Date sent: 15. Okt. 1999 Subject: Hoax-Info-Newsletter Nr. 12/99 Send reply to: E-Mail-Adresse |
Hoax-Info-Newsletter Nr. 12/99 |
Der Hoax-Info-Newsletter informiert Sie über aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und ähnliches.
Bitte besuchen Sie auch die WWW-Seite
http://hoax-info.de
Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blätter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren.
Fragen zu Hoaxes und Kettenbriefen richten Sie bitte nur an diese Adresse
Fast alle diese falschen 'Viruswarnungen' beginnen an der entscheidenden Stelle mit einem Satz wie:
'Wenn Sie eine Mail mit dem Titel '...' erhalten, öffnen Sie sie nicht!!! Sie enthält einen Virus, der den Inhalt Ihrer gesamten Festplatte löscht!'
An der Stelle von '...' können Sie einen der o.g. Titel einsetzen. Häufig ist der Text auch in Englisch (dann haben Sie quasi das 'Original' vor sich). OFT SIND AUCH TEILE DES TEXTES IN GROSSBUCHSTABEN GESETZT. DAS LIEST SICH BESONDERS GUT!
Sie finden auf der Hoax-Seite (Symbol rechts neben der Liste der bekannten Hoaxes) auch mal ein typisches Beispiel für eine Hoax-Mail.
http://hoax-info.tubit.tu-berlin.de/hoax/beispiel.shtml
Win A Holiday' ist einer der ältesten noch im Umlauf befindlichen Hoaxes. Er unterscheidet sich nicht von vielen seiner Nachfolger, ausser in eben diesem Titel. Neu ist nur die deutsche Übersetzung.
Returned or unable to deliver' wird u.a. zusammen mit 'Win a Holiday' verschickt. Sollten Sie jemals eine Mail mit diesem oder einem sinnverwandten Betreff erhalten, wird es wohl eine Nachricht von einem Mail-Server sein, die Ihnen mitteilt, dass eine von Ihnen versandte Mail nicht zugestellt werden konnte -- mehr nicht.
Bud Frogs' ist
Stammlesern dieses Newsletters nicht neu.
Ein Bildschirmschoner dieses Namens existiert tatsächlich, hat
aber einen anderen Dateinamen. Es sollen (!) mit dem CIH-Virus
infizierte Versionen in Newsgroups gepostet worden sein. Das hat
jedoch nichts mit diesem Hoax zu tun.
In der deutschen Version wird vor den Budweiser-Fröschen gewarnt,
eben diesem Bildschirmschoner. Diese deutsche Version ist in mehreren
geringfügig unterschiedlichen Varianten derzeit sehr stark
verbreitet (Tendenz fallend), wodurch sich der Wahrheitsgehalt aber
auch nicht erhöht.
It takes guts to say 'Jesus'' soll mit Hilfe der Norton Utilities sein Unwesen treiben, unter Windows ebenso wie auf Macs funktionieren und mit den beiden grossen WWW-Browsern interagieren.
How To Give A Cat A Colonic' warnt ebenfalls vor einen Virus, das angeblich die Festplatte löschen soll.
Phantom Menace' (nach Filmtitel StarWars Episode 1) warnt ebenfalls vor einen Virus, das angeblich die Festplatte löschen soll. Dieser Hoax ist recht neu (allerdings wenig originell).
Get More Money' warnt vor einem Virus, das sich an Ihre 'Computerverbindungsteile' (was immer das sein soll) heften und diese nutzlos machen soll.
California' soll der Titel (Betreff)
von E-Mails sein, die mit einem Virus namens Wobbler infiziert sein sollen.
Die Schilderung des Virus und seiner Fähigkeiten ist offenbar von der hier schon
beschriebenen zweiten Variante des Hoax 'It takes guts to say Jesus'
abgeschrieben. Es wird neben IBM, AOL, Netscape und Microsoft auch
noch das Melissa-Makrovirus erwähnt und es sollen sowohl PCs als auch
Macs betroffen sein.
