Bewertung: -
Abstimmungen: 0

----- Original Message -----
From: Hoax-Info Service
To: hoax-info@zrz.TU-Berlin.DE
Sent: Tuesday, January 29, 2002 1: 26 AM
Subject: Hoax-Info-Newsletter Nr. 1/2002


Hoax-Info Newsletter (E-Mail) ISSN 1618-2081
Hoax-Info Newsletter (Internet)ISSN 1618-209X

29.01.2002

* * * * * * * * * * * * * * * * * * *

* Hoax-Info-Newsletter Nr. 1/2002 *

* * * * * * * * * * * * * * * * * * *


Der Hoax-Info-Newsletter informiert Sie ueber aktuelle
Entwicklungen im Bereich sog. E-Mail-Viren und verwandter
Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren
und aehnliches.

Bitte besuchen Sie auch die WWW-Seite
http://hoax-info.de

Hier finden Sie aktuelle Informationen und Antwort auf
die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch
die 'Extra-Blaetter', die aktuelle Hoaxes und Kettenbriefe
behandeln, sowie auch reale Gefahren.

Antworten Sie bitte nicht an die Absender-Adresse dieses
Newsletters, sondern achten Sie bitte darauf, dass die
voreingestellte Antwort-Adresse von Ihrem E-Mail-Programm
uebernommen wird. Senden Sie bitte bei einer Antwort nicht
den kompletten Newsletter wieder mit - ich kenne den Inhalt.

Dieser Newsletter wird an ueber 20.000 Abonnenten versandt.
Informationen zur Abbestellung dieses Newsletters finden Sie am Ende.
Adressen, an die ein Newsletter nicht zugestellt werden kann, werden
ohne weitere Rueckfrage aus dem Verteiler gestrichen.


Vorwort
-------

Nach den Attentaten am 11. September 2001 hat die Zahl der
E-Mail-Anfragen so stark zugenommen, dass ich leider keine
Zeit mehr gefunden habe, einen Newsletter zu schreiben.
Die eine oder andere Anfrage musste aus demselben Grund
unbeantwortet bleiben. Ich danke Ihnen fuer Ihr Verstaendnis.
Im neuen Jahr soll nun wieder regelmaessig einmal im Monat
ein Newsletter erscheinen.


Inhalt:
=======

- aktuelle Hoaxes
Virtual Card / Internet Flower, Psychospiel, SULFNBK.EXE
- aktuelle Kettenbriefe
Pyramidensysteme (PC-Verdienst durch E-Mail, etc.)
Drain Ernold
Knochenmarkspender gesucht (Julia S.)
- Viren in E-Mails
W32/Badtrans.b, W32/MyParty (neu!)
- in eigener Sache
Neues zu 'Hoax-Info Pro'


Aktuelle Hoaxes
---------------

Derzeit sind folgende falsche Warnungen vor Viren und Malware
wieder verstaerkt im Umlauf, die eigentlich schon laenger bekannt
sind:

"A Virtual Card for You"
"An Internet Flower for you"
Ein laenglicher Kettenbrief warnt vor E-Mails mit diesen beiden
Betreffzeilen. Sie sollen angeblich von Microsoft und McAfee bzw. von
Intel entdeckt worden sein und CNN soll darueber berichtet haben. Die
Wirkung dieser vermeintlichen Viren ist natuerlich wie immer ganz
furchtbar und es kann sie auch kein Virenscanner entdecken. Letzteres
stimmt sogar - wo nichts ist, gibt es auch nichts zu entdecken... Es
gibt dazu ein Extra-Blatt, beide Titel stehen auch in der Hoax-Liste:

http://www.tu-berlin.de/www/software/hoax/vcard.shtml
http://www.tu-berlin.de/www/software/hoaxlist.shtml

Psychospiel & Co
Ein weiterer Hoax, der zusammen mit dem zuvor genannten die Runde
macht, warnt gleich vor drei Viren auf einmal:
Psychospiel, Screensaver 'Baby Fun' und Emanuel.exe
Nur letzterer ist tatsaechlich existent und relativ schaedlich.
Dieser Dateiname wird von dem Virus/Wurm W32/Navidad.b verwendet:

http://www.tu-berlin.de/www/software/virus/navidadb.shtml

Extra-Blatt zum Hoax:
http://www.tu-berlin.de/www/software/hoax/psycho.shtml

Typischerweise treten derzeit alle o.g. Hoaxes in einer einzigen
Mail auf. Diese Kombi-Packung mit 'Virtual Card' macht hier zurzeit
ueber 50% der Anfragen zu Viren-Hoaxes aus.

