefahr, daß diese Datei virenverseucht wäre, ist genauso hoch wie bei jeder anderen Datei, die Sie aus dem Internet herunterladen (inkl. E-Mail-Anhänge).
Besonders Dateien, die in Newsgroups verbreitet werden, können mit Viren infiziert sein, ebenso im IRC (Chat). Bei beiden ist die Wahrscheinlichkeit einer Infektion deutlich höher als bei WWW- oder FTP-Downloads. In letzter Zeit sind häufiger mit dem Virus Win32.CIH verseuchte Dateien dort aufgetaucht.

Swisscom 90# Telefonmißbrauch

Insbesondere in der Schweiz kursieren derzeit E-Mails, die das Gerücht verbreiten, Anrufer würden sich unter einem Vorwand Zugriff auf den Telefonanschluß des Angerufenen verschafffen. Sie sollen sich als Mitarbeiter einer Telekommunikationsfirma ausgeben und den Angerufenen auffordern, seine Leitung für einen Funktionstest für den Anrufer freizuschalten. Dazu solle er eine bestimmte Tastenfolge eingeben (z.B. 90#).

Die Swisscom (schweizerische Telekom) hat inzwischen bestätigt, daß dies technisch nicht möglich sei und es sich dabei um eine Falschmeldung handelt.

Nehmen Sie diese Warnungen also bitte nicht für voll, sondern betrachten Sie sie als das was sie sind, nämlich üble Aprilscherze.

Leiten Sie diese 'Warnungen' an niemanden weiter, außer an Personen, bei denen Sie Rat suchen, weil Sie unsicher sind.

Bitte schicken Sie mir keine Kopien dieser o.g. Hoaxes, ich habe bereits reichlich davon. Auch alle Antivirus-Firmen, die es gibt, kennen alle diese Hoaxes bereits zur Genüge und das seit Jahren.

Wenn Sie eine E-Mail mit einer Viren-Warnung bekommen, prüfen Sie sie nach folgenden Kriterien:

• Das Subject (Betreff) enthält oft den Begriff 'Virus Warnung' oder sinnverwandtes.
• Der Adressat wird aufgefordert, die 'Warnung' an möglichst viele Menschen weiterzuleiten.
• Die Wirkung des Virus wird sehr drastisch dargestellt und beinhaltet Dinge, die ein Computer-Virus gar nicht kann (z.B. Hardware beschädigen -- Prozessor, Modem,...).
• Häufig wird als Quelle eine namhafte Firma oder Organisation genannt, um die Glaubwürdigkeit zu verbessern.

Alle Hoaxes, die ich kenne, erfüllen *alle* diese Kriterien (wenn man mal von Swisscom 90# absieht, der erfüllt das erste nicht, aber die anderen drei sinngemäß). Aber selbst, wenn nur zwei oder drei davon zutreffen, handelt es sich 100%ig um einen Hoax, also einen Ulk.

Keine Firma, keine Regierungsbehörde, kein Uni-Professor hat jemals tatsächlich eine Virenwarnung dieser Art in die Welt gesetzt (oder die sind auch drauf reingefallen).
Die einzige Möglichkeit, _ernstzunehmende_ Virenwarnungen per E-Mail zu erhalten ist, sich auf einer Mailing-Liste einer Antivirus-Firma einzuschreiben.
Oder der Administrator Ihres Firmennetzwerks benachrichtigt Sie darüber, daß ein Virus in der Firma umgeht.
In beiden Fällen sollten Sie sich nicht vom Virus der Obrigkeitshörigkeit unterkriegen lassen sondern die o.g. Kriterien anwenden, um die Warnung zu evaluieren.

Wenn keines der genannten Kriterien zutrifft (außer dem ersten), kann es sich um eine ernstzunehmende Warnung handeln.
Weder eine renommierte Antivirus-Firma noch der Administrator Ihrer Firma wird Sie auffordern, diese Warnung an alle weiterzuleiten, die Sie kennen.

