Date sent: 16. Sept. 1999 Subject: Hoax-Info-Newsletter Nr. 11/99 Send reply to: E-Mail-Adresse |
Hoax-Info-Newsletter Nr. 11/99 |
Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.
Bitte besuchen Sie auch die WWW-Seite
http://hoax-info.de
Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.
Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse
Win A Holiday' ist einer der ältesten noch im Umlauf befindlichen Hoaxes. Er unterscheidet sich nicht von vielen seiner Nachfolger, ausser in eben diesem Titel.
Bud Frogs' ist
Stammlesern dieses Newsletters nicht neu.
Ein Bildschirmschoner dieses Namens existiert tatsächlich, hat
aber einen anderen Dateinamen. Es sollen (!) mit dem CIH-Virus
infizierte Versionen in Newsgroups gepostet worden sein. Das hat
jedoch nichts mit diesem Hoax zu tun.
In der deutschen Version wird vor den Budweiser-Fröschen gewarnt,
eben diesem Bildschirmschoner. Diese deutsche Version ist in mehreren
geringfügig unterschiedlichen Varianten derzeit sehr stark
verbreitet (Tendenz fallend), wodurch sich der Wahrheitsgehalt aber nicht erhöht.
It takes guts to say 'Jesus'' soll mit Hilfe der Norton Utilities sein Unwesen treiben, unter Windows ebenso wie auf Macs funktionieren und mit den beiden grossen WWW-Browsern interagieren.
California' soll der Titel (Betreff)
von E-Mails sein, die mit einem Virus namens Wobbler infiziert sein sollen.
Die Schilderung des Virus und seiner Fähigkeiten ist offenbar von der hier schon
beschriebenen zweiten Variante des Hoax 'It takes guts to say Jesus'
abgeschrieben. Es wird neben IBM, AOL, Netscape und Microsoft auch
noch das Melissa-Makrovirus erwähnt und es sollen sowohl PCs als auch
Macs betroffen sein.
How To Give A Cat A Colonic' warnt ebenfalls vor einen Virus, das angeblich die Festplatte löschen soll.
Please help this poor dog and
win a vacation' warnt ebenfalls vor einen Virus, das angeblich die Festplatte
löschen soll.
Das Virus soll kürzlich auf der MS-Homepage entdeckt worden sein.
Dieser Hoax ist recht neu (allerdings wenig originell).
Die Mails, vor denen immer gewarnt wird,
existieren nicht. Auch hat weder IBM noch Microsoft, AOL oder Compaq jemals eine
solche Warnung in Umlauf gebracht.
Sie finden auf der Hoax-Seite (rechts neben der Liste der bekannten
Hoaxes) auch mal ein typisches Beispiel für eine Hoax-Mail.
Kein Virus kann durch eine reine Textnachricht übertragen werden.
Bitte leiten Sie diese 'Virus-Warnungen' nicht weiter!
Es kursieren wieder mal Kettenbriefe aus der Kategorie 'Tränendrüsenbriefe', die die üblichen angeblichen Anliegen nichtexistenter krebskranker Kinder enthalten. Sie wollen eine Botschaft (z.B. ein Gedicht) um die Welt schicken oder möglichst viele Visitenkarten (Postkarten, E-Mails,...) erhalten, bevor sie sterben, damit sie ins Guiness-Buch der Rekorde kommen.
Alle diese Kinder existieren nicht. Es bleibt auch im Dunkeln, wie lange die Kettenbriefe schon unterwegs sind -- selbst wenn eines der Kinder tatsächlich real wäre, könnte es lange schon verstorben (oder wieder genesen sein).
Bereits vor einiger Zeit kursierten Kettenbriefe, die für
kostenlose Aktien der Fa. Tradehall warben. Im Hoax-Info Newsletter
10/99 wurde schon darüber berichtet.
Wie darin bereits vermutet, handelt es sich bei dieser Werbeaktion
nur um einen Marketing-Trick.
