Date sent:        17. Apr. 2000 
Subject:          Hoax-Info-Newsletter Nr. 2/2000
Send reply to:    E-Mail-Adresse

Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.

Bitte besuchen Sie auch die WWW-Seite
hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.

Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse

Inhalt:

• Aktuell im Umlauf befindliche Hoaxes
  
  • Bud[weiser] Frogs Screensaver (BUDDYLST.ZIP)
  • It takes guts to say 'Jesus'
  • Handy-Betrug
  • California/Wobbler
  • How To Give A Cat A Colonic
  • D@fit
  • Virus in Moorhuhnjagd?
  und Kettenbriefe
  • Nokia und Ericsson verschenken angeblich Handys
  • Microsoft-AOL-Merger
  • Aufruf zum Tank-Boykott
  • Die Rechte der Frauen in Afghanistan
• Existierende Viren und Malware
  • Happy99, Happy00
  • Worm.Firkin (BAT.Chode.Worm, BAT911)
• Verwirrung durch GMX-Info 13

Aktuell im Umlauf befindliche Hoaxes

Fast alle diese falschen 'Viruswarnungen' beginnen an der entscheidenden Stelle mit einem Satz wie:

'Wenn Sie eine Mail mit dem Titel '...' erhalten, öffnen Sie sie nicht!!! Sie enthält einen Virus, der den Inhalt Ihrer gesamten Festplatte löscht!'

An der Stelle von '...' können Sie einen der o.g. Titel einsetzen. Häufig ist der Text auch in Englisch (dann haben Sie quasi das 'Original' vor sich). OFT SIND AUCH TEILE DES TEXTES IN GROSSBUCHSTABEN GESETZT. DAS LIEST SICH BESONDERS GUT!

Sie finden auf der Hoax-Seite (Symbol rechts neben der Liste der bekannten Hoaxes) auch mal ein typisches Beispiel für eine Hoax-Mail.

http://hoax-info.tubit.tu-berlin.de/hoax/beispiel.shtml

http://hoax-info.tubit.tu-berlin.de/hoax/hoaxlist.shtml

Folgende Hoaxes sind derzeit im Umlauf:

Bud Frogs' ist Stammlesern dieses Newsletters nicht neu. Ein Bildschirmschoner dieses Namens existiert tatsächlich, hat aber einen anderen Dateinamen. Es sollen (!) mit dem CIH-Virus infizierte Versionen in Newsgroups gepostet worden sein. Das hat jedoch nichts mit diesem Hoax zu tun.
In der deutschen Version wird vor den Budweiser-Fröschen gewarnt, eben diesem Bildschirmschoner. Diese deutsche Version ist in mehreren geringfuegig unterschiedlichen Varianten derzeit wieder stark verbreitet, besonders nachdem sie von der Polizei in Baden- Wuerttemberg irrtuemlich ebenfalls weitergeleitet wurde.
Das Extra-Blatt dazu:

Neueste Variante: Fast identischer Text, der Dateiname wurde auf ZLATKO.EXE geaendert..

It takes guts to say 'Jesus'' soll mit Hilfe der Norton Utilities sein Unwesen treiben, unter Windows ebenso wie auf Macs funktionieren und mit den beiden grossen WWW-Browsern interagieren.

Es kursieren Warnungen vor Handy-Betrügern, die durch verschiedene Tricks Zugang zu Informationen auf der SIM-Karte in Mobiltelefonen erlangen sollen, um dann auf Kosten der Opfer zu telefonieren. Diese Falschmeldungen entbehren jeder Grundlage -- die meisten der angeblichen Tricks sind nicht anwendbar, da die technischen Voraussetzungen dafür nicht in den Mobilfunknetzen implementiert sind. Es liegt eine entsprechende interne 'Sprachregelung' von T-Mobil vor, zu einer offiziellen Stellungnahme mochte sich bislang kein Mobilfunk-Anbieter in Deutschland durchringen. Techniker und Ingenieure von Mobiltelefonen bestätigen jedoch inoffiziell, dass die dargestellten Tricks nicht funktionieren können.

Diese Falschmeldungen sind keineswegs neu, sie kursieren vielmehr bereits seit Jahren in verschiedenen Varianten.
Das Extra-Blatt dazu:

California' soll der Titel (Betreff) von E-Mails sein, die mit einem Virus namens Wobbler infiziert sein sollen.
Es soll auch in Mails mit dem Betreff 'How To Give A Cat A Colonic' das Wobbler-Virus enthalten sein.
Die Schilderung des Virus und seiner Fähigkeiten ist offenbar von der hier schon beschriebenen zweiten Variante des Hoax 'It takes guts to say Jesus' abgeschrieben. Es wird neben IBM, AOL, Netscape und Microsoft auch noch das Melissa-Makrovirus erwähnt und es sollen sowohl PCs als auch Macs betroffen sein.

