In jüngster Zeit mehren sich die Meldungen über alarmierende E-Mails. Was soll man tun, wenn per elektronischer Post eine Warnung vor einem neuen Virus auftaucht.
siehe auch http://www.tu-berlin.de/www/software/hoaxlist.shtml
| Achtung: Lassen Sie sich nicht von einer Hoax-Meldung täuschen - siehe auch http://www.symantec.com/avcenter/venc/data/sulfnbk.exe.warning.html |
am 29 Nov 2001 23:18:37 +0100 erhielt ich folgende mail:
Sehr geehrte Damen und Herren, liebe Freunde und Bekannte
Ich bin informiert worden,
dass sich ein gemeiner Virus im Umlauf befindet. Bitte überprüfen
Sie, ob ihre Festplatte damit verseucht ist. Sie finden unten eine Anleitung,
wie man den Virus problemlos von der Festplatte entfernen und schadlos
machen kann.
...
Dieser Virus ist so programmiert,
das er sich erst zu einem späteren Zeitpunkt aktiviert. Daher wird
er von vielen Virenprogrammen nicht erkannt. Keiner weiss genau, wie lange
dieser Virus schon im System ist. Es könnte schon einige Monate der
Fall sein. Sobald sich der Virus aktiviert, löscht er alle Dateien/Ordner
von der Festplatte. Er verbreitet sich über E-Mail und infiltriert
C:/WINDOWS/COMMAND. Um ihn aufzuspüren und zu vernichten befolgen
Sie bitte folgende Schritte:
Auf "Start" klicken, dann "Suchen", "Dateien / Ordner", Name: SULFNBK.EXE. Suche in: "C" Ist der Rechner "infiziert" erscheint die Datei im Ergebnisfeld. Diese Datei darf auf keinen Fall geöffnet werden. Bitte wie folgt weiterverfahren: "Bearbeiten" dann "Alles markieren" (es steht nur diese Datei im Ergebnisfeld) und die Datei löschen. Zum Schluss auf jeden Fall noch den Papierkorb leeren. Die gute Nachricht ist, dass ihr Rechner jetzt sauber ist. Die schlechte Nachricht: Wenn der Virus gefunden wurde, so sind vermutlich auch die Rechner von Freunden/Kollegen/Geschäftspartner befallen. Bitte diese Mail unbedingt an alle schicken, die in den letzten Monaten Emails von diesem Rechner bekommen haben.
Leider habe ich diesen
Virus auch bei mir entdeckt, also kontrolliert bitte
...
Ps: Dieser Virus schickt
sich selbst an alle, welche ihr in euer Adressenliste habt mit dem Betreff
"Was ist"!!!!!!!! Also bitte nicht öffnen.
| Achtung: Lassen Sie sich nicht von einer Hoax-Meldung täuschen - siehe auch http://www.symantec.com/avcenter/venc/data/sulfnbk.exe.warning.html |
Wer kennt sie nicht? Wer hat noch keine eMail mit Viruswarnungen erhalten, mit der dringenden Bitte diese an alle Freunde und Bekannte zu verteilen? Die meisten tragen fantasievolle englische Namen wie good times, win a holiday, join the crew, AOL4FREE, PenPal Greetings, Deeyenda oder Irina. Je nach Wissen ist man erschreckt, verunsichert oder einfach nur verärgert, weil schon wieder jemand auf den uralten Trick einer angeblichen Viruswarnung reingefallen ist und diese dann unbedacht weiterverteilt.
Gewarnt wird meist vor einem Super-GAU, der neuentdeckte Supervirus lösche die eigene Festplatte oder richtet irreparable Schäden bei Hard- und Software an. Geschickt benutzen diese sogenannten "Hoax"-Viren [deutsch etwa: Falschmeldung, (Zeitungs-)Ente] ahnungslose und gutmeinende eMail-Anwender, um sich zu verbreiten. Und die Verbreitung kann im Internet lawinenartig schnell gehen (Kettenbriefeffekt). Zum Glück sind Mailsysteme heutzutage recht leistungsfähig. Früher sind bei solchen Verbreitungsaktionen teilweise Computersysteme zusammengebrochen. Davon hört man in letzter Zeit zum Glück nicht mehr so oft. Dennoch: eMails mit Virusmeldungen, die vor den absonderlichsten Dingen warnen, haben offensichtlich zur Zeit Hochkonjunktur. Warum das so ist und was man gegen diese Hoax-Viren unternehmen kann beschreibt dieser Artikel. Am Ende wird auch klar, daß der eigentliche Sinn dieser Viren die sinnlose Verbreitung von E-Mails im weltumspannenden Internet ist...