Die Fa. Himel Technology LLC, Besitzer und Betreiber von
Tradehall.com, ist keine Aktiengesellschaft, sondern eben eine LLC
(Limited Liability Company), ähnlich einer deutschen GmbH, kann also
gar keine Aktien ausgeben. Dies ist lt. eigenen Aussagen dieser Firma
auch nicht geplant. Es handelt sich also um eine Irreführung
potentieller Kunden. Im Gegensatz zu Tradehall/Himel hatte Yahoo
damals tatsächlich Aktien zu einem sehr niedrigen Kurs ausgegeben
und war damit rechtlich auf der richtigen Seite. Tradehall, das sich
auf diese Yahoo-Aktion beruft, betätigt sich hier als
Trittbrettfahrer mit einer lausigen weil rechtswidrigen Kopie des
Vorbilds. Die US-Börsenaufsicht SEC ermittelt bereits.
Eine ähnliche Werbestrategie scheint der Internetdienst Free4U
zu betreiben, allerdings wird hier nicht von Aktien gesprochen.
Vielmehr sollen erfolgreiche Neukunden-Werber Freieinheiten
erhalten.
Auch andere Firmen wenden ähnliche Taktiken an, um Neukunden
ohne eigene Anstrengungen zu werben. Wer sich bei solchen
Firmen registrieren lässt, erhält eine Referenznummer, die
die neugeworbenen Kunden bei ihrer Anmeldung angeben sollen.
Dadurch sollen die Werber verschiedene Vergünstigungen erhalten.
Das Prinzip 'Kunden werben Kunden' ist natürlich uralt, nur
bleibt bei vielen solchen Anbietern im Internet die Frage offen,
ob es tatsächlich zur Ausschüttung der versprochenen Prämien
kommen wird.
Ende August diesen Jahres wurde bekannt, dass die Mailboxen von Hotmail-Kunden von nahezu jedermann eingesehen und manipuiert werden konnten. Microsoft (denen gehört Hotmail) bestätigte diese Sicherheitslücke, die inzwischen geschlossen wurde. Siehe auch http://www.hotmail.com -> [Deutsch] -> Sicherheitsloch
Wer seinen Hotmail-Account kündigen will, steht vor dem Problem, dass dies gar nicht vorgesehen ist. Man muss vielmehr seinen Account für einige Monate ruhen lassen, nach Monaten der Nichtbenutzung wird er dann automatisch gelöscht.
Das Programmieren Trojanischer Pferde, die Passwörter und andere Daten ausspionieren und/oder Dateien manipulieren, ist derzeit stark in Mode. Nahezu täglich gibt es neue, meist unnötig aufgebauschte Meldungen über neue Bedrohungen aus dieser Ecke.
Viele Hersteller von Antiviren-Programmen haben es inzwischen wieder aufgegeben, jedes Trojanische Pferd exakt identifizieren zu wollen. Sie setzen vielmehr auf eine generische Erkennung und Einordnung. So gibt es z.B. die Klassen 'APS.trojan' (APS = AOL Password Stealer) und 'PSW.trojan' (PSW = Passwort Stealer Windows). Ein Beispiel finden Sie weiter unten (ICQpws).
Das heisst jedoch nicht, dass die Erkennung solcher sog. Malware völlig aufgegeben wurde. Ein regelmässig (wöchentlich) aktualisiertes Antivirus-Programm stellt immernoch einen guten Schutz vor den meisten Trojanischen Pferden dar.
Ein anderer Ansatz sind sog. Firewalls. In Form einer spez.
Kombination von Hardware und Software schützen sie (wenn von
Fachleuten konzipiert und gewartet) ganze Netzwerke vor Angriffen
verschiedener Art.
Für den Privatanwender gibt es sog. Desktop-Firewalls, die als
Programm oder Dienst auf dem eigenen Rechner laufen und den
Netzwerkverkehr überwachen, um verdächtige Übertragungen zu
melden und zu blockieren. Sie enthalten z.T. auch einen
Virenscanner.