SULFNBK.EXE
Auch nicht neu, aber derzeit wieder stark im Umlauf ist die falsche
Warnung vor einem vermeintlichen 'schlafenden Virus', der angeblich
von keinem Virenscanner erkannt wird. Er soll in der Datei
SULFNBK.EXE stecken. Diese Datei ist jedoch, trotz des nicht gerade
gelungenen Dateisymbols, eine serienmaessige Windows-Datei, d.h. sie
ist auf allen PCs mit Windows 98 oder ME vorhanden, nicht jedoch bei
Windows 95, NT, 2000, XP.
Dieser Hoax ist dadurch entstanden, dass der Virus W32/Magistr.a
System-Dateien infiziert und per E-Mail versendet. Das kann auch mal
eine Datei aus dem Verzeichnis Windows\Command erwischen, z.B. die
besagte SULFNBK.EXE. Aus nicht mehr nachvollziehbaren Gruenden hat es
eine Warnung vor einer urspruenglich wohl tatsaechlich infizierten
Datei dieses Namens, die per E-Mail beim Urheber der Warnung eintraf,
geschafft als Hoax um die Welt zu gehen. Viele Benutzer loeschen
ohne weitere Nachpruefung einfach diese Datei, weil sie sie auf
ihrem Rechner finden und (natuerlich) kein Virenscanner etwas findet.
D.h. die Tatsache, dass kein Virenscanner einen Virus in der Datei
findet, wird auch noch als Bestaetigung der falschen Warnung
fehlgedeutet - soweit ist es schon...

Extra-Blatt:
http://www.tu-berlin.de/www/software/hoax/sulfnbk.shtml


Wirkliche neue Hoaxes sind derzeit Mangelware, aber wer wollte das
ernsthaft beklagen?! Einige aeltere Hoaxes sind immer noch im Umlauf,
erreichen aber kaum die Relevanzschwelle (jedenfalls, wenn ich nach
den Meldungen gehe, die hier einlaufen).


Bitte leiten Sie generell keine Virenwarnungen weiter, in denen
zur Weiterleitung an alle Bekannten aufgefordert wird. In mehr als 99%
aller Faelle handelt es sich um Hoaxes, also Falschmeldungen. Wenn Sie
unsicher sind, schauen Sie in die Liste der bekannten Hoaxes:

http://www.tu-berlin.de/www/software/hoaxlist.shtml

Ueberlassen Sie es den dafuer zustaendigen Mitarbeitern in Ihrem
Unternehmen, die KollegInnen ueber Virengefahren zu informieren.

Aktuelle Virenmeldungen und Links zu weiteren Informationen finden Sie
seit Anfang Dezember 2000 auch auf dieser Seite:

http://www.tu-berlin.de/www/software/virus/aktuell.shtml

In diese Liste werden (tagesaktuell) nur Viren und Wuermer
aufgenommen, die von mehreren Antivirus-Herstellern als verbreitet
gemeldet werden. Ferner ausnahmsweise solche, die ein grosses
Medien-Echo oder eine grosse Zahl an Anfragen generiert haben.

Tipp: Wenn Sie einen vermutlichen Hoax nicht in der Liste finden,
picken Sie sich eindeutige Stichwoerter aus dem Text, vor allem
aus dem angeblichen Betreff der Mails, vor denen gewarnt wird,
und fuettern Sie die lokale Suchmaschine ('Suchfunktion') damit.
Sie durchsucht alle Seiten nach diesen Begriffen und listet die
Treffer nach Relevanz sortiert auf. Die Syntax ist wie bei den
bekannten Web-Suchmaschinen.


Kettenbriefe
============

Pyramidensysteme
----------------

Auf diese Art von Kettenbriefen bin ich in der Ausgabe 1/2001
schon ausfuehrlich eingegangen. Es gibt offensichtlich eine Reihe
von Unbelehrbaren, die auch nach dem sie beim dritten Mail-Provider
deshalb rausgeflogen sind, weiter solche illegalen Mails versenden -
immer schoen mit voller Postadresse an der Stelle, wo man den
'Report Nr. 1' (oder wie es gerade genannt wird) bestellen soll.

Die Liste der Ueberschriften, mit denen diese Systeme (nicht nur)
per E-Mail propagiert werden, ist zu lang, um alle in die Hoax-Liste
aufzunehmen. Allen gemeinsam ist, dass die Mails sehr lang sind.
'PC-Verdienst durch E-Mail Senden' ist eines der juengeren Beispiele,
die Texte sind inhaltlich praktisch identisch.

