pcnews Von: martin@weissenboeck.at Gesendet: Mittwoch, 16. Juni 1999 22:08 An: agtk-info@ccc.at Betreff: AGTK 99155: Viren AGTK 99155: Viren. 16.06.99 Derzeit kursieren wieder etliche Virenwarnungen. Der folgende Text wurde zwar schon im Lehrerforum veroeffentlicht - ich halte das Thema aber fuer wichtig und sende die Mitteilung daher auch ueber die AGTK aus. Noch etwas: meine Empfehlung: keine EXE-Files aufrufen, die als Attach-File geschickt werden. ----------------- Hoax-Info-Newsletter Nr. 07/99 Der Hoax-Info-Newsletter informiert Sie ueber aktuelle Entwicklungen im Bereich sog. E-Mail-Viren und verwandte Themengebiete wie Kettenbriefe, ,echte' E-Mail-Viren und aehnliches. Zur Zeit wird eine deutschsprachige Hoax-FAQ erarbeitet, die dann Bestandteil dieses Newsletters wird. Unter FAQ versteht man eine Sammlung haeufig gestellter Fragen (Frequently Asked Questions) sowie der Antworten auf diese Fragen. Eine Mini-FAQ wurde mit der Ausgabe 5/98 dieses Newsletters versandt. Sie kann von der Hoax-Seite an der TU Berlin heruntergeladen werden. Bitte besuchen Sie einstweilen die WWW-Seite http://www.tu-berlin.de/www/software/hoax.shtml Hier finden Sie aktuelle Informationen und Antwort auf die wichtigsten Fragen zu Hoaxes. Bitte beachten Sie auch die ,Extra-Blaetter', die aktuelle Hoaxes und Kettenbriefe behandeln. Fragen zu Hoaxes und Kettenbriefen richten Sie bitte an hoax-info@gmx.de Inhalt: * Aktuell im Umlauf befindliche Hoaxes * Aktuell im Umlauf befindliche Kettenbriefe * Viren und Malware in ICQ und IRC (Chat) Aktuell im Umlauf befindliche Hoaxes Derzeit gehen die folgenden Hoaxes verstaerkt um: * It takes guts to say ,Jesus' (neue Variante) * GET MORE MONEY (Viruswarnung von Microsoft) * Bud[weiser] Frogs Screensaver (BUDDYLST.ZIP) * Virus List * Der erstgenannte Hoax warnt vor einer E-Mail mit dem Betreff ,It takes guts to say ,Jesus", siehe auch Ausgabe 03/99. Es ist derzeit eine neue Version dieses Hoax im Anrollen. Sie wurde bereits in (US-) Newsgroups gesichtet und auch in der Schweiz. In dieser wird behauptet, besagtes angebliches Virus sei schlimmer und boesartiger als Melissa (W97M.Melissa, s. Ausgabe 06/99), funktioniere auf PCs wie auf Macintoshs und sei sowohl auf Netscape als auch auf MS Internet Explorer abgestimmt. Die Norton Utilities sollen fuer die Schadensfunktion missbraucht werden. Auch hier werden wieder AOL und IBM bemueht, um die Glaubwuerdigkeit zu erhoehen Der ,Co-Autor' nutzt die Aufregung um das Melissa-Virus, um mit der dadurch geschaerften Aufmerksamkeit des Publikums mehr Wirkung zu erzielen. Unzweifelhaft wird er damit Erfolg haben. * GET MORE MONEY (auch bekannt als ,Viruswarnung von Microsoft'), ging im Herbst 1998 schon mal sehr stark um (s. Newsletter 6/98) und derzeit laeuft immernoch eine ,zweite Welle', die erst so langsam wieder abflaut. * ,Bud Frogs' ist Stammlesern dieses Newsletters ebenfalls nicht neu. Ein Bildschirmschoner dieses Namens existiert tatsaechlich, hat aber einen anderen Dateinamen. Es sollen (!) mit dem CIH-Virus infizierte Versionen in Newsgroups gepostet worden sein. Das hat jedoch nichts mit diesem Hoax zu tun. Laden Sie keine Programme aus Newsgroups herunter, sie sind haeufig virenverseucht. Die Mails, vor denen gewarnt wird, existieren nicht. Auch hat weder IBM noch Microsoft, AOL oder sonstwer jemals eine solche Warnung in Umlauf gebracht. Kein Virus kann durch eine reine Textnachricht uebertragen werden. Ein neuerer Hoax, den ich mal ,Virus List' getauft habe, enthaelt eine Liste mit Dateinamen von E-Mail-Anhaengen, die hoechst gefaehrliche Viren enthalten sollen (Festplatte loeschen und dergleichen). Einer der Dateinamen ist happy99.exe, der in Zusammenhang mit dem Internet-Wurm I-Worm.Happy (oder: W32/Ska, Happy99) tatsaechlich auftaucht (s. Ausgabe 03/99). Hierzu sei darauf hingewiesen, dass Dateinamen kein brauchbares Erkennungsmerkmal fuer Viren und andere Malware sind, da sie beliebig geaendert werden koennen. Daher pruefen Antiviren-Programme auch nicht die Namen von Dateien, sondern deren Inhalt. Insofern enthalte ich mich weiterer Kommentare zu den anderen in