Date sent: 7. Aug. 2000 Subject: Hoax-Info-Newsletter Nr. 4/2000 Send reply to: E-Mail-Adresse |
Hoax-Info-Newsletter Nr. 4/2000 |
Bitte beachten Sie auch den Nachtrag zu dieser Ausgabe
Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.
Bitte besuchen Sie auch die WWW-Seite
http://hoax-info.de
Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.
Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse
California/Wobbler
Es wird vor E-Mails mit dem Titel (Betreff) 'California' gewarnt,
die ein Virus namens 'Wobbler' enthalten sollen. Die Beschreibung
der Wirkung des angeblichen Virus entspricht der in dem Hoax
'It takes guts to say Jesus'.
Es gibt kein Virus, auf das diese Beschreibung zutrifft. Es gibt
ein Scherzprogramm (Joke) namens Wobbler, das die Bildschirmanzeige
zum Wackeln bringt. Das hat jedoch nichts mit diesem Hoax zu tun.
Win A Holiday
Einer der ältesten noch kursieren Hoaxes, den ich immer wieder an
dieser Stelle nennen muss. Derzeit ist er im Doppelpack mit
'California/Wobbler' im Umlauf.
BUDDLY SIP
Eine weitere Schreibweisenvariante des 'Budweiser Frogs' Hoax.
Derzeit im Umlauf im Doppelpack mit einer übertriebenen Warnung vor
dem SouthPark-Wurm.
SouthPark-Wurm
Dieser Wurm existiert. Er ist jedoch weniger verbreitet als die
Warnungen davor.
Kali/Lets watch TV
Ein weiterer Hoax, der vor einem Virus in Mails mit dem Betreff
'Lets watch TV' warnt, die ein Virus namens Kali enthalten sollen.
Es gibt diese Mails nicht. Es gibt ein lange bekanntes Virus namens
Kali, das jedoch nicht verbreitet ist und auch nicht die in dem
Hoax beschriebene Wirkung hat.
Bitte leiten Sie generell keine Virenwarnungen weiter, in denen zur Weiterleitung an alle Bekannten aufgefordert wird. In mehr als 99% aller Fälle handelt es sich um Hoaxes, also Falschmeldungen. Wenn Sie unsicher sind, schauen Sie in die Liste der bekannten Hoaxes:
http://hoax-info.tubit.tu-berlin.de/hoax/hoaxlist.shtmlÜberlassen Sie es den dafür zuständigen Mitarbeitern in Ihrem Unternehmen, die Kollegen über Virengefahren zu informieren.
Es kursieren immer wieder Kettenbriefe, in denen dazu aufgerufen wird, durch Hinzufügen des eigenen Namens in eine beiliegende Liste eine Petition zu 'unterschreiben', die sich für eine Sache einsetzt.
Da Kettenbriefe allgemein ein schlechtes Ansehen haben, ist der Nutzen einer solchen Petition für diese Sache eher gering.
Kettenbriefe sind kein adäquates Medium zur Kommunikation seriöser Anliegen.
Regenwald-Petition
Hier geht es um die Abholzung großer Teile des brasilianischen
Regenwaldes. Es gab tatsächlich eine Vorlage im brasilianischen
Congress, die eine solche Maßnahme zum Ziel hatte. Sie wurde jedoch
von der Mehrheit der Abgeordneten abgelehnt. Dazu hat sicherlich
auch der Druck der Öffentlichkeit und nationaler und internationaler
Organisationen und Initiativen beigetragen. Behauptungen, E-Mail-
Petitionen hätten wesentlichen Anteil an diesem Erfolg sind maßlos
übertrieben und entbehren jeder faktischen Grundlage.
Die in dem im deutschsprachigen Raum kursierenden Kettenbrief
angegebene E-Mail-Adresse, an die die 'Unterschriftenlisten' zu senden
sein sollen, existiert nicht (mehr).
Es existiert tatsächlich eine Website, die nach dem erfolgreichen Schema der 'Hungersite' Spenden für Regenwaldprojekte sammelt.
http://hoax-info.tubit.tu-berlin.de/hoax/hungersite.shtmlDer Betreiber der 'Rainforestsite' ist derselbe wie der der
'Hungersite'.
Eine weitere Website funktioniert ähnlich und sie leitet wirklich
Spenden an eine US-Naturschutzorganisation weiter. Dies wurde mir
auf Nachfrage von derselben bestätigt.