Absichtliche Falschmeldungen gibt es wohl schon seit den Anfängen der Menschheit. Daß große und kleine Lügen nicht vor dem Internet halt machen ist also kein Wunder. Schließlich gibt es im "wirklichen" Leben sogar einen Tag im Jahr, an dem jemanden hinters Licht zu führen, ein erlaubtes Ritual ist. Warum also immer bis zum ersten April warten, denkt sich da manch einer, wenn man mit etwas Fantasie diesen "Spaß" immer haben kann. Die ersten Virusfalschmeldungen gehen bis in das Jahr 1988 zurück.
Ein findiger US-Amerikaner names Mike RoChenle erklärte, er hätte einen bösartigen Virus entdeckt, der beim Herunterladen einer Datei von einem BBS (Bulletin Board System) mit einem 2400 Baud Modem (damals state-of-the-art) alle möglichen Dinge mit seiner Festplatte anstellte. Inklusive totalem Systemausfall. Seinen Nachforschungen zufolge schleicht sich der Virus in das Computersystem über den nur bei den neuesten Modems vorhandenen "Subcarrier". Abhilfe gäbe es keine - außer der Benutzung älterer Modems. Eigentlich ein schöner fantasievoller Scherz, wenn man weiß, daß es keinen "Subcarrier" gibt, und das Märchen schon durch den Namen des Verfassers hätte auffallen müssen. Mike RoChenle liest sich schließlich im Amerikanischen wie "mikro-channel"! Trotzdem verbreitete sich diese Warnmeldung wie Feuer in der damals noch kleinen Computergemeinde. Und seit dieser Zeit gab es unzählige neue Autoren mit vielen mehr oder weniger glaubwürdigen Geschichten.
Was ist nun der Grund dafür, daß viele Computerbesitzer Hoax-Meldungen Glauben schenken und die darin enthaltenen Anweisungen befolgen? Zuallererst ist hier wohl die Unwissenheit zu nennen (ein Hauptgrund, diesen Artikel zu schreiben!). Viele Benutzer von Computern und eMail-Systemen sind heutzutage keine Computerfachleute. Dies bedingt auch, daß die zweite Voraussetzung erfüllt ist. Nicht nur technisch unbedarfte Benutzer lassen sich leicht durch eine hochgestochene technische oder zumindest technisch klingende Sprache hinters Licht führen. Doch genau dieser "techno-babble", mit der die Wirkungsweise des jeweiligen Viruses beschrieben wird, soll die Glaubwürdigkeit erhöhen und ist somit ein leicht auszumachendes Merkmal eines Hoax-Viruses.
Wenn dann die Warnungen wie in vielen Fällen in Englisch sind, trägt dies sicherlich nicht zum besseren Verständnis des Inhaltes bei, und nimmt damit die Möglichkeit, das Gesagte als Fantasieprodukt zu entlarven. Im Hoax good times gibt es z.B. folgende Phrase "...if the program is not stopped, the computer's processor will be placed in an nth-complexity infinite binary loop which can severely damage the processor...". Klingt beim ersten Mal Lesen ziemlich kompliziert und damit ist der Wahrheitsgehalt nicht einfach zu beurteilen. Bei etwas tieferem Hinschauen könnte man jedoch herausfinden, daß es so etwas wie eine unendliche n-dimensionale binäre Schleife gar nicht gibt, und Prozessoren sind eigentlich dazu gebaut, daß sie Schleifen monatelang ohne Schaden abarbeiten. Eine weitere Finte einfallsreicher Autoren ist die Berufung auf namhafte Computer-Autoritäten. So stamme die oben genannte win a holiday-Meldung angeblich von Microsoft und selbst AOL bestätige die Gefährlichkeit des Virus. Beliebt sind auch Verweise auf IBM, bekannte Universitäten und die amerikanische Telekommunikations- und Regulierungsbehörde FCC. Wer hinterfragt schon die Aussagen solch renommierter Institute?
