Beko
Bewertung: - Abstimmungen: 0 | Veröffentlicht am Dienstag, den 29. Januar, 2002 - 11:11: | |
----- Original Message ----- From: Hoax-Info Service To: hoax-info@zrz.TU-Berlin.DE Sent: Tuesday, January 29, 2002 1: 26 AM Subject: Hoax-Info-Newsletter Nr. 1/2002 Hoax-Info Newsletter (E-Mail) ISSN 1618-2081 Hoax-Info Newsletter (Internet)ISSN 1618-209X 29.01.2002 * * * * * * * * * * * * * * * * * * * * Hoax-Info-Newsletter Nr. 1/2002 * * * * * * * * * * * * * * * * * * * * Der Hoax-Info-Newsletter informiert Sie ueber aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandter Themengebiete wie Kettenbriefe, 'echte' E-Mail-Viren und aehnliches. Bitte besuchen Sie auch die WWW-Seite http://hoax-info.de Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die 'Extra-Blaetter', die aktuelle Hoaxes und Kettenbriefe behandeln, sowie auch reale Gefahren. Antworten Sie bitte nicht an die Absender-Adresse dieses Newsletters, sondern achten Sie bitte darauf, dass die voreingestellte Antwort-Adresse von Ihrem E-Mail-Programm uebernommen wird. Senden Sie bitte bei einer Antwort nicht den kompletten Newsletter wieder mit - ich kenne den Inhalt. Dieser Newsletter wird an ueber 20.000 Abonnenten versandt. Informationen zur Abbestellung dieses Newsletters finden Sie am Ende. Adressen, an die ein Newsletter nicht zugestellt werden kann, werden ohne weitere Rueckfrage aus dem Verteiler gestrichen. Vorwort ------- Nach den Attentaten am 11. September 2001 hat die Zahl der E-Mail-Anfragen so stark zugenommen, dass ich leider keine Zeit mehr gefunden habe, einen Newsletter zu schreiben. Die eine oder andere Anfrage musste aus demselben Grund unbeantwortet bleiben. Ich danke Ihnen fuer Ihr Verstaendnis. Im neuen Jahr soll nun wieder regelmaessig einmal im Monat ein Newsletter erscheinen. Inhalt: ======= - aktuelle Hoaxes Virtual Card / Internet Flower, Psychospiel, SULFNBK.EXE - aktuelle Kettenbriefe Pyramidensysteme (PC-Verdienst durch E-Mail, etc.) Drain Ernold Knochenmarkspender gesucht (Julia S.) - Viren in E-Mails W32/Badtrans.b, W32/MyParty (neu!) - in eigener Sache Neues zu 'Hoax-Info Pro' Aktuelle Hoaxes --------------- Derzeit sind folgende falsche Warnungen vor Viren und Malware wieder verstaerkt im Umlauf, die eigentlich schon laenger bekannt sind: "A Virtual Card for You" "An Internet Flower for you" Ein laenglicher Kettenbrief warnt vor E-Mails mit diesen beiden Betreffzeilen. Sie sollen angeblich von Microsoft und McAfee bzw. von Intel entdeckt worden sein und CNN soll darueber berichtet haben. Die Wirkung dieser vermeintlichen Viren ist natuerlich wie immer ganz furchtbar und es kann sie auch kein Virenscanner entdecken. Letzteres stimmt sogar - wo nichts ist, gibt es auch nichts zu entdecken... Es gibt dazu ein Extra-Blatt, beide Titel stehen auch in der Hoax-Liste: http://www.tu-berlin.de/www/software/hoax/vcard.shtml http://www.tu-berlin.de/www/software/hoaxlist.shtml Psychospiel & Co Ein weiterer Hoax, der zusammen mit dem zuvor genannten die Runde macht, warnt gleich vor drei Viren auf einmal: Psychospiel, Screensaver 'Baby Fun' und Emanuel.exe Nur letzterer ist tatsaechlich existent und relativ schaedlich. Dieser Dateiname wird von dem Virus/Wurm W32/Navidad.b verwendet: http://www.tu-berlin.de/www/software/virus/navidadb.shtml Extra-Blatt zum Hoax: http://www.tu-berlin.de/www/software/hoax/psycho.shtml Typischerweise treten derzeit alle o.g. Hoaxes in einer einzigen Mail auf. Diese Kombi-Packung mit 'Virtual Card' macht hier zurzeit ueber 50% der Anfragen