Film 'Gay Jesus'
Es wird behauptet, es solle demnächst ein Film anlaufen, in dem Jesus
und seine Jünger als Homosexuelle dargestellt werden. Der Kettenbrief
ruft alle Christen auf, sich der Petition gegen diesen Film
anzuschließen.
Es gibt keinen solchen Film, auch kein Theaterstück, auf dem ein
solcher Film beruhen könnte (das wird in dem Kettenbrief behauptet).
Das Gerücht über Pläne zu einem solchen Film wird schon seit Jahren
in wechselnden Kettenbriefaktionen verbreitet, was den Gehalt an
Fakten jedoch nicht signifikant erhöht.
Bitte beachten Sie hierzu auch den Nachtrag zu dieser Ausgabe
Glücks- und Tränendrüsenbriefe
Es kursieren weiterhin diverse Kettenbriefe, in denen
'Glücks-Tantras', 'nepalesische Tantra-Totems' und ähnlicher Unfug
'transportiert' werden. Bitte nicht weiterleiten.
Es kursieren weiterhin Kettenbriefe, in denen von todkranken Kindern
die Rede ist, denen auf diese Weise geholfen werden soll. Das ist
Unfug. Diese Kinder existieren nicht, vergleiche exemplarisch:
Intel/AOL E-Mail-Beta-Test
Variante des 'Microsoft/AOL Beta-Test' Hoax, in der behauptet wird,
Intel und AOL hätten fusioniert und man bekäme Geld für das
Weiterleiten des Kettenbriefs.
Unbenommen der Tatsache, dass die ursprüngliche Version dieses Virus (bzw. E-Mail-Wurms) erhebliche Verwirrung und Schäden angerichtet hat, ist die Bedeutung aller in der Folge aufgetauchten Versionen minimal. Auch diverse andere Viren/Würmer, die nach VBS/Loveletter bekannt wurden, haben eine Publizität erfahren, die ihrer Bedeutung keineswegs angemessen ist.
Was wir durch VBS/Loveletter erfahren haben ist, dass die Verantwortlichen für Datensicherheit in vielen Organisationen nichts aus dem Melissa-Vorfall im März/April 1999 gelernt haben.
Immer noch sind viele Mailserver ungeschützt, teils weil zwar eine Antivirus-Lösung gekauft wurde, diese jedoch nach der Installation nicht gepflegt wird und damit veraltet ist. Allein durch regelmäßige Updates der Virensignatur-Dateien kann zwar ein Schaden durch neue, noch unbekannte Viren/Würmer nicht verhindert werden, dies bietet jedoch guten Schutz vor bekannter Malware. Die zusätzliche Filterung von Attachments (Dateianhängen) leistet hier ergänzende Dienste. So gibt es eigentlich keinen vernünftigen Grund, warum eine E-Mail Dateien mit der Doppelendung '.txt.vbs' enthalten sollte. Es wird sich also mit hoher Wahrscheinlichkeit um Malware handeln. Auch der Austausch von Daten mittels Dateien in den eigenen Formaten von Office-Programmen (z.B. *.doc) ist immer noch eine weit verbreitete Unsitte. Nicht zuletzt dadurch wurden Makro-Viren zu der am weitesten verbreiteten Gattung von Viren. Ähnliches gilt für die verbreitete Unsitte, HMTL-formattierte Mails zu versenden (s.u.).
Immer noch ist die Schulung und Einweisung von Mitarbeitern, die E-Mail und Web am Arbeitsplatz nutzen können, die Ausnahme. Geschulte Mitarbeiter sind eine wertvolle Ressource, deren Wert durch ständige Weiterbildung erhalten werden muss. Dies ist ein wesentlicher Baustein eines umfassenden Datensicherheitskonzepts, vielleicht der wichtigste.
Viren/Würmer, die sich des Mediums E-Mail für ihre Verbreitung bedienen, nehmen weiter zu. Dazu trägt neben der mangelnden Schulung von Mitarbeitern (bzw. Kenntnisstand der Nutzer) auch die Verwendung dafür anfälliger E-Mail-Software bei.
VBS/BubbleBoy
So tauchte im Frühjahr 2000 eine Variante des seit Herbst 1999
bekannten Wurms VBS/BubbleBoy erstmals in freier Wildbahn auf.
Dieser Wurm wird bereits in der Vorschau (Preview-Mode) von
Outlook/Outlook Express aktiv, d.h. ohne dass der Empfänger die
Mail bewusst öffnet. Der Virus-Code ist nicht in einer angehängten
Datei enthalten, sondern in HTML-formattiertem Mail-Text eingebettet.
