Date sent:        29. Januar 2002
Subject:          Hoax-Info-Newsletter Nr. 1/2002
Send reply to:    E-Mail-Adresse
Hoax-Info Newsletter (E-Mail):
Hoax-Info Newsletter (Internet):
ISSN 1618-2081
ISSN 1618-209X

Hoax-Info-Newsletter Nr. 1/2002

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Bitte besuchen Sie auch die WWW-Seite http://hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.

Antworten Sie bitte nicht an die Absender-Adresse dieses Newsletters, sondern achten Sie bitte darauf, dass die voreingestellte Antwort-Adresse von Ihrem E-Mail-Programm übernommen wird. Senden Sie bitte bei einer Antwort nicht den kompletten Newsletter wieder mit - ich kenne den Inhalt.

Dieser Newsletter wird an über 20.000 Abonnenten versandt. Informationen zur Abbestellung dieses Newsletters finden Sie am Ende. Adressen, an die ein Newsletter nicht zugestellt werden kann, werden ohne weitere Rückfrage aus dem Verteiler gestrichen.

Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse


Vorwort

Nach den Attentaten am 11. September 2001 hat die Zahl der E-Mail-Anfragen so stark zugenommen, dass ich leider keine Zeit mehr gefunden habe, einen Newsletter zu schreiben. Die eine oder andere Anfrage musste aus demselben Grund unbeantwortet bleiben. Ich danke Ihnen für Ihr Verständnis.
Im neuen Jahr soll nun wieder regelmäßig einmal im Monat ein Newsletter erscheinen.

Inhalt:


Aktuelle Hoaxes

Derzeit sind folgende falsche Warnungen vor Viren und Malware verstärkt im Umlauf, die eigentlich schon länger bekannt sind:

A Virtual Card for You
An Internet Flower for you

Ein länglicher Kettenbrief warnt vor E-Mails mit diesen beiden Betreffzeilen. Sie sollen angeblich von Microsoft und McAfee bzw. von Intel entdeckt worden sein und CNN soll darüber berichtet haben. Die Wirkung dieser vermeintlichen Viren ist natürlich wie immer ganz furchtbar und es kann sie auch kein Virenscanner entdecken. Letzteres stimmt sogar - wo nichts ist, gibt es auch nichts zu entdecken... Es gibt dazu ein Extra-Blatt, beide Titel stehen jedoch in der Hoax-Liste:

 Extra-Blatt | Hoax-Liste

Psychospiel & Co
Ein weiterer Hoax, der zusammen mit dem zuvor genannten die Runde macht, warnt gleich vor drei Viren auf einmal: Psychospiel, Screensaver 'Baby Fun' und Emanuel.exe - nur letzterer ist tatsächlich existent und relativ schädlich. Dieser Dateiname wird von dem Virus/Wurm W32/Navidad.b verwendet:

 http://hoax-info.tubit.tu-berlin.de/virus/navidadb.shtml
 Extra-Blatt zu diesem Hoax

Typischerweise treten derzeit alle o.g. Hoaxes in einer einzigen Mail auf. Diese Kombi-Packung mit 'Virtual Card' macht hier zurzeit über 50% der Anfragen zu Viren-Hoaxes aus.

SULFNBK.EXE
Auch nicht neu, aber derzeit wieder stark im Umlauf ist die falsche Warnung vor einem vermeintlichen 'schlafenden Virus', der angeblich von keinem Virenscanner erkannt wird. Er soll in der Datei SULFNBK.EXE stecken. Diese Datei ist jedoch, trotz des nicht gerade gelungenen Dateisymbols, eine serienmäßige Windows-Datei, d.h. sie ist auf allen PCs mit Windows 98 oder ME vorhanden, nicht jedoch bei Windows 95, NT, 2000, XP.

Dieser Hoax ist dadurch entstanden, dass der Virus W32/Magistr.a System-Dateien infiziert und per E-Mail versendet. Das kann auch mal eine Datei aus dem Verzeichnis Windows\Command erwischen, z.B. die besagte SULFNBK.EXE. Aus nicht mehr nachvollziehbaren Gründen hat es eine Warnung vor einer ursprünglich wohl tatsächlich infizierten Datei dieses Namens, die per E-Mail beim Urheber der Warnung eintraf, geschafft, als Hoax um die Welt zu gehen. Viele Benutzer löschen ohne weitere Nachprüfung einfach diese Datei, weil sie sie auf ihrem Rechner finden und (natürlich) kein Virenscanner etwas findet. D.h. die Tatsache, dass kein Virenscanner einen Virus in der Datei findet, wird auch noch als Bestätigung der falschen Warnung fehlgedeutet - soweit ist es schon...

Extra-Blatt

Wirkliche neue Hoaxes sind derzeit Mangelware, aber wer wollte das ernsthaft beklagen?! Einige ältere Hoaxes sind immer noch im Umlauf, erreichen aber kaum die Relevanzschwelle (jedenfalls, wenn ich nach den Meldungen gehe, die hier einlaufen).