Wie erkennt man nun einen
Hoax-Virus und wie unterscheidet man diesen von einem richtigen? Um diese
Frage gut beantworten zu können, braucht man natürlich etwas
technisches Wissen.
Doch grundsätzlich
gilt: eine reine Textnachricht hat noch niemals etwas gelöscht oder
gar eine Festplatte zerstört. Vorsichtig sollte man werden, wenn sich
an der eigentlichen Nachricht ein Dateianhang befindet. Richtige Viren
sind meist Bestandteil einer ausführbaren Datei ("exe", "com", "bat")
und selbst wenn es möglich ist, den Dateianhang direkt aus dem Mailprogramm
heraus zu starten, sollte man dies nicht tun, sondern die Datei erst auf
die Festplatte abspeichern mit dem Ziel, das Programm von einem Virusscanner
untersuchen zu lassen. Wenn die Datei eine Microsoft Winword oder Excel
Datei ist, sollte man ähnlich vorgehen, um eventuell vorhandene Makroviren
von einem Virenprogramm entfernen zu lassen.
Hoax-Meldungen sind an sich jedoch einfach zu entlarven, wenn man folgendes bedenkt. Erstens verbreiten sich Hoaxes nur durch die Gutgläubigkeit der Empfänger. Genau darauf beruht nämlich der Fortpflanzungsmechanismus dieser auch manchmal "mail-Bomben" genannten Rundschreiben, denn von alleine vemehren sich Hoax-Viren im Gegensatz zu echten (Programm-) Viren nicht. Das bedeutet, daß spätestens alle Alarmglocken schrillen sollten, wenn man dringend dazu aufgerufen wird, die Mail an alle seine Freunde und Bekannte weiterzuverteilen. Weiterhin sollte man sich die oben genannten Merkmale vor Augen führen und die Warnmeldung dahingehend untersuchen. Wird versucht in einer unverständlichen technischen Sprache etwas eher Unglaubwürdiges zu erklären? Beruft sich der Autor auf eine Autorität? Ist man unsicher, ob der beschriebene Virus nun existiert oder nicht, sollte man nicht in Panik verfallen, sondern zuerst eine glaubwürdige Fachkraft kontaktieren (z.B. ihrem Antivirenbeauftragten).
Ist eine Nachricht als Hoax identifiziert, wird die Ausbreitung des Virus am Besten dadurch verhindert, daß man die besagte Mail einfach LÖSCHT! Eventuell schreibt man noch eine kurze Nachricht an der Sender der Rundmail mit dem Hinweis, daß er/sie einem üblen Scherz aufgesessen ist.
New Virus - 'Navidad'
---------------------
A new e-mail worm called
'Navidad' (Christmas) that was detected begin-
ning of November is fast
spreading throughout the world. Similar to the
famous 'Love letter' worm
it attaches itself to outgoing e-mail mes-
sages and when opened by
the recipient stops all Windows programmes on
the target computer from
running.
The attachment is called "Navidad.exe" and shows a blue eye as an icon.
When executed, the worm displays
a dialog box with the cryptic letters:
UI and the title: Error
After that the system is
unusable. Whenever an .exe file is executed,
the operating system prompts
the user for the location of the file
'WINSVRC.EXE'. The net result
of this is that no program files can be
launched. This may cause
system instability and the system may have
difficulty rebooting.
Next, the worm begins the
e-mail routine. The worm utilizes MAPI to
send mail and works with
Microsoft Outlook. The worm checks for all
messages in your Inbox and
replies to those messages that have one at-
tachment. The reply consists
of the same subject line and body, but
contains the worm attached
as NAVIDAD.EXE.
Finally, the worm places
a blue eye icon in the system tray of the
taskbar. When the mouse
pointer is over the icon, the worm displays a
yellow dialog box that states:
Lo estamos mirando...
(In English: We are watching
it...)
When you click the icon,
a dialog box with a button appears. The button
contains the following text:
Nunca presionar este boton
(Never press this button)
If the user presses the button,
an error box with the title
Feliz Navidad
(Merry Christmas)
displays the message
Lamentablemente cayo en
la tentacion y perdio su computadora
(Unfortunately you've fallen
to temptation and have lost your com-
puter).