Virus in angeblicher T-Online-Werbe-Mail
Im Juli 2000 tauchten E-Mails mit dem Betreff 'T-Online Flat-Rate
Gewinnchancen' auf, die den Empfängern den Gewinn einer so genannten
Flatrate versprach. Die Mail stammte vorgeblich von einem Silvio
Reuter, der sich als Chef einer 'T-Online-Flat.Rate Ag Deutschland'
ausgab. Die 'Gewinner' sollten lediglich den beigefügten 'patch'
ausführen (es war eine Datei angehängt). Diese Datei war jedoch
(absichtlich) mit einem Virus aus der 'F-YOU'-Familie infiziert.
Eine Subfirma der Telekom mit dem angegebenen Namen existiert nicht. Falls Sie eine solche Mail erhalten (haben), führen Sie die angehängte Datei nicht aus. Sollten Sie dies bereits getan haben, können Sie die Infektion mit nahezu jeder am Markt befindlichen Antivirus-Software entfernen. F-YOU-Viren sind schon ziemlich lange bekannt, auch die vorliegende Variante (F-You.417.a) ist nicht neu. F-You ist speicherresident und infiziert EXE- und COM-Dateien, wenn diese ausgeführt werden. In regelmäßigen Abständen werden Meldungen angezeigt; weitere Schäden richtet F-You nicht an.
Bereits seit Jahren werden Faxe und E-Mails gezielt versandt, in denen
unter Titeln wie 'Confidential Business Proposal' Millionen von Dollar
versprochen werden.
Dazu wird eine erfundene Geschichte erzählt (z.B. hohe Erbschaft),
die sich meist in Nigeria zugetragen haben soll. Der Absender wendet
sich hilfesuchend an den angeblich als seriöse Geschäftsperson
bekannten Empfänger und bittet ihn, sein Bankkonto für die
Transaktion des Geldes zur Verfügung zu stellen. Er soll dafür
einen prozentualen Anteil an dem Geld erhalten, das auf diese Weise
außer Landes geschafft werden soll. Es handelt sich regelmäßig um
einige Millionen Dollar, die es dabei zu verdienen geben soll.
An dieser Stelle (mit dem Empfang dieser Mail, dieses Faxes) sollte die Geschichte besser enden, denn die Fortsetzung wäre wenig erbaulich sondern endet regelmäßig mit einer finanziellen und persönlichen Katastrophe.
Hier geht es nicht um vergleichsweise 'harmlose' Viren oder Würmer,
auch nicht um mehr oder weniger schlimme Scherze, die mit den
Adressaten getrieben werden.
Es geht vielmehr um kriminelle Machenschaften, in die die Adressaten
nicht nur als Opfer sondern zum Teil auch als Täter hineingezogen
werden sollen.
Dem wachen Verstand des aufmerksamen Lesers sollte sich bereits beim Lesen zumindest der Verdacht aufdrängen, dass es hier nicht mit rechten Dingen zugehen kann. Wer sich auf die Aktion einlässt, zeigt damit erhebliche kriminelle Energie, die durch Gier geweckt wird. Häufig geht es nämlich um Gelder, die dem Staat Nigeria gehören und der Absender gibt sich als Staatsdiener oder Anwalt aus.
Antwortet man auf die Mail (bzw. Fax) in der geforderten Weise, wird der nächste Schritt der Täter darin bestehen, für die Abwicklung der Transaktion sowie notwendige Bestechungsgelder einen Vorschuss zu erbitten, der im Vergleich zu der zu erwartenden Summe gering ist, jedoch durchaus einige tausend DM betragen kann. Geht der nunmehrige Mittäter darauf ein und überweist das Geld, endet die Geschichte meist an dieser Stelle -- das Geld ist weg, dessen Empfänger auch. Es handelt sich also um das auch hierzulande (siehe Angebote für Nebenjobs im Kleinanzeigenteil von Zeitungen) bekannte Delikt des 'Vorschuss-Betrugs' (Advance Fee Fraud) nach dem entsprechenden Artikel im nigerianischen Stragesetzbuch auch '419' genannt.
Schlimmer trifft es diejenigen, die gebeten werden, das Geld persönlich nach Nigeria zu bringen. Sie werden nicht nur des Geldes beraubt, sondern oft auch als Geisel genommen und nur gegen Lösegeld wieder frei gelassen.