zu Viren-Hoaxes aus. SULFNBK.EXE Auch nicht neu, aber derzeit wieder stark im Umlauf ist die falsche Warnung vor einem vermeintlichen 'schlafenden Virus', der angeblich von keinem Virenscanner erkannt wird. Er soll in der Datei SULFNBK.EXE stecken. Diese Datei ist jedoch, trotz des nicht gerade gelungenen Dateisymbols, eine serienmaessige Windows-Datei, d.h. sie ist auf allen PCs mit Windows 98 oder ME vorhanden, nicht jedoch bei Windows 95, NT, 2000, XP. Dieser Hoax ist dadurch entstanden, dass der Virus W32/Magistr.a System-Dateien infiziert und per E-Mail versendet. Das kann auch mal eine Datei aus dem Verzeichnis Windows\Command erwischen, z.B. die besagte SULFNBK.EXE. Aus nicht mehr nachvollziehbaren Gruenden hat es eine Warnung vor einer urspruenglich wohl tatsaechlich infizierten Datei dieses Namens, die per E-Mail beim Urheber der Warnung eintraf, geschafft als Hoax um die Welt zu gehen. Viele Benutzer loeschen ohne weitere Nachpruefung einfach diese Datei, weil sie sie auf ihrem Rechner finden und (natuerlich) kein Virenscanner etwas findet. D.h. die Tatsache, dass kein Virenscanner einen Virus in der Datei findet, wird auch noch als Bestaetigung der falschen Warnung fehlgedeutet - soweit ist es schon... Extra-Blatt: http://www.tu-berlin.de/www/software/hoax/sulfnbk.shtml Wirkliche neue Hoaxes sind derzeit Mangelware, aber wer wollte das ernsthaft beklagen?! Einige aeltere Hoaxes sind immer noch im Umlauf, erreichen aber kaum die Relevanzschwelle (jedenfalls, wenn ich nach den Meldungen gehe, die hier einlaufen). Bitte leiten Sie generell keine Virenwarnungen weiter, in denen zur Weiterleitung an alle Bekannten aufgefordert wird. In mehr als 99% aller Faelle handelt es sich um Hoaxes, also Falschmeldungen. Wenn Sie unsicher sind, schauen Sie in die Liste der bekannten Hoaxes: http://www.tu-berlin.de/www/software/hoaxlist.shtml Ueberlassen Sie es den dafuer zustaendigen Mitarbeitern in Ihrem Unternehmen, die KollegInnen ueber Virengefahren zu informieren. Aktuelle Virenmeldungen und Links zu weiteren Informationen finden Sie seit Anfang Dezember 2000 auch auf dieser Seite: http://www.tu-berlin.de/www/software/virus/aktuell.shtml In diese Liste werden (tagesaktuell) nur Viren und Wuermer aufgenommen, die von mehreren Antivirus-Herstellern als verbreitet gemeldet werden. Ferner ausnahmsweise solche, die ein grosses Medien-Echo oder eine grosse Zahl an Anfragen generiert haben. Tipp: Wenn Sie einen vermutlichen Hoax nicht in der Liste finden, picken Sie sich eindeutige Stichwoerter aus dem Text, vor allem aus dem angeblichen Betreff der Mails, vor denen gewarnt wird, und fuettern Sie die lokale Suchmaschine ('Suchfunktion') damit. Sie durchsucht alle Seiten nach diesen Begriffen und listet die Treffer nach Relevanz sortiert auf. Die Syntax ist wie bei den bekannten Web-Suchmaschinen. Kettenbriefe ============ Pyramidensysteme ---------------- Auf diese Art von Kettenbriefen bin ich in der Ausgabe 1/2001 schon ausfuehrlich eingegangen. Es gibt offensichtlich eine Reihe von Unbelehrbaren, die auch nach dem sie beim dritten Mail-Provider deshalb rausgeflogen sind, weiter solche illegalen Mails versenden - immer schoen mit voller Postadresse an der Stelle, wo man den 'Report Nr. 1' (oder wie es gerade genannt wird) bestellen soll. Die Liste der Ueberschriften, mit denen diese Systeme (nicht nur) per E-Mail propagiert werden, ist zu lang, um alle in die Hoax-Liste aufzunehmen. Allen gemeinsam ist, dass die Mails sehr lang sind. 