Wenn Sie immernoch Zweifel haben, lesen Sie die Hoax-Seite an der TU Berlin bzw. die darauf basierende Mini-FAQ mehrmals sorgfältig durch und vergleichen Sie das Gelesene mit der erhaltenen Warnung.
Dann sollte eigentlich alles klar sein.
Immer noch nicht? Dann schreiben Sie an diese Adresse mitsamt der kompletten 'Warnung' und überlassen Sie es mir und meinen Mitstreitern, diese Warnung zu bewerten.

Sonstiger Unfug

Es werden E-Mails wie auch Faxe, Briefe etc. verschickt, die dem Empfänger Glück wünschen und ihm unter Androhung übelster Konsequenzen nahelegen, diesen Brief an viele Leute weiterzuschicken.
Das ist so in etwa die älteste Variante von Kettenbriefen, die bis heute existiert. Solche 'Glücksbriefe' gibt es bereits, seit Menschen schreiben und die Post benutzen können.

Tatsächlich harmlos sind hingegen E-Mails, die einen virtuellen 'Schneeball' enthalten und den Empfänger (Platsch!) für getroffen und die Schneeballschlacht 98/99 für eröffnet erklären.

Echte Viren

Es sei nochmals deutlich darauf hingewiesen:
Prüfen Sie jede Datei, die Sie aus dem Internet oder einer Mailbox herunterladen und jede an eine E-Mail angehängte Datei sorgfältig mit einem aktuellen Viren-Checker, bevor Sie sie öffnen oder ausführen!
Sie kann mit einem echten Virus infiziert sein.
Das gilt auch für CD-ROMs, die Zeitschriften beiliegen oder auf Messen verteilt werden sowie Datenträger, die Sie von Freunden, Bekannten oder Geschäftspartnern erhalten.

Stellen Sie in Ihrem E-Mail-Programm die automatische Anzeige von HTML-Mails im Browser ab. In HTML-Mails kann Script-Code enthalten sein, der Daten auf Ihrer Festplatte manipuliert, ein Virus installiert, Ihre Daten ausspioniert, um sie bei nächster Gelegenheit an wen-auch-immer zu übermitteln oder ein Programm installiert, das Ihren Rechner für Angriffe von außen verletzbar macht (Back Orifice, NetBus,...).

Dies gilt auch (s.o.) ganz besonders für das Usenet (Newsgroups) und vor allem den IRC (Internet Relay Chat). Bei letzterem werden Ihnen z.B. Dateien angeboten, die angeblich nützliche Programme enthalten sollen (Spiele, Virenschutz,..), tatsächlich jedoch die schon erwähnten Hacker-Tools Back Orifice oder NetBus enthalten, mit denen der Angreifer Ihren PC steuern und ausspionieren kann (da er Ihre IP-Adresse im IRC leicht ermitteln kann, selbst wenn Sie sie unterdrücken). Informationen zu Back Orifice und NetBus finden Sie auf folgender Seite:

http://hoax-info.tubit.tu-berlin.de/software/antivirus.shtml

Verhaltenstips: Ruhe bewahren! Holzauge, sei wachsam!
Keine Dateien zweifelhafter Herkunft auf den Rechner laden.

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber

Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

• 'echte' E-Mail-Viren -- gibt es die?
• aktualisierte Hoax-Mini-FAQ
• gibt es Viren-Scanner, die Hoaxes erkennen?
• mehr über wirtschaftliche Schäden durch Hoaxes

(C) Copyright TU Berlin, Frank Ziemann, 1998, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors.

Wenn Sie den Hoax-Info-Newsletter abbestellen möchten, schreiben Sie eine E-Mail an

  majordomo@zrz.tu-berlin.de

Das Betreff- (Subject-) Feld können Sie leer lassen oder irgendwas hineinschreiben, es wird nicht ausgewertet. In den eigentlichen Text der Mail (Body) schreiben Sie genau zwei Zeilen:

  unsubscribe hoax-info [e-mail-adresse]
  end

Die Angabe der E-Mail-Adresse ist nur nötig, wenn sie von der Absender-Adresse abweicht und sollte dann ohne die []-Klammern erfolgen.

Informieren Sie sich über sog. E-Mail-Viren:
hoax-info.de
Information ist das einzige Gegenmittel!