Was sich nach einer sehr abenteuerlichen Geschichte anhört, ist nahezu tägliche Realität der Polizeibehörden in Europa und Afrika. Betroffene sollten sich an die deutsche Polizei und / oder die Botschaft des jeweiligen (meist afrikanischen) Landes wenden. Sie erhalten zwar ihr Geld nicht wieder, geben aber u.U. wertvolle Hinweise, die gelegentlich auch zur Ergreifung solcher Täter führen können. Es gibt wohl sogar einen Selbsthilfeverein der derart Geneppten.
Es muss also dringend davor gewarnt werden, auf solche Angebote einzugehen, es stecken praktisch immer Kriminelle dahinter.
http://www.v-d-boom.de/419.htmlUnter der plakativen, aber wenig realistischen Einleitung 'Das Internet bekommt ab September 2000 eine weltweite Regierung' wird in einem Kettenbief, durch einen Bericht des SPIEGEL inspiriert, der darin auch zitiert wird, dazu aufgerufen, sich als Wähler registrieren zu lassen.
Abgesehen von der massiven Überschätzung der Bedeutung von ICANN
(International Corporation for Assigned Names and Numbers) ist die
Darstellung im Kern zutreffend.
Die Frist für die Registrierung (31. Juli 2000) ist unterdessen
abgelaufen, Anmeldungen waren auch vorher schon praktisch nicht mehr
möglich, da die Anmelde-Server zu jeder Tages- und Nachtzeit
überlastet und somit nicht nutzbar waren. ICANN hatte wohl die
zu erwartende Teilnahme massiv unterschätzt und war unfähig, die
die Erwartungen um etwa eine Größenordnung übersteigende Zahl
der Anmeldungen zu meistern.
Aufgabe der ICANN ist v.a. der Beschluss über die Einführung neuer gTLD (generic Top Level Domains), zusätzlich zu den bestehenden (com, net, org, edu, gov, int, mil), z.B. .web, .eu etc., in das DNS (Domain Name System) des Internet. Dazu kommt die Zulassung von Domain-Registraturen und rechtliche Fragen bei Domainstreitigkeiten. Die registrierten Wähler sollen je einen Vertreter jedes Kontinents für das Direktorium der ICANN wählen.
Obwohl sich viele Internetnutzer nicht anmelden konnten, wird die Wahl des Direktoriums wie geplant fortgesetzt.
http://www.icann.orgDieser Hoax-Info Newsletter wird an mehr als 8600 Abonnenten versandt. Um die Web-Adresse leichter merk- und kommunizierbar zu machen, habe ich die Domain hoax-info.de registriert. Unter www.hoax-info.de finden sich derzeit keine Inhalte, man wird automatisch auf die bekannte Seite an der TU Berlin weitergeleitet. Wahlweise kann auf den Mirror bei der VHM (Virus Help Munich, www.vhm.haitec.de) verzweigt werden.
Anfragen zu Hoaxes und Kettenbriefen können an diese Adresse gesandt werden, die bisherigen Adressen bleiben weiterhin bestehen.
Mails mit Fragen zur Abo-Verwaltung bitte nur an <hoax-info-owner(at)zrz.tu-berlin.de>, bitte keine Hoax-Fragen an diese Adresse schicken. Für Abbestellungen und Adressänderungen im Do-It-Yourself-Verfahren nur die weiter unten genannte Adresse verwenden, denn hier wird ein automatisches Verfahren verwendet, das auch davon abhängig ist, dass die Mails richtig formuliert sind.
Bitte schicken Sie keinerlei Mails an die Zustelladresse des Newsletters <hoax-info(at)zrz.tu-berlin.de>, alle Mails an diese werden abgeblockt.
Bis zur nächsten Ausgabe
Frank Ziemann, Herausgeber
Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.
Die Themen der nächsten Ausgaben:
(C) Copyright TU Berlin, Frank Ziemann, 1998-2000, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe
(außer zum persönlichen Gebrauch), auch auszugsweise,
bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Ausnahmen:
Sie dürfen ohne besondere Einwilligung des Autors diesen
Newsletter unverändert an einzelne Personen weiterleiten.
Sie dürfen diesen Newsletter innerhalb Ihrer Organisation in
unveränderter Form zur Information Ihrer User verwenden, in
diesem Falle bitte ich nur um formlose Mitteilung.
Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!