'PC-Verdienst durch E-Mail Senden' ist eines der juengeren Beispiele, die Texte sind inhaltlich praktisch identisch. Es sei fuer alle, die mit dem Gedanken spielen, es auch mal damit zu versuchen, darauf hingewiesen, dass sich auch die Polizei fuer derlei Machenschaften interessiert. Zum Teil existieren spezielle Ermittlungsgruppen bei den Landeskriminalaemtern. http://www.tu-berlin.de/www/software/hoax.shtml#8.1 http://www.detta.de/Schneeballsysteme.htm Drain Ernold ------------ Was haben Schweizer Bankdirektoren, Vorstandsmitglieder sueddeutscher Pharma-Unternehmen, Berliner Universitaetsprofessoren und die Nachrichtenredaktion eines grossen deutschen Privatsenders mit normalen Internetbenutzern gemeinsam? Sie sind alle auf einen Kettenbrief aus der Abteilung 'Traenendruesenbriefe' hereingefallen. Angeblich ist es der Wunsch eines todkranken Jungen namens Drain Ernold (teils auch Drain Arnold u.a.), mit den meisten Genesungs- wuenschen ins Guinness-Buch der Rekorde zu kommen. Es wird sogar eine Postadresse in Grossbritannien angegeben - die variiert jedoch staendig und ist in jedem Fall falsch. So warnen u.a. der saechsische Landtag und die IHK Hannover in Pressemitteilungen vor diesem Kettenbrief. Das Ganze basiert auf der wahren Geschichte von Craig Shergold, die im Jahre 1989 begann. Lesen Sie mehr darueber auf http://www.tu-berlin.de/www/software/hoax/craig.shtml Knochenmarkspender gesucht -------------------------- Seit 14 Monaten kursiert ein Kettenbrief, in dem jemand mit der Blutgruppe 'AB negativ' gesucht wird, der sich als Knochenmarkspender zur Verfuegung stellt. Angegeben ist die volle Adresse einer Julia S. aus dem Raum Muenchen, die in Wirklichkeit auch nur den Kettenbrief weitergeleitet hat. Volltext und weitere Infos zu diesem Kettenbrief, der im Januar 2002 wieder sehr stark im Umlauf ist: http://www.tu-berlin.de/www/software/hoax/knochenmarkspende.shtml Merke: Kettenbriefe sind kein adäquates Medium zur Kommunikation seriöser Anliegen. Viren in E-Mails ================ Viren/Wuermer, die sich des Mediums E-Mail fuer ihre Verbreitung bedienen, nehmen weiter zu. Dazu traegt neben der mangelnden Schulung von Mitarbeitern (bzw. Kenntnisstand der Nutzer) auch die Verwendung dafuer anfaelliger E-Mail-Software bei. W32/Badtrans.b -------------- Neuer Rekordhalter bei den meisten versandten Virus-Mails duerfte unangefochten W32/Badtrans.b sein. Diese im November 2001 entdeckte Variante des seit Maerz 2001 bekannten Badtrans.a macht sich Sicherheitsluecken in Outlook Express zunutze. Dadurch wird der Anhang automatisch geoeffnet und ausgefuehrt, wenn die Mail in der Vorschau angezeigt wird. Allein hier wurden seit November 2001 ueber 3000 mit Badtrans.b infizierte Mails gezaehlt (in einer einzigen Mailbox). Freunde von Mail-Filtern finden ein zuverlaessiges Filterkriterium auf der Seite http://www.tu-berlin.de/www/software/virus/aktuell.shtml ebenso wie Links zu weiteren Infos ueber W32/Badtrans.b. Den Text fuer den Filter kann ich leider nicht hier einfuegen, da sonst dieser Newsletter bei diversen Mailservern haengen bleiben wuerde, die dieses Filterkriterium bereits verwenden. Auch kostenlos erhaeltliche Gegenmittel sind dort angegeben, ebenso ein Programm zum Entschluesseln der Daten, die das von Badtrans.b installierte Trojanische Pferd aufgezeichnet hat. Es protokolliert Tastaturanschlaege, um Passwoerter auszuspionieren. W32/MyParty Am 28.01.2002 entdeckt, breitet sich W32/MyParty schnell aus. Der Dateiname 'www.myparty.yahoo.com' (29 KB) soll eine Webadresse