Bitte leiten Sie generell keine Virenwarnungen weiter, in denen zur Weiterleitung an alle Bekannten aufgefordert wird. In mehr als 99% aller Fälle handelt es sich um Hoaxes, also Falschmeldungen. Wenn Sie unsicher sind, schauen Sie in die Liste der bekannten Hoaxes

Überlassen Sie es den dafür zuständigen Mitarbeitern in Ihrem Unternehmen, die Kollegen über Virengefahren zu informieren.

Aktuelle Virenmeldungen und Links zu weiteren Informationen finden Sie seit Anfang Dezember 2000 auch auf dieser Seite:

  http://hoax-info.tubit.tu-berlin.de/virus/aktuell.shtml

In diese Liste werden (tagesaktuell) nur Viren und Würmer aufgenommen, die von mehreren Antivirus-Herstellern als verbreitet gemeldet werden. Ferner ausnahmsweise solche, die ein großes Medien-Echo oder eine große Zahl an Anfragen generiert haben.

Tipp: Wenn Sie einen vermutlichen Hoax nicht in der Liste finden, picken Sie sich eindeutige Stichwoerter aus dem Text, vor allem aus dem angeblichen Betreff der Mails, vor denen gewarnt wird, und fuettern Sie die lokale Suchmaschine ('Suchfunktion') damit.
Sie durchsucht alle Seiten nach diesen Begriffen und listet die Treffer nach Relevanz sortiert auf. Die Syntax ist wie bei den bekannten Web-Suchmaschinen.


Kettenbriefe

Pyramidensysteme
Auf diese Art von Kettenbriefen bin ich in der Ausgabe 1/2001 schon ausführlich eingegangen. Es gibt offensichtlich eine Reihe von Unbelehrbaren, die auch nach dem sie beim dritten Mail-Provider deshalb rausgeflogen sind, weiter solche illegalen Mails versenden - immer schön mit voller Postadresse an der Stelle, wo man den 'Report Nr. 1' (oder wie es gerade genannt wird) bestellen soll.

Die Liste der Überschriften, mit denen diese Systeme (nicht nur) per E-Mail propagiert werden, ist zu lang, um alle in die Hoax-Liste aufzunehmen. Allen gemeinsam ist, dass die Mails sehr lang sind. 'PC-Verdienst durch E-Mail Senden' ist eines der jüngeren Beispiele, die Texte sind inhaltlich praktisch identisch.

Es sei für alle, die mit dem Gedanken spielen, es auch mal damit zu versuchen, darauf hingewiesen, dass sich auch die Polizei für derlei Machenschaften interessiert. Zum Teil existieren spezielle Ermittlungsgruppen bei den Landeskriminalämtern.

  http://hoax-info.tubit.tu-berlin.de/hoax/#8.1
 http://www.detta.de/Schneeballsysteme.htm

Drain Ernold
Was haben Schweizer Bankdirektoren, Vorstandsmitglieder süddeutscher Pharma-Unternehmen, Berliner Universitätsprofessoren und die Nachrichtenredaktion eines großen deutschen Privatsenders mit normalen Internetbenutzern gemeinsam? Sie sind alle auf einen Kettenbrief aus der Abteilung 'Tränendrüsenbriefe' hereingefallen.
Angeblich ist es der Wunsch eines todkranken Jungen namens Drain Ernold (teils auch Drain Arnold u.a.), mit den meisten Genesungs- wünschen ins Guinness-Buch der Rekorde zu kommen. Es wird sogar eine Postadresse in Grossbritannien angegeben - die variiert jedoch ständig und ist in jedem Fall falsch. So warnen u.a. der sächsische Landtag und die IHK Hannover in Pressemitteilungen vor diesem Kettenbrief.
Das Ganze basiert auf der wahren Geschichte von Craig Shergold, die im Jahre 1989 begann. Lesen Sie mehr darüber auf

  http://hoax-info.tubit.tu-berlin.de/hoax/craig.shtml

Knochenmarkspender gesucht (Julia S.)
Seit 14 Monaten kursiert ein Kettenbrief, in dem jemand mit der Blutgruppe 'AB negativ' gesucht wird, der sich als Knochenmarkspender zur Verfügung stellt. Angegeben ist die volle Adresse einer Julia S. aus dem Raum München, die in Wirklichkeit auch nur den Kettenbrief weitergeleitet hat. Volltext und weitere Infos zu diesem Kettenbrief, der im Januar 2002 wieder sehr stark im Umlauf ist:

  http://hoax-info.tubit.tu-berlin.de/hoax/knochenmarkspende.shtml

Merke:
Kettenbriefe sind kein adäquates Medium zur Kommunikation seriöser Anliegen.


Viren in E-Mails

Viren/Würmer, die sich des Mediums E-Mail für ihre Verbreitung bedienen, nehmen weiter zu. Dazu trägt neben der mangelnden Schulung von Mitarbeitern (bzw. Kenntnisstand der Nutzer) auch die Verwendung dafür anfälliger E-Mail-Software bei.