Backdoors (das sind Programme, die speicherresident eine
Hintertür für Angreifer von aussen offenhalten) lauschen
meist an bestimmten TCP/IP-Ports, das sind Übertragungskanäle
im Internet-Protokoll. Welche Malware an welchen Ports lauscht,
können Sie einer Tabelle entnehmen, die ich für Sie
bereitgestellt habe:
Damit können Sie Netzwerk-Monitore zur Überwachung verdächtiger Aktivitäten einsetzen und Firewalls diffenziertere Alarmmeldungen beibringen. Diese Tabelle ist jedoch mehr für Fachleute geeignet, die damit auch etwas anfangen können. Sie wird aktualisiert, wenn neue Infos vorliegen.
Wie schon vermutet, kommen jetzt eine Reihe von Viren und anderer Malware heraus, die sich des Themas Y2K (Jahr 2000) bedienen, um ihre Aktivitäten zu tarnen. Alle folgenden Quälgeister betreffen Windows 95/98/NT:
Count2K (Y2Kcount)
Die Antivirus-Firmen Network Associates (McAfee, Dr. Solomon's)
und Sophos berichten über ein E-Mail-Attachment, das sich als
Countdown-Programm für das Jahr 2000 ausgibt, jedoch ein sog.
Trojanisches Pferd enthält, das Benutzernamen und Passwörter
ausspioniert und an seinen Urheber weiterleitet.
Die Mail stammt vorgeblich von support@microsoft.com und enthält
ein Attachment (Dateianhang) mit dem Namen Y2KCOUNT.EXE, welches
das Trojanische Pferd installiert, wenn es aufgerufen wird.
Dabei wird (ähnlich wie bei Happy99) die WSOCK32.DLL durch eine
modifizierte Version ersetzt, um in den Internetzugang eingreifen
zu können und Mails mit dem genannten Attachment weiterzuverbreiten.
Infos:
http://www.zdnet.de/news/artikel/1999/09/16018-wc.html (dt.)
http://vil.mcafee.com/vil/tro10358.asp (engl.)
http://www.sophos.com/downloads/ide/index.html#polyglot (engl.)
Win32/Fix2001
Wiederum Sophos und McAfee berichten über einen E-Mail-Wurm, der
behauptet, er würde den Internetzugang auf Jahr-2000-Kompatibilität
prüfen. Dieser Wurm kommt per E-Mail mit einem Attachment, das
vorgibt, ein Update gegen einen Jahr2000-Fehler in der Internet-
Software zu enthalten (auf englisch und spanisch).
Es ändert einen Registry-Eintrag und nach dem nächsten Neustart
versendet es sich selbst weiter, in dem jeder Mail, die Sie
verschicken, eine zweite folgt, die das Attachment enthält und
den Betreff (Subject) 'Internet problem year 2000' trägt.
Im Text der Mail, die von 'Administrator' zu kommen vorgibt,
wird auf besagten Fehler der Internet-Software verwiesen und
der Benutzer aufgefordert, das Attachment auszuführen, um den
Fehler zu beseitigen. Das Programm meldet dann, das System sei
bereits Jahr-2000-fest, egal ob das zutrifft oder nicht.
Info:
http://www.sophos.com/downloads/ide/index.html#fix2001 (engl.)
http://vil.mcafee.com/vil/vpe10355.asp (engl.)
Weder Count2K noch Fix2001 enthalten irgendeine Funktionalität, die Jahr-2000-Bugs (Fehler) beseitigen oder auch nur erkennen könnten. Sie sollten daher diese Attachments nicht ausführen! Löschen Sie sie und auch jede Mail, die diese Anhänge enthält.
W32/Cholera, W32/CTX
Cholera ist ein E-Mail-Wurm, der sich nicht der MAPI-Funktionen
bedient, um sich selbst weiterzuschicken. Er nutzt dafür vielmehr
Routinen, die er selbst mitbringt. Daher begrenzt sich die Gruppe
der betroffenen Anwender nicht auf solche, die MAPI-konforme
E-Mail-Programme (wie Outlook) einsetzen.
Die Mails enthalten ein Attachment (Dateianhang) namens 'setup.exe'
mit einer Grösse von 49.187 Bytes, die Nachricht enthält lediglich
ein Smiley ( :-) ).