Your friend D@fit' ist der Titel einer weiteren, nichtexistenten E-Mail, die ein Virus enthalten soll, das die Festplatte löscht. Es gibt zumindest eine deutsche, eine englische und eine holländische Version dieser 'Warnung'.
Das Extra-Blatt dazu:

http://hoax-info.tubit.tu-berlin.de/hoax/d@fit.shtml

Weiterhin existieren verschiedene Mischungen bereits bekannter Hoaxes.

Die Mails, vor denen immer gewarnt wird, existieren nicht. Auch hat weder IBM noch Microsoft, AOL oder Compaq jemals eine solche Warnung in Umlauf gebracht.

Kein Virus kann durch eine reine Textnachricht übertragen werden.
Die Gefahren lauern vielmehr in Dateianhaengen (Attachments).

Virus in Moorhuhnjagd?
Auch das beliebte Spiel 'Moorhuhnjagd' ist Gegenstand von Falschmeldungen. Eine Ketten-Mail warnt davor, Moorhuhnjagd enthalte ein Virus bzw. ein Trojanisches Pferd. Auch hier gilt wieder einmal: Das Original ist sauber, es mag aber Versionen geben, die (absichtlich oder nicht) mit einem Virus infiziert sind und per E-Mail die Runde machen oder auf nicht authorisierten Servern angeboten werden. Laden Sie also Programme aller Art nur von absolut verrauenswürdigen Websites herunter. Prüfen Sie auch in diesem Fall die Datei(en) mit einem aktuellen Antivirusprogramm.
Das Extra-Blatt dazu:

Bitte leiten Sie all diese 'Virus-Warnungen' nicht weiter!

Kettenbriefe

• Nokia und Ericsson verschenken angeblich Handys
• Microsoft-AOL-Merger
• Aufruf zum Tank-Boykott
• Die Rechte der Frauen in Afghanistan

Nokia und Ericsson verschenken angeblich Handys

Seit einigen Wochen kursieren Kettenbriefe, die versprechen, dass jeder, der sie an eine bestimmte Zahl von Personen weiterleitet, ein WAP-Handy von Nokia bekommt.
Anfang April kam dann eine angebliche Reaktion von Ericsson dazu, die nun ebenfalls Handys verschenken sollen.
Beides ist sind Falschmeldungen. Entsprechende Stellungnahmen von Nokia Deutschland und Ericsson Deutschland wurden auf meine Initiative hin inzwischen publiziert und sind auf einem Extra-Blatt nachzulesen:

Microsoft-AOL-Merger

In einem inzwischen wieder abflauenden Kettenbrief wird implizit die (falsche) Nachricht verbreitet, Microsoft und AOL hätten fusioniert. Weiterhin wird behauptet, sie würden nunmehr mit diesem Kettenbrief Geld verschenken, wenn man ihn nur weiterleite. Die Weiterleitung würde automatisch registriert und man bekäme dann für jede Weiterleitung einen Geldbetrag.

Microsoft hat dazu eine Stellungnahme veröffentlicht:
http://www.microsoft.com/germany/news/n2312.htm

Extra-Blatt (mit Originaltext):
http://hoax-info.tubit.tu-berlin.de/hoax/msaol.shtml

Aufruf zum Tank-Boykott

Es kursieren Kettenbriefe, in denen zu einem eintägigen Tank-Boykott aufgerufen wird. Die Schweizer Variante dieses Kettenbriefs ruft zu einem dreitägigen Boykott auf, der Termin dafür ist inzwischen vorüber. Berichte über Erfolg oder Misserfolg liegen mir nicht vor. Die deutsche Aktion wird wohl auch vom AvD (Automobilclub von Deutschland) unterstützt, ob dieser der Urheber ist, ist mir nicht bekannt.
Einen Kommentar zur Sinnhaftigkeit solcher Aktionen verkneife ich mir an dieser Stelle.
Das Extra-Blatt dazu:

Die Rechte der Frauen in Afghanistan

Ein Kettenbrief, der nun schon mindestens 1,5 Jahre kursiert, ruft die Empfänger auf, sich einer Petition für die Rechte der Frauen in Afghanistan anzuschliessen. Die drastische Schilderung der Lebensumstände afghanischer Frauen unter dem Taliban-Regime sind leider zutreffend, der Kettenbrief jedoch ein völlig unadäquates Mittel, um ein seriöses Anliegen zu kommunizieren. Die angegebene E-Mail-Adresse in der Urversion, die zur Zeit wieder verstärkt zirkuliert, ist bereits seit über einem Jahr gesperrt. Das Extra-Blatt dazu:

Existierende Viren und Malware

• Happy99, Happy00
• Worm.Firkin (BAT.Chode.Worm, BAT911)

Happy99, Happy00

Der erste E-Mail-Wurm, der so richtig bekannt und verbreitet wurde, Happy99 (W32/Ska), ist z.Z. ganz oben auf der Liste der am meisten verbreiteten Malware. Dazu kommt eine neue Version Happy00, die sich nur darin unterscheidet, dass das enthaltene Feuerwerk nunmehr mit der Meldung 'Happy New Year 2000!!' eingeleitet wird.

Die meistens Antivirus-Programme sollten diese Variante daher ohne besonderes Update entdecken können.

Es wird ausdrücklich davor gewarnt, die Datei Happy99.exe bzw. Happy00.exe auszuführen!

Aktualisiertes Extra-Blatt:
http://hoax-info.tubit.tu-berlin.de/virus/happy99.shtml

Worm.Firkin (BAT.Chode.Worm, BAT911)

Das FBI publizierte mit viel Geräusch die Entdeckung eines Virus, das mittels eines vorhandenen Modems die Notrufnummer 911 anruft. Diese Funktion ist zwar weder neu noch sonderlich innovativ, sie versetzte jedoch das FBI in Alarmstimmung.
Tatsächlich ist die Verbreitungswahrscheinlichkeit dieses Wurms jedoch sehr gering. Er versucht, sich über im Netz freigegebene Laufwerke auf Windowsrechnern zu verbreiten und sucht dafür nach Rechnern mit bestimmten IP-Adressen. Diese gehören zu einigen Internet-Providern in USA. Eine Ausbreitung nach Europa ist daher sehr unwahrscheinlich.
Die Schadensfunktion (er löscht alle Dateien in C:\ und C:\Windows) wird über VB-Script realisiert, das nur auf Rechnern mit installiertem Windows Scripting Host (WSH) läuft. Das sind typischerweise Computer mit Windows 98 und Windows 2000. Bei diesen Windowsversionen wird der WSH mitgeliefert und standardmässig installiert. Infos (engl.):

• http://www.symantec.com/avcenter/venc/data/bat.chode.worm.html
• http://www.europe.datafellows.com/news/2000/20000402.html
• http://www.avp.ch/avpve/worms/firkin.stm
• http://vil.nai.com/villib/dispvirus.asp?virus_k=98557

Verwirrung durch GMX-Info 13

GMX (Global Message Exchange, www.gmx.net) hat seit Kurzem ebenfalls einen Hoax-Info-Dienst eingerichtet. Er ist unter der Adresse <hoaxinfo(at)gmx.net> zu erreichen. Die grosse Ähnlichkeit zu der beim Hoax-Info Service hier an der TU Berlin verwendeten Adresse <hoax-info(at)gmx.de> (<hoax-info(at)gmx.net> funktioniert auch) könnte bei GMX-Usern Verwirrung stiften.
Zur Zeit wird von beiden Seiten überlegt, wie beide Dienste sinnvoll zusammen arbeiten können, um die Arbeit nicht unnötig zu vermehren bzw. doppelt zu machen, weil User bei beiden Diensten anfragen. Einzelheiten werden zu gegebener Zeit in diesem Newsletter bekannt gegeben.
Da das Ziel einer möglichen Kooperation nur die Verbesserung des Informationsangebots sein kann, wird es sowohl diesen Newsletter als auch die Website an der TU Berlin weiterhin geben.

Bis zur nächsten Ausgabe

Frank Ziemann, Herausgeber

Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.

Die Themen der nächsten Ausgaben:

• aktuelle Hoaxes und Kettenbriefe
• Viren in E-Mails

(C) Copyright TU Berlin, Frank Ziemann, 1998-2000, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe (außer zum persönlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Ausnahmen:
Sie dürfen ohne besondere Einwilligung des Autors diesen Newsletter unverändert an einzelne Personen weiterleiten. Sie dürfen diesen Newsletter innerhalb Ihrer Organisation in unveränderter Form zur Information Ihrer User verwenden, in diesem Falle bitte ich nur um formlose Mitteilung.

Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!