Es sei fuer alle, die mit dem Gedanken spielen, es auch mal damit
zu versuchen, darauf hingewiesen, dass sich auch die Polizei fuer
derlei Machenschaften interessiert. Zum Teil existieren spezielle
Ermittlungsgruppen bei den Landeskriminalaemtern.

http://www.tu-berlin.de/www/software/hoax.shtml#8.1
http://www.detta.de/Schneeballsysteme.htm


Drain Ernold
------------

Was haben Schweizer Bankdirektoren, Vorstandsmitglieder sueddeutscher
Pharma-Unternehmen, Berliner Universitaetsprofessoren und die
Nachrichtenredaktion eines grossen deutschen Privatsenders mit
normalen Internetbenutzern gemeinsam? Sie sind alle auf einen
Kettenbrief aus der Abteilung 'Traenendruesenbriefe' hereingefallen.
Angeblich ist es der Wunsch eines todkranken Jungen namens Drain
Ernold (teils auch Drain Arnold u.a.), mit den meisten Genesungs-
wuenschen ins Guinness-Buch der Rekorde zu kommen. Es wird sogar
eine Postadresse in Grossbritannien angegeben - die variiert jedoch
staendig und ist in jedem Fall falsch. So warnen u.a. der saechsische
Landtag und die IHK Hannover in Pressemitteilungen vor diesem
Kettenbrief.
Das Ganze basiert auf der wahren Geschichte von Craig Shergold, die
im Jahre 1989 begann. Lesen Sie mehr darueber auf
http://www.tu-berlin.de/www/software/hoax/craig.shtml


Knochenmarkspender gesucht
--------------------------

Seit 14 Monaten kursiert ein Kettenbrief, in dem jemand mit der
Blutgruppe 'AB negativ' gesucht wird, der sich als Knochenmarkspender
zur Verfuegung stellt. Angegeben ist die volle Adresse einer Julia S.
aus dem Raum Muenchen, die in Wirklichkeit auch nur den Kettenbrief
weitergeleitet hat. Volltext und weitere Infos zu diesem Kettenbrief,
der im Januar 2002 wieder sehr stark im Umlauf ist:
http://www.tu-berlin.de/www/software/hoax/knochenmarkspende.shtml


Merke:
Kettenbriefe sind kein adäquates Medium
zur Kommunikation seriöser Anliegen.


Viren in E-Mails
================

Viren/Wuermer, die sich des Mediums E-Mail fuer ihre Verbreitung
bedienen, nehmen weiter zu. Dazu traegt neben der mangelnden Schulung
von Mitarbeitern (bzw. Kenntnisstand der Nutzer) auch die Verwendung
dafuer anfaelliger E-Mail-Software bei.

W32/Badtrans.b
--------------

Neuer Rekordhalter bei den meisten versandten Virus-Mails duerfte
unangefochten W32/Badtrans.b sein. Diese im November 2001 entdeckte
Variante des seit Maerz 2001 bekannten Badtrans.a macht sich
Sicherheitsluecken in Outlook Express zunutze. Dadurch wird der
Anhang automatisch geoeffnet und ausgefuehrt, wenn die Mail in der
Vorschau angezeigt wird.
Allein hier wurden seit November 2001 ueber 3000 mit Badtrans.b
infizierte Mails gezaehlt (in einer einzigen Mailbox). Freunde von
Mail-Filtern finden ein zuverlaessiges Filterkriterium auf der Seite

http://www.tu-berlin.de/www/software/virus/aktuell.shtml

ebenso wie Links zu weiteren Infos ueber W32/Badtrans.b. Den Text
fuer den Filter kann ich leider nicht hier einfuegen, da sonst dieser
Newsletter bei diversen Mailservern haengen bleiben wuerde, die
dieses Filterkriterium bereits verwenden. Auch kostenlos erhaeltliche
Gegenmittel sind dort angegeben, ebenso ein Programm zum
Entschluesseln der Daten, die das von Badtrans.b installierte
Trojanische Pferd aufgezeichnet hat. Es protokolliert
Tastaturanschlaege, um Passwoerter auszuspionieren.