Cholera (bzw. setup.exe) installiert auf dem betroffenen Rechner
das CTX-Virus, welches mehrere EXE-Dateien infiziert und aktiv wird,
wenn 6 Monate nach der Infektion eine infizierte Datei ausgeführt
wird (und zwar zur gleichen Uhrzeit). Win32/CTX invertiert die
Farbdarstellung des Desktops. Wegen Fehlern in der Infektionsroutine
können Dateien beschädigt werden, was in Einzelfällen dazu
führen kann, das Windows NT nicht mehr startet.
Nach dem Versenden der E-Mails werden 'setup.exe' und die
Registry-Einträge für den Autostart wieder entfernt. Die
Virus-Infektion bleibt.
Laut Network Associates wurde dieser Wurm mitsamt dem Virus auch
in Europa gesichtet, andere Hersteller bestätigen dies nur z.T.
Info:
http://vil.mcafee.com/vil/vpe10346.asp (Cholera)
http://vil.mcafee.com/vil/vpe10347.asp (CTX)
http://www.avp.ch/avpve/newexe/win32/ctx.stm (Win32/CTX)
ICQpws.gen
Der ICQpws (ICQ PassWord Stealer) tarnt sich durch eine doppelte
Dateiendung: Der (unterschiedlich lautende) Name wird von der
Endung '.jpg.exe' gefolgt. Windows95/98/NT zeigt die Endung '.exe'
standardmässig nicht an, da diese dem registrierten Dateityp
'Anwendung' zugeordnet ist. Die Datei erscheint daher im Explorer
als 'datei.jpg' mit dem Typ 'Anwendung'. Normalerweise würde
der Explorer bei Dateien mit der Endung '.jpg' als Typ 'JPG-Datei'
oder, wenn dafür eine Anwendung registriert ist, den Namen dieser
Anwendung zeigen.
ICQ selbst zeigt nur die ersten 12 Zeichen eines Dateinamens an,
daher kann die doppelte Endung dort ebenfalls unbemerkt bleiben.
Wird die Datei durch Doppelklick ausgeführt, wird das enthaltene JPEG-Bild angezeigt und im Hintergrund das Trojanische Pferd installiert, das ICQ-Passwörter ausspäht. Eine Infektion mit diesem Trojanischen Pferd kann dadurch erkannt werden, dass im Taskmanager ein Task mit der Bezeichnung 'MSWIN32' erscheint.
Info:
http://www.mcafee.com/viruses/ICQ/default.asp
Der Suffix '.gen' im Namen weist auf die o.g. generische Erkennung hin, es handelt sich also nicht unbedingt nur um ein einzelnes Trojanisches Pferd, sondern um eine ganze Familie ähnlicher Machart.
Dieses Trojanische Pferd ist lediglich ein Beispiel für Malware,
die sich auf diese Weise (doppelte Dateiendung) tarnt.
Achten Sie also sorgfältig auf den Dateityp, den der Explorer
anzeigt und/oder schalten Sie im Explorer die Anzeige aller
Dateiendungen ein:
Ansicht/Optionen:
[ ] keine Erweiterung für registrierte Dateitypen
Deaktivieren Sie diese Option.
Zu allen o.g. Trojanischen Pferden werde ich in den nächsten Tagen Extra-Blätter bereitstellen, die in deutscher Sprache die vorliegenden Information ausführlich darstellen.
Bis zur nächsten Ausgabe
Frank Ziemann, Herausgeber
Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.
Die Themen der nächsten Ausgaben:
(C) Copyright TU Berlin, Frank Ziemann, 1998-99, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe
(außer zum persönlichen Gebrauch), auch auszugsweise,
bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Wenn Sie eingehende Hoaxes mit Sendung des Newsletters beantworten möchten,
können Sie dies gerne tun. Dergleichen wird als 'persönl. Gebrauch'
angesehen und bedarf keiner expliziten Erlaubnis. Dies gilt auch für die
Weitergabe an einzelne Kollegen und Bekannte. In allen Fällen darf der
Text jedoch nicht verändert werden.
Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!