suggerieren, es handelt sich jedoch um eine PE-Datei (EXE). Mails mit diesem Wurm treffen mit dem Betreff 'new photos from my party!' und dem o.g. Anhang ein. Die Schadensfunktion beschraenkt sich nach bisherigen Erkenntnissen im Wesentlichen auf den Versand von infizierten E-Mails - zumindest bei Windows 9x/ME. W32/MyParty legt unter Windows 95/98/ME eine Datei REGCTRL.EXE im Verzeichnis C:\Recycled an, bei Windows NT/2000/XP landet sie in C:\. Ferner findet sich im Windows-Papierkorb eine Datei F-???.EXE, wobei die Fragezeichen eine zufaellige Zahl repraesentieren. Diese Datei wird jedoch nur angelegt, wenn das Systemdatum zwischen dem 26. und 29. Januar liegt. Auf NT-Systemen (inkl. Windows 2000 + XP) versucht der Wurm auch, sich als MSSTASK.EXE im Autostart-Ordner einzutragen und installiert damit einen Backdoor-Trojaner. Eine zweite Variante benutzt den Dateinamen myparty.photos.yahoo.com, 28 KB gross, ist ansonsten praktisch identisch. Bei Bitdefender (AVX) gibt es kostenlose Gegenmittel, sowohl eines gegen W32/Badtrans als auch eines gegen W32/MyParty: http://www.bitdefender.com/html/free_tools.php Aktuelle Meldungen ueber in freier Wildbahn (ITW, In The Wild) gesichtete Viren und Wuermer finden Sie auch hier: http://www.tu-berlin.de/www/software/virus/aktuell.shtml Oeffnen Sie grundsaetzlich nie Dateianhaenge unbekannter Herkunft. Pruefen Sie alle Dateianhaenge mit einem aktuellen Virenscanner, selbst wenn die Mail von Ihrem Chef, Ihrem Ehepartner oder Sysop kommt. Fuehren Sie nie Programme aus, die per E-Mail kommen. Wo immer moeglich, deaktivieren oder deinstallieren Sie den Windows Scripting Host. Neues zu Hoax-Info Pro ---------------------- Nachdem es ermutigende Rueckmeldungen zur Ankuendigung von Hoax-Info Pro gab, habe ich auf der Systems in Muenchen mit den dort vertretenen Anbietern von Content-Filtern gesprochen. Alle waren sehr interessiert, im Hoax-Info Pro Forum mitzuwirken. Leider wird sich der Start noch etwas verzoegern. Geplant ist derzeit das 2. Quartal diesen Jahres. Rechtzeitig zur CeBIT wird es mehr darueber zu erfahren geben. Ich werde auch im Rahmen der CeBIT weitere Gespraeche fuehren und bei Bedarf auch Interessenten fuer Hoax-Info Pro dort zur Verfuegung stehen. Weitere Infos zu Hoax-Info Pro finden Sie in Zukunft auf http://hoax-info.de/pro/ Bis zur naechsten Ausgabe Frank Ziemann, Herausgeber --------------------------------------------------------------------- Dieser Newsletter wird archiviert und kann auch spaeter noch abgerufen werden. Sie finden alle erschienenen Newsletter im WWW unter folgender URL: http://hoax-info.de/nl bzw. http://www.tu-berlin.de/www/software/hoax/ Die Themen der naechsten Ausgaben: ================================== - aktuelle Hoaxes und Kettenbriefe - Viren in E-Mails - Outlook Express so sicher wie moeglich machen (C) Copyright Frank Ziemann, 2002, alle Rechte vorbehalten. Jede Art der Vervielfaeltigung, Speicherung und Weitergabe (ausser zum persoenlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt. Ausnahmen von der Einwilligungspflicht: Sie duerfen ohne besondere Einwilligung des Autors diesen Newsletter _unveraendert_ an einzelne Personen weiterleiten. Verwendung in Intranets: http://www.tu-berlin.de/www/software/hoax/intranet.shtml --------------------------------------------------------------------- Informieren Sie sich ueber sog. E-Mail-Viren: http://www.tu-berlin.de/www/software/hoax.shtml Information ist das einzige Gegenmittel! Hoax-Fragen bitte nur an <hilfe@hoax-info.de>
|