W32/MyParty

Am 28.01.2002 entdeckt, breitet sich W32/MyParty schnell aus.
Der Dateiname 'www.myparty.yahoo.com' (29 KB) soll eine Webadresse
suggerieren, es handelt sich jedoch um eine PE-Datei (EXE).
Mails mit diesem Wurm treffen mit dem Betreff
'new photos from my party!'
und dem o.g. Anhang ein. Die Schadensfunktion beschraenkt sich nach
bisherigen Erkenntnissen im Wesentlichen auf den Versand von
infizierten E-Mails - zumindest bei Windows 9x/ME.
W32/MyParty legt unter Windows 95/98/ME eine Datei REGCTRL.EXE im
Verzeichnis C:\Recycled an, bei Windows NT/2000/XP landet sie in C:\.
Ferner findet sich im Windows-Papierkorb eine Datei F-???.EXE, wobei
die Fragezeichen eine zufaellige Zahl repraesentieren. Diese Datei
wird jedoch nur angelegt, wenn das Systemdatum zwischen dem 26. und
29. Januar liegt. Auf NT-Systemen (inkl. Windows 2000 + XP) versucht
der Wurm auch, sich als MSSTASK.EXE im Autostart-Ordner einzutragen
und installiert damit einen Backdoor-Trojaner.
Eine zweite Variante benutzt den Dateinamen myparty.photos.yahoo.com,
28 KB gross, ist ansonsten praktisch identisch.

Bei Bitdefender (AVX) gibt es kostenlose Gegenmittel, sowohl
eines gegen W32/Badtrans als auch eines gegen W32/MyParty:
http://www.bitdefender.com/html/free_tools.php

Aktuelle Meldungen ueber in freier Wildbahn (ITW, In The Wild)
gesichtete Viren und Wuermer finden Sie auch hier:

http://www.tu-berlin.de/www/software/virus/aktuell.shtml

Oeffnen Sie grundsaetzlich nie Dateianhaenge unbekannter Herkunft.
Pruefen Sie alle Dateianhaenge mit einem aktuellen Virenscanner,
selbst wenn die Mail von Ihrem Chef, Ihrem Ehepartner oder Sysop
kommt. Fuehren Sie nie Programme aus, die per E-Mail kommen. Wo immer
moeglich, deaktivieren oder deinstallieren Sie den Windows Scripting
Host.


Neues zu Hoax-Info Pro
----------------------

Nachdem es ermutigende Rueckmeldungen zur Ankuendigung von
Hoax-Info Pro gab, habe ich auf der Systems in Muenchen mit den
dort vertretenen Anbietern von Content-Filtern gesprochen. Alle
waren sehr interessiert, im Hoax-Info Pro Forum mitzuwirken.
Leider wird sich der Start noch etwas verzoegern. Geplant ist
derzeit das 2. Quartal diesen Jahres. Rechtzeitig zur CeBIT wird
es mehr darueber zu erfahren geben. Ich werde auch im Rahmen der
CeBIT weitere Gespraeche fuehren und bei Bedarf auch Interessenten
fuer Hoax-Info Pro dort zur Verfuegung stehen. Weitere Infos zu
Hoax-Info Pro finden Sie in Zukunft auf
http://hoax-info.de/pro/

Bis zur naechsten Ausgabe

Frank Ziemann, Herausgeber

---------------------------------------------------------------------
Dieser Newsletter wird archiviert und kann auch spaeter noch abgerufen
werden. Sie finden alle erschienenen Newsletter im WWW unter folgender
URL: http://hoax-info.de/nl
bzw. http://www.tu-berlin.de/www/software/hoax/


Die Themen der naechsten Ausgaben:
==================================
- aktuelle Hoaxes und Kettenbriefe
- Viren in E-Mails
- Outlook Express so sicher wie moeglich machen

(C) Copyright Frank Ziemann, 2002, alle Rechte vorbehalten.
Jede Art der Vervielfaeltigung, Speicherung und Weitergabe
(ausser zum persoenlichen Gebrauch), auch auszugsweise,
bedarf der schriftlichen Einwilligung des Autors.
Diese wird i.d.R. gerne erteilt.
Ausnahmen von der Einwilligungspflicht:
Sie duerfen ohne besondere Einwilligung des Autors diesen
Newsletter _unveraendert_ an einzelne Personen weiterleiten.
Verwendung in Intranets:
http://www.tu-berlin.de/www/software/hoax/intranet.shtml

---------------------------------------------------------------------


Informieren Sie sich ueber sog. E-Mail-Viren:
http://www.tu-berlin.de/www/software/hoax.shtml
Information ist das einzige Gegenmittel!
Hoax-Fragen bitte nur an <hilfe@hoax-info.de>