dieser Liste genannten Dateinamen. Stattdessen wiederhole ich meinen Rat, Dateianhaenge von E-Mails sorgfaeltig auf Viren und anderes ,Ungeziefer' zu pruefen. Bitte leiten Sie diese ,Virus-Warnungen' nicht weiter! Kettenbriefe Ein aelterer Kettenbrief erlebt derzeit einen ,zweiten Fruehling': Ein Maedchen namens Jessica Mydek soll unheilbar krank sein und sich angeblich wuenschen, der Kettenbrief moege um die Welt gehen. Ausserdem wuerde angeblich fuer jede Weiterleitung ein kleiner Betrag fuer ihre Behandlung von der American Cancer Society (ACS) gespendet. Das ist alles Unsinn! Das Maedchen existiert nicht, die ACS wird bereits seit langem mit entsprechenden Anfragen ueberhaeuft und hat auch auf ihrer Web-Site eine Stellungnahme dazu publiziert: http://www.cancer.org/chain.html Ein entsprechendes ,Extra-Blatt' findet sich auf der Hoax-Seite an der TU Berlin. Unter Kettenbriefe/Traenendruesenbriefe sind einige Anmerkungen zu dieser Kategorie zu finden. Der hier bereits vor einiger Zeit erwaehnte Kettenbrief fuer eine Petition gegen die Unterdrueckung der Frauen in Afghanistan kursiert in einer neuen Version, mit anderen E-Mail-Adressen und einigen veraenderten und ergaenzten Textabschnitten. Die Situation der Frauen in Afghanistan ist tatsaechlich im Prinzip so wie in dem Kettenbrief darstellt. Dies aendert jedoch nichts daran, dass Kettenbriefe weiterhin kein adaequates Mittel fuer die Kommunikation serioeser Anliegen darstellen. Ein ,Extra-Blatt' auf der Hoax-Seite der TU Berlin informiert ueber weitere Einzelheiten der Geschichte (,Taliban's War on Women'). Ein weiterer Kandidat in der Kategorie ,Sinnlose Petitionen' ist ein Kettenbrief, in dem sich jemand (auf engl.) nach dem ,Genuss' eines Films (,Eye for an Eye') ueber Vergewaltiger aufregt und eine Online-Gruppe namens ,Anti-Rapist Association (ARA)' gruenden will. Gegen das Anliegen an sich ist ja nichts zu sagen, jedoch greift auch hier der obige Satz ueber Kettenbriefe als Medium fuer serioese Anliegen. Eine andere Art von Unfug faellt mehr in die Kategorie ,Urban Legends' (moderne Maerchen): Angeblich sollen Getraenkedosen in (US-) Supermaerkten mit Rattenurin besudelt sein. Dieser sei fuer Menschen toedlich giftig, ein naher Verwandter oder Bekannter des Absenders sei kuerzlich daran gestorben. Das ist natuerlich Unsinn! Rattenurin ist keineswegs giftig fuer Menschen. Die ganze Geschichte ist frei erfunden, Ort und Personen, die angeblich daran gestorben sein sollen, wechseln von Version zu Version der Geschichte. Die Dosen vor dem Oeffnen abzuwaschen (so der darin gemachte Vorschlag), kann aber nicht schaden. In der Kategorie Urban Legends findet sich ein schier unerschoepflicher Fundus von Halb- und Unwahrheiten, von angeblich schaedlichen Lebensmitteln (z.B. best. Suessstoffe bis hin zu obstrusen Verschwoerungstheorien, die im Internet endlich ein Medium gefunden haben, das ihnen eine Plattform zur Verbreitung bietet. Wer sich mal ein paar Beispiele zum Schmunzeln an schauen moechte, dem seien die folgenden Web-Sites empfohlen (engl.): http://urbanlegends.miningco.com http://www.kumite.com/myths Was gab es sonst noch? Ach ja-die Gluecksbriefe mal wieder, mit ,Tantra Totems' und dergleichen, mehr oder minder offenen Drohungen gegen Menschen, die die Briefe nicht weiterleiten, etc. Mehr darueber auf der Hoax-Seite der TU Berlin unter Kettenbriefe/Gluecksbriefe. Bitte verbreiten Sie all diesen Unfug nicht weiter! Viren/Malware in ICQ und IRC Bei ICQ (sprich; I seek you-ich suche Dich) und IRC (Internet Relay Chat) handelt es sich um populaere Chatsysteme im Internet. Zu zweit oder in Gruppen (Channels im IRC) koennen sich Personen per Tastatur unterhalten (die ,Telefon'-Funktion von Windows 3.11 und aehnliche in neueren Windows-Versionen bieten dies innerhalb eines bestehenden Windows-Netzwerks eingeschraenkt auch). In den genannten Chatsystemen gibt es eine Vielzahl von Zusatzfunktionen, u.a. auch die Moeglichkeit, Dateien von Rechner zu Rechner zu uebertragen. Oftmals werden einem unaufgefordert Dateien angeboten, die irgendein Spiel, ein nuetzliches Programm oder was-auch-immer