Die Mails, vor denen immer gewarnt wird,
existieren nicht. Auch hat weder IBM noch Microsoft, AOL oder Compaq jemals eine
solche Warnung in Umlauf gebracht.
Kein Virus kann durch eine reine Textnachricht übertragen werden.
Bitte leiten Sie diese 'Virus-Warnungen' nicht weiter!
Es kursieren eine
Reihe von Kettenbriefen, die auf verschiedene
angebliche 'E-Mail-Projekte' an US-Schulen zurückgehen sollen.
Angeblich würde man in einem Schüler-Projekt eine Landkarte
erstellen, wo man alle Orte eintrage, aus denen eine Antwort auf
den Kettenbrief komme.
Seltsam ist nur, dass mir mehrere Versionen mit unterschiedlichen
Schulen vorliegen. Sollten tatsächlich mehrere Schulen gleichzeitig
auf diese (ohnehin zweifelhafte) Idee gekommen sein?! Wohl kaum.
Da es sich bei den angegebenen E-Mail-Adressen um solche bei kostenlosen (sog. FreeMail-) Diensten handelt, liegt die Vermutung nahe, dass hier Spammer auf der Jagd nach E-Mail-Adressen sind, an die sie dann Werbemails senden können.
Ein weiterer Kettenbrief kolportiert einen (vermeintlichen) Skandal aus der Kategorie 'Urban Legends' (Grossstadtmärchen): Der Präsident des US-Lebensmittelkonzerns Procter&Gamble soll in einer Talkshow (der Sally Jesse Raphael Show) zugegeben haben, dass er (und auch die Firma) eine Verbindung zur sog. Satanskirche habe. Auch sollen Gewinne des Konzerns an diese Kirche fliessen. Richtig ist, dass der Präsident von Procter&Gamble nie Gast in dieser Show war und natürlich auch nichts dergleichen behauptet hat. Lesen Sie hier mehr Details darüber (engl.):
http://urbanlegends.about.com/culture/beliefs/urbanlegends/library/blpg2.htm
http://www.sallyjr.com/faq.html (dritte Frage)
In einem z.Z. sehr stark verbreiteten Kettenbrief wird implizit die (falsche) Nachricht verbreitet, Microsoft und AOL hätten fusioniert. Weiterhin wird behauptet, sie würden nunmehr mit diesem Kettenbrief Geld verschenken, wenn man ihn nur weiterleite. Die Weiterleitung würde automatisch registriert und man bekäme dann für jede Weiterleitung einen Geldbetrag.
Soweit bekannt, sind AOL und Microsoft immer noch zwei Firmen, die nichts miteinander zu tun haben.
Bereits in der Vergangenheit kursierten Kettenbriefe, die auf Basis eines sog. 'Microsoft E-Mail-Tracking System' Geld oder Sachpreise für die Weiterleitung des Kettenbriefs versprachen.
Dieses System existiert nicht und ist technisch so auch nicht möglich.
Es kursieren nach wie vor Kettenbriefe, die dem Empfänger Glück verheissen, wenn er den Brief (innerhalb best. Frist) weiterleitet. Andernfalls droht Ungemach, Pech, ja die grosse persönliche Katastrophe. Leitet er dagegen den Brief weiter, soll er Geld, Ruhm und Ehre erhalten sowie Glück in allen Lebenslagen.
Diese 'Glücksbriefe' stammen angeblich aus Nepal oder Neuseeland, sind soundso oft um die Welt gegangen und enthalten eine Reihe von Lebensweisheiten ('Tantras') oder aber angebliche Schicksale von Menschen, die den Kettenbrief nicht weitergeleitet haben.
Diese Art von Briefen gibt es bereits, seit Menschen schreiben können und dürfen (!) -- sie sind keine Erfindung des Internet- Zeitalters. Hier wird in verantwortungsloser Art und Weise mit dem Aberglauben von Menschen gespielt, die in ihrem Glauben (an was auch immer) nicht hinreichend gefestigt sind und jedem esoterischen Unsinn nachlaufen (es mag auch Aspekte von Esoterik geben, die kein Unsinn sind, das ist aber hier nicht Thema).