If you close the dialog box
by clicking the X instead of clicking the
button, the following message
appears:
buena eleccion
(Good selection)
and exits. Despite the warning
of losing the computer, no further
changes are made to the
system.
If your computer stopped
working due to infection, go (from another
computer) to Symantec's
Anti-Virus Center at:
http://www.symantec.com/avcenter/venc/data/w32.navidad.html#navidad_remove
and download the file 'fixnavid.com'
(133kB) that is able to clean
your computer.
Best regards,
Dieter Neuvians
mailto:neuvians@harare.iafrica.com
| wann | Bezeichnung | Pseudo-Quelle | mehr dazu im internet |
| August 1999 | |||
| Nov 1999 | "It Takes Guts to Say Jesus" | Hewlett Packard Competence Team | bei Symantec |
Im Zweifelsfall einmal nachschlagen
...
Betreff: Information zur Viruswarnung
Sehr geehrte Damen und Herren,
damit zukünftig nicht noch mehr Mail-Server zugemüllt werden und einigen Administratoren der Nervenzusammenbruch erspart bleibt, anbei eine aktuelle Sammlung der immer wieder auftretenden Hoaxes (vergleichbar Zeitungsenten). Den Text zu den Hinweisziffern und Links zu weiteren Informationsangeboten finden sie am Ende der Mail.
Mit freundlichen Grüßen
Andreas Kern
IT-Sicherheitsbeauftragter
Paul-Ehrlich-Institut
Langen, Germany
| A bug's life | |
| A little girl needs help | ->4 |
| A.I.D.S. | ->1 |
| Aktien kostenlos | |
| A moment of silence | ->10 |
| AOL4FREE | ->1 |
Baby New Year
Bad Times ->9
Bill Gates (Microsoft E-Mail Tracking
System) ->4
Bloat MPEG Virus
Blue Mountain greeting card virus
BUDDYLST.ZIP (Buddylst.sip, Buddylyst.zip,
Buddylist.zip) ->6
Bud[weiser] Frogs Screensaver ->6
Bud[weiser] Frösche Bildschirmschoner
->6
California/Wobbler Virus
CELCOM Screen Saver (cellsaver.exe)
->11
D@fit <mailto:D@fit>
Deeyenda
ELFBOWL.EXE ->11
Elvira
E-Mail beta test (Microsoft/AOL)
->4
Ericsson WAP give-away ->4
Free Computers (IBM)
Freibier.exe ->11
FROGAPULT.EXE
->11
GET MORE MONEY ('Virus Warnung von Microsoft')
->5
Ghost
Glückstantra ->4
Good Times
Handy-Betrug ->7
How to give a cat a colonic
Irina
It Takes Guts to Say 'Jesus'
Jessica Mydek ->10
Join the Crew
Kali
Let's watch TV
Liebeskette ->4
Lump of coal
Make Money Fast ->4
Microsoft-AOL Merger ->4
Mirabilis ICQ virus
NaughtyRobot
New virus debug device
Nimm Dir bitte ein wenig Zeit und lese!
->10
Nike ->4
Nokia verschenkt Handy ->4
no subject) bzw. (kein Betreff)
->3
Open: Very Cool
Penpal Greetings
Perrin.exe ->11
Phantom Menace
Please help this poor dog and win a vacation
PKZIP300 ->1
Pokemon Virus
'Pommes und Mayo' Bildschirmschoner Kopie
von 'Bud Frogs'
Red Alert
Returned or undeliverable mail ->2
Sandman's Homepage ->8
SOLIDARIDAD CON BRIAN ->10
TimeBomb
Upgrade Internet ->2
Walt Disney Jr. ->4
Win a holiday
Wobbler Virus
ZLATKO.EXE Bildschirmschoner Kopie von 'Bud Frogs'
...
Informationsquellen
Hier finden sie Informationen über
alte und neue Viren / Würmer / Hoaxes / Trojanische Pferde usw.:
href="http://www.vil.nai.com/villib/alpha.asp" Network Associates
Bundesamt für Sicherheit in der Informationstechnik