W32/Badtrans.b
Neuer Rekordhalter bei den meisten versandten Virus-Mails dürfte unangefochten W32/Badtrans.b sein. Diese im November 2001 entdeckte Variante des seit März 2001 bekannten Badtrans.a macht sich Sicherheitslücken in Outlook Express zunutze. Dadurch wird der Anhang automatisch geöffnet und ausgeführt, wenn die Mail in der Vorschau angezeigt wird.
Allein hier wurden seit November 2001 über 3000 mit Badtrans.b infizierte Mails gezählt (in einer einzigen Mailbox). Freunde von Mail-Filtern finden ein zuverlässiges Filterkriterium auf der Seite

  http://hoax-info.tubit.tu-berlin.de/virus/aktuell.shtml

ebenso wie Links zu weiteren Infos über W32/Badtrans.b. Den Text für den Filter kann ich leider nicht hier einfügen, da sonst dieser Newsletter bei diversen Mailservern hängen bleiben würde, die dieses Filterkriterium bereits verwenden. Auch kostenlos erhältliche Gegenmittel sind dort angegeben, ebenso ein Programm zum Entschlüsseln der Daten, die das von Badtrans.b installierte Trojanische Pferd aufgezeichnet hat. Es protokolliert Tastaturanschläge, um Passwörter auszuspionieren.

W32/MyParty
Am 28.01.2002 entdeckt, breitet sich W32/MyParty schnell aus. Der Dateiname 'www.myparty.yahoo.com' (29 KB) soll eine Webadresse suggerieren, es handelt sich jedoch um eine PE-Datei (EXE). Mails mit diesem Wurm treffen mit dem Betreff
'new photos from my party!'
und dem o.g. Anhang ein. Die Schadensfunktion beschränkt sich nach bisherigen Erkenntnissen im Wesentlichen auf den Versand von infizierten E-Mails - zumindest bei Windows 9x/ME.
W32/MyParty legt unter Windows 95/98/ME eine Datei REGCTRL.EXE im Verzeichnis C:\Recycled an, bei Windows NT/2000/XP landet sie in C:\.
Ferner findet sich im Windows-Papierkorb eine Datei F-???.EXE, wobei die Fragezeichen eine zufällige Zahl repräsentieren. Diese Datei wird jedoch nur angelegt, wenn das Systemdatum zwischen dem 26. und 29. Januar liegt. Auf NT-Systemen (inkl. Windows 2000 + XP) versucht der Wurm auch, sich als MSSTASK.EXE im Autostart-Ordner einzutragen und installiert damit einen Backdoor-Trojaner.
Eine zweite Variante benutzt den Dateinamen 'myparty.photos.yahoo.com', 28 KB groß, ist ansonsten praktisch identisch.

Bei Bitdefender (AVX) gibt es kostenlose Gegenmittel, sowohl eines gegen W32/Badtrans als auch eines gegen W32/MyParty:
  http://www.bitdefender.com/html/free_tools.php

Aktuelle Meldungen über in freier Wildbahn (ITW, In The Wild) gesichtete Viren und Würmer finden Sie auch hier:

  http://hoax-info.tubit.tu-berlin.de/virus/aktuell.shtml

Öffnen Sie grundsätzlich nie Dateianhänge unbekannter Herkunft.
Prüfen Sie alle Dateianhänge mit einem aktuellen Virenscanner, selbst wenn die Mail von Ihrem Chef, Ihrem Ehepartner oder Sysop kommt. Führen Sie nie Programme aus, die per E-Mail kommen.
Wo immer möglich, deaktivieren oder deinstallieren Sie den Windows Scripting Host.


Neues zu Hoax-Info Pro

Nachdem es ermutigende Rückmeldungen zur Ankündigung von Hoax-Info Pro gab, habe ich auf der Systems in München mit den dort vertretenen Anbietern von Content-Filtern gesprochen. Alle waren sehr interessiert, im Hoax-Info Pro Forum mitzuwirken.
Leider wird sich der Start noch etwas verzögern. Geplant ist derzeit das 2. Quartal diesen Jahres. Rechtzeitig zur CeBIT wird es mehr darüber zu erfahren geben. Ich werde auch im Rahmen der CeBIT weitere Gespräche führen und bei Bedarf auch Interessenten für Hoax-Info Pro dort zur Verfügung stehen. Weitere Infos zu Hoax-Info Pro finden Sie in Zukunft auf
 http://hoax-info.de/pro/

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber


Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

(C) Copyright Frank Ziemann, TU Berlin, 1998-2002, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Ausnahmen von der Einwilligungspflicht:
Sie dürfen ohne besondere Einwilligung des Autors diesen Newsletter unverändert an einzelne Personen weiterleiten.
Verwendung in Intranets.


Informieren Sie sich über sog. E-Mail-Viren:
hoax-info.de
Information ist das einzige Gegenmittel!


[Zurück zur Hoax-Seite] | [erschienene Newsletter-Ausgaben] [Seitenanfang]