Bitte leisten Sie diesem groben Unfug keinen Vorschub!
Dieser Kettenbrief setzt sich für die Rechte unterdrückter Frauen in Afghanistan ein. Die in diesem Brief wiedergegebenen Schilderungen dazu sind weitgehend zutreffend. Die E-Mail-Adressen sind jedoch ebenso falsch wie die Wahl dieses Mediums zur Kommunikation dieses Anliegens. Da dieser Kettenbrief nicht neu ist, verweise ich für weitere Details auf das entsprechende 'Extra-Blatt':
http://hoax-info.tubit.tu-berlin.de/hoax/taliban.shtml
Ich habe von mehreren Personen Kopien einer aktuellen Ausgabe dieses Newsletters erhalten. Dem Anschein nach verbreitet dieser Newsletter massiv Falschmeldungen über E-Mail-Viren. Die mir vorliegende Ausgabe enthält folgende Hoaxes:
Haben Sie auch schon eine solche Mail erhalten:
8<------- Betreff: Gewinnen Sie Reisen im Wert von 750.000 Mark! Inhalt: Einfach hier klicken: http://expedia.de/pubspec/scripts/eap.asp?eapid=XXX-X willkommen bei Expedia.de, Ihrem Reisebüro im Internet. [...] ------->8
'XXX-X' am Ende der URL-Zeile steht für eine Nummer, die je nach Absender verschieden sein kann.
Expedia.de ist ein Reisebüro im Internet, das zu Microsoft
gehört. Es fordert seine Kunden bzw. Besucher der Website
dazu auf, mit einer nach Registrierung zugeteilten ID (ebendieser
XXX-X) andere Menschen per E-Mail zum Besuch der Website von
Expedia.de zu animieren.
Diese Kunden-werben-Kunden-Marketing-Strategie ist zwar weder
neu noch originell und auch keine Erfindung des Internet-Zeitalters
(und auch keine von Microsoft), stellt im Internet jedoch
einen UCE-Tatbestand dar (UCE: Unsolicited Commercial E-Mail =
unverlangte Werbesendung). Man nennt es auch 'Spam'.
Ähnliche Praktiken wurden in der vorherigen Ausgabe dieses Newsletters bereits für Free4U und Tradehall gemeldet.
Wie bereits
im Newsletter 10/99 berichtet, existiert eine
Website, auf der man per Mausklick ein kleine Spende
auslösen kann, die von einem Sponsor finanziert wird.
Damit soll ein kleiner Beitrag geleistet werden, den Hunger
in der Welt zu bekämpfen.
Die Seriosität dieser Sache war damals noch nicht ganz
gesichert, inzwischen liegt mir eine positive Stellungnahme
des UN World Food Program (www.wfp.org) vor, die bestätigt,
dass aus dieser Aktion Spendengelder an die Organisation
fliessen.
Es gibt dazu ein 'Extra-Blatt' mit mehr Details:
http://hoax-info.tubit.tu-berlin.de/hoax/hungersite.shtml
Leider werden inzwischen (seit 'Melissa' durch die Medien ging) auch Virenwarnungen durch dieselben Mechanismen wie Hoaxes verbreitet, die sich auf durchaus ernstzunehmende Gefahren durch Malware (malicious software, also Viren, Würmer, Trojanische Pferde usw.) beziehen. Für die Empfänger wird es damit noch schwieriger, zwischen realen Gefahren und schlechten Scherzen zu unterscheiden.
Daher hier wieder einige aktuelle Meldungen über reale Gefahren, soweit sie direkt das Medium E-Mail tangieren. Einige wurden schon in zurückliegenden Ausgaben gewürdigt, sie werden daher nur kurz erwähnt.
Wenn Sie meinen, unbedingt andere über eine Virengefahr informieren
zu müssen, stellen Sie erstens sicher (!), dass es sich um ein
wirklich existierendes Virus handelt und geben Sie dazu die URL
der Seite an, wo Sie dies festgestellt haben. Das sollte in der Regel
die Website eines der bekannten Antivirus-Hersteller sein, die
grosse Bibliotheken mit Virenbeschreibungen im WWW bereitstellen.