darstellen sollen. Nimmt man diese an und startet sie, passiert scheinbar nichts oder nicht beunruhigendes, ploetzlich geht dann aber die CD-Schublade auf oder andere Dinge passieren, die man sich nicht erklaeren kann. Man hat sich ein Trojanisches Pferd (aka Trojaner, Backdoor) eingefangen, das im Prinzip auf dem Rechner alles moegliche veranstalten kann, z.T. voellig unbemerkt. Das geht bis zum Ausspionieren persoenlicher Daten (die der Angreifer dann entweder per E-Mail erhaelt oder per ,Fernsteuerung' des Backdoor-Programms direkt von der Festplatte lesen kann). Auch Loeschen von Dateien oder ganzer Festplatten ist moeglich. Nehmen Sie nie (nie!) in ICQ, IRC oder dergleichen Dateien von Leuten an, die Ihnen diese unaufgefordert anbieten. Behandeln Sie Dateien aus IRC, ICQ oder auch Newsgruppen mit demselben Misstrauen, dass Sie auch E-Mail-Attachments entgegen- bringen sollten. Antivirus-Software ist nur bedingt ein Schutz gegen Trojaner*, da die meisten Antivirus-Programme nur eine geringe Zahl weit verbreiteter Malware erkennen. Im Gegensatz dazu sind Meldungen, die ICQ-Software von Mirabilis enthalte in bestimmten Versionen ein Trojanisches Pferd oder dergleichen, in die Kategorie ,Hoax' einzuordnen. * der Begriff ,Trojaner' ist natuerlich ,historisch' falsch, hat sich jedoch-da kuerzer-durchgesetzt Zum Schluss moechte ich Ihre geschaetzte Aufmerksamkeit auf eine neue Seite richten, die das Angebot an sicherheitsrelevanten Informationen auf den WWW-Software-Seiten der TU Berlin ergaenzt. Auf http://www.tu-berlin.de/www/software/security.shtml finden Sie Informationen ueber Sicherheitsluecken in den populaeren WWW-Browsern von Netscape und Microsoft. Die Seite enthaelt ferner Sicherheitstips fuer das WWW und wird weiter ausgebaut. Bis zur naechsten Ausgabe Frank Ziemann, Herausgeber --------------------------------------------------------------------- Dieser Newsletter wird archiviert und kann auch spaeter noch abgerufen werden. Sie finden alle erschienenen Newsletter im WWW unter folgender URL: http://www.tu-berlin.de/www/software/hoax/ Wenn Sie keinen Zugang zum WWW haben, aber E-Mails senden und empfangen koennen, besteht die Moeglichkeit, monatliche Digests (Sammelausgaben) abzurufen. Naeheres dazu in Kuerze. Die Themen der naechsten Ausgaben: * aktuelle Hoaxes und Kettenbriefe * Viren in E-Mails (c) Copyright TU Berlin, Frank Ziemann, 1999, alle Rechte vorbehalten. Jede Art der Vervielfaeltigung, Speicherung und Weitergabe (ausser zum persoenlichen Gebrauch), auch auszugsweise, bedarf der schriftlichen Einwilligung des Autors. Diese wird i.d.R. gerne erteilt. Wenn Sie eingehende Hoaxes mit Sendung des Newsletters beantworten moechten, koennen Sie dies gerne tun. Dergleichen wird als ,persoenl. Gebrauch' angesehen und bedarf keiner expliziten Erlaubnis. Dies gilt auch fuer die Weitergabe an einzelne Kollegen und Bekannte. In allen Faellen darf der Text jedoch nicht veraendert werden. --------------------------------------------------------------------- Wenn Sie den Hoax-Info-Newsletter abbestellen moechten, schreiben Sie eine E-Mail an (und nur an diese Adresse!) majordomo@zrz.tu-berlin.de Das Betreff- (Subject-) Feld koennen Sie leer lassen oder irgendwas hineinschreiben, es wird nicht ausgewertet. In den eigentlichen Text der Mail (Body) schreiben Sie genau zwei Zeilen: unsubscribe hoax-info end Die Angabe der E-Mail-Adresse ist nur noetig, wenn sie von der Absender-Adresse abweicht und sollte dann ohne die <>-Klammern erfolgen. In diesem Fall erfolgt eine Rueckfrage. ------------------------------------------------------------------- Informieren Sie sich ueber sog. E-Mail-Viren: http://www.tu-berlin.de/www/software/hoax.shtml Information ist das einzige Gegenmittel! --- MfG Martin Weissenboeck --- --- E-Mail: mweissen@ccc.at Tel: +43 1 3698858 10 --- Gatterburggasse 7, A-1190 Wien Fax: +43 1 3698858 77 -- Diese Nachricht wurde ueber den Listserver des Computer Communications Club verteilt. Um von sich von der Liste streichen zu lassen, senden Sie eine Nachricht an majordomo@ccc.at mit dem Nachrichtentext "unsubscribe agtk-info".