Im Zweifel unterlassen Sie lieber die Weiterleitung von
Virenwarnungen. So akut ist die Sache meist nicht, als dass
das Lostreten einer Kettenbrieflawine damit zu rechtfertigen wäre.
Fragen Sie (vorher!) hier (E-Mail-Adresse) nach, was es mit
einer Virenwarnung auf sich hat.
Eine Liste dieser Websites finden Sie z.B. hier: http://hoax-info.tubit.tu-berlin.de/software/antivirus.shtml
Count2K (Y2Kcount)
Siehe Newsletter 11/99
und Extra-Blatt
Fix2001 (Win32/Fix2001)
Siehe Newsletter 11/99
und Extra-Blatt
Win32/Cholera, Win32/CTX
Siehe Newsletter 11/99
und Extra-Blätter:
Win32/Cholera,
Win32/CTX
VBS/Freelinks
Zur Zeit sind einige hoaxähnliche Virenwarnungen im Umlauf,
die vor Mails mit dem Subject (Betreff, Titel) 'Check this'
warnen, die ein Attachment (Dateianhang) namens 'links.vbs'
enthalten sollen.
Dies ist kein Hoax, es existiert ein Virus, auf das diese
sehr rudimentäre Beschreibung zutrifft. Es handelt sich um
ein virus, das den Windows Scripting Host (WSH) voraussetzt,
der mit Windows 98 und 2000 serienmässig installiert wird,
während er in Windows 95 und NT nicht enthalten ist, aber
nachgerüstet werden kann.
Details im Extra-Blatt
I-Worm.PrettyPark (W32/Pretty, Trojan.PSW.CHV)
PrettyPark ist bereits seit Mai 1999 bekannt und war zunächst
nur in Frankreich verbreitet. Kürzlich wurde PrettyPark von
NAI/McAfee wieder auf die Warniste gesetzt, scheint sich nunmehr
also auch ausserhalb Frankreichs zu verbreiten (ich habe heute
selbst ein Exemplar aus Holland erhalten).
PrettyPark legt im Windows\System-Verzeichnis eine Datei
'files32.vxd' ab und modifiziert einen Registry-Schlüssel.
Mehr Details im Extra-Blatt
I-Worm.BadAss
Dieses Woche frisch eingetroffen: Wieder mal ein Wurm, der sich
per E-Mail selbst weiterleitet.
In diversen Meldungen wird er als 'Melissa-Klon' bezeichnet, was
nicht ganz richtig ist (Melissa ist ein Word-Makrovirus,
BadAss hingegen wie Happy99 und ExploreZip ein selbständig
lauffähiges Programm (EXE-Datei). Es wird allerdings vermutet,
dass der Melissa-Quellcode als Basis verwendet wurde, um die
EXE-Datei zu kompilieren.
I-Worm.BadAss (so die Bezeichnung des Antivirus-Herstellers AVP,
wo er entdeckt wurde) kommt als Anhang (Attachment) einer E-Mail,
deren Betreff (Subject) den Text 'Moguh..' enthält. Die Nachricht
selbst lautet: 'Dit is wel grappig! :-)'.
Die Original-Datei heisst BADASS.EXE, sie kann aber umbenannt werden,
dann verbreitet sich BadAss mit dem neuen Dateinamen.
Es sendet sich nach Aufruf (Ausführen) der EXE-Datei per Outlook an
alle Adressen im Outlook-Adressbuch. Es sendet sich nicht mehrmals
von demselben Computer aus. Dazu erstellt es einen Registry-Eintrag.
BadAss zeigt Windows-Dialogboxen mit Fäkal-Ausdrücken an, die
Systemfehler vortäuschen sollen.
Mehr darüber im Extra-Blatt
(dt.) sowie bei AVP und
Symantec.
(beide engl.)
I-Worm.Anap
Ebenfalls in dieser Woche erst entdeckt wurde der Wurm 'Anap'.
Er kommt per E-Mail, die den Betreff 'Patch' trägt und vermeintlich
von einem der folgenden Absender stammt:
<support@microsoft.com> <support@netscape.com> <support@pc.ibm.com>
<support@ibm.com> <support@intel.com>
Dabei wird als Name des Absenders einer ebenso zufällig aus einer
längeren Liste ausgewählt.
Die Nachricht lautet:
'This is the patch you asked for.'
Die angehängte Datei heisst SETUP.EXE und ist etwa 16 kB gross.
Anap durchsucht lokale HTML-Dateien nach E-Mail-Adressen und
versendet sich selbst an diese per SMTP an max. 10 dieser Adressen
pro Aufruf der SETUP.EXE.
Anap modifiziert keine Dateien oder Registry-Einträge, ist nicht
speicherresident und wird nicht mit jeden Windows-Start ausgeführt.
Mehr Details im
Extra-Blatt (dt.) sowie bei AVP (engl.).
I-Worm.Sysclock
SysClock ist recht vielseitig in seinen Aktivitäten. Er verbreitet
sich per E-Mail (mit Eudora) und IRC (mIRC), löscht und überschreibt
eine Reihe von Programmdateien, spioniert Passwörter aus, und
manipuliert eine ganze Reihe von Registry-Einträgen, die
Einstellungen von Anwendungsprogrammen enthalten usw.
SysClock kommt per E-Mail mit dem Betreff 'here's what u requested'
und der Nachricht
'You had requested this a while back, so here you are. enjoy.'Die angehängte Datei PKZIP.EXE, etwa 80 kB gross, enthält den Wurm. Er installiert sich per Registry-Eintrag so, dass er mit jedem Windows-Start aufgerufen wird.
I-Worm.Suppl (W97M.Suppl)
Dieser Wurm kommt zunächst per E-Mail in einem Word-Dokument namens
SUPPL.DOC. Wird diese Datei in Word geöffnet, wird ein Makro aktiv,
das eine Programmbibliothek (DLL) installiert, die bei nächsten
Windows-Start die serienmässige WSOCK32.DLL ersetzt. Dadurch kann
der Wurm aktive Internetverbindungen erkennen und sich per E-Mail
weiterverbreiten.
Auf Grund der Installationsmethode (per WININIT.BAT) funktioniert
Suppl nur unter Windows 95/98, nicht unter NT. Die originale
WSOCK32.DLL wird dabei in WSOCK33.DLL umbenannt.
Eine Woche nach Installation wird die Schadensroutine aktiv: Sie
überschreibt und löscht (ähnlich ExploreZip) Dateien mit den
Erweiterungen DOC XLS TXT RTF DBF ZIP ARJ RAR. Diese können nicht
wieder hergestellt werden (es sei denn von Backups).
Mehr Details im Extra-Blatt
(dt.) sowie bei AVP,
McAfee
und Symantec (alle engl.).
Die genannten Extra-Blätter werden in den nächsten Tagen sukzessive bereitgestellt, einige existieren auch schon seit einiger Zeit.
In den kommenden Tagen entsteht an der TU Berlin auch eine Seite
mit Tipps und Links zum sog. Millennium-Bug:
http://hoax-info.tubit.tu-berlin.de/software/y2k.shtml
Bis zur nächsten Ausgabe
Frank Ziemann, Herausgeber
Dieser Newsletter wird archiviert und kann auch später noch abgerufen werden.
Die Themen der nächsten Ausgaben:
(C) Copyright TU Berlin, Frank Ziemann, 1998-99, alle Rechte vorbehalten
Jede Art der Vervielfältigung, Speicherung und Weitergabe
(außer zum persönlichen Gebrauch), auch auszugsweise,
bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt.
Wenn Sie eingehende Hoaxes mit Sendung des Newsletters beantworten möchten,
können Sie dies gerne tun. Dergleichen wird als 'persönl. Gebrauch'
angesehen und bedarf keiner expliziten Erlaubnis. Dies gilt auch für die
Weitergabe an einzelne Kollegen und Bekannte. In allen Fällen darf der
Text jedoch nicht verändert werden.
Informieren Sie sich über sog. E-Mail-Viren:
http://hoax-info.de
Information ist das einzige Gegenmittel!