E-Mail Viren-Hoaxes

Von den Teilnehmern der Newsgroup alt.comp.virus.
(Diese Sicherheitsseiten sind das Ergebnis einer fortlaufenden Zusammenarbeit.)

Übersetzte Versionen verfügbar: in English und en Français


Anti-Virus Main Menu
Main Menu

E-Mail Viren-Scherz-Alarme, Hoaxes

von Andrew Lee                | gladius@gladius.f9.co.uk
AVIEN Gründungsmitglied       | http://www.avien.net
Wildlist-Reporter             | http://www.wildlist.org


Inhalt



Was ist ein Virenscherz oder Hoax?

Wobbler! Budweiser Frogs! Penpal Greetings! Give your cat a colonic! Sie könnten per E-Mail bereits Warnungen über genau diese "Viren" erhalten haben. Wenn ja, dann waren Sie das Opfer eines Viren-Hoaxes (hoax: engl. für "Scherz").

Viren-Hoaxes bestehen im Allgemeinen aus wild erfundenen Geschichten, die behaupten, dass den Systemen eines Benutzers oder einer Organisation ein Übel oder ein Ausfall durch einen per Mail zirkulierenden Virus droht. Meist verbunden mit der Behauptung, dass der Virus sogar unmögliche1 Dinge tut.

Unglücklicherweise glauben einige Empfänger solcher Hoaxes, dass es sich um echte Virenwarnungen handelt und lassen sich zu drastischen Maßnahmen hinreißen (z.B. Herunterfahren des Netzwerks). Hoaxes verlangen oft, das Herunterladen oder Lesen von E-Mails zu vermeiden, die einen bestimmten Betreff haben, zum Beispiel "Budweiser Frogs", "It Takes Guts to Say Jesus", und "Join the Crew".

Für diese E-Mail-Warnungen ist es typisch, dass sie einen neuen angeblich unaufspürbaren2 Virus beschreiben und dazu in der Regel pseudo-technische Begriffe3 verwenden. So wird etwa im Good Times Hoax behauptet, dass der Virus den Computer-Prozessor in eine Art "Komplexitäts-Endlos-Binär-Schlaufe bringt, die den Prozessor ernsthaft schädigen kann". Der Hoax warnt davor, eine Mail mit dem Betreff "Good Times" zu lesen oder herunterzuladen, weil diese ein Virus sei. Außerdem empfiehlt die Mail Ihnen eindringlich, die Warnung an so viele Personen wie möglich weiterzuleiten4.

Eine zweite Form solcher Viren-Hoaxes sind jene Mails, die behaupten, dass Sie durch das Lesen einer Mail einen beigefügten Virus dekodiert und aktiviert haben.
Diese Art von Hoaxes ist ziemlich besorgniserregend, denn während es die Hoaxes darauf anlegen, die Benutzer zu verunsichern, gibt es inzwischen tatsächlich ein paar Viren, die so etwas tun.
Als Beispiele dienen hier VBS/Bubbleboy5 und JS/KAK6.
Eine E-Mail in seiner rohen (Text-)Form, kann noch immer keinen Virus enthalten, aber zahlreiche Zusätze wie HTML und aktiven Inhalten werden inzwischen leider regelmäßig für die Virenverbreitung benutzt.

Um den Unterschied zwischen einem echten Virenalarm und einem Hoax aufzuzeigen, finden Sie untenstehend eine Vergleichstabelle.

Wichtige Merkmale sind rot gekennzeichnet.
Meine Kommentare in Grün und Kursiv.
(Kommentar der Übersetzerin dieses Dokuments: Sie werden diese Hoaxes oft auch in englischer Sprache zu sehen bekommen. Ein Hoax bleibt aber ein Hoax, egal in welcher Sprache er Ihnen geschickt wird.)

Hoax Warnung Echte Warnung
Betreff: FWD: LESEN UND WEITERLEITEN
LESEN SIE DIESE MITTEILUNG SOFORT
ES IST KEIN SCHERZ.
(Beachten Sie: Wenn dies schon gesagt werden muss, dann ist es wahrscheinlich doch ein Scherz.)

Jemand verschickt einen netten Bildschirmschoner der Budweiser-Frösche. Wenn Sie diesen herunterladen, werden Sie alles verlieren! Ihre Festplatte wird zerstört und jemand im Internet wird Ihre Benutzer-ID und Ihr Passwort erlangen!
(Notiz: pseudo-technische Infos! Wenn Ihre Festplatte zerstört würde, könnte man davon keine Informationen mehr beziehen. Wie würde also jemand im Internet an diese Infos kommen?)

LADEN SIE DIESEN UNTER KEINEN UMSTÄNDEN HERUNTER! Soweit wir wissen, gelangte er erst gestern in Umlauf.
Bitte leiten Sie diese Mail weiter. Dies ist ein neuer, sehr bösartiger virus und nur wenige Leute wissen darüber Bescheid. Diese Information wurde gestern von Microsoft bekanntgegeben.
(Beachten Sie die Erwähnung bekannter Firmen wie Microsoft oder AOL. Ebenso wird kein "echtes" Datum angegeben, sondern nur ein vages "gestern")

Bitte geben Sie diese Information an jeden weiter, der Internetzugriff hat. Noch einmal, bitte leiten Sie dies an JEDEN in Ihrem Adressbuch weiter, damit es gestoppt werden kann.

AOL meldete, dass dies ein sehr gefährlicher Virus sei und dass es noch KEIN Mittel dagegen gibt.
(Auch hier: Wer soll dies gesagt haben? Jedenfalls ist AOL kein Antivirus-Labor!)
Bitte treffen Sie Vorsichtsmaßnahmen und leiten Sie dies an alle Ihre Online-Freunde weiter.
(Diese Mitteilung verlangt insgesamt viermal, die Mail weiterzuleiten; das ist der beste Indikator dafür, dass es sich um einen Hoax handelt.)

Name: XM97/Laroux-OD
Typ: Excel 97 Makrovirus
Datum: 18. Juni 2001
(Gute Zusammenfassung der Information, Name, Typ und Veröffentlichungsdatum)
Eine Virenkennungsdatei (IDE) zum Schutz steht unter Virenkennungen zur Verfügung, und wird in der Version August 2001 (3.48) von Sophos Anti-Virus enthalten sein.

Zum jetzigen Zeitpunkt hat Sophos lediglich eine Meldung dieses Virus als "in the wild" (in freier Wildbahn) erhalten.

Description:
XM97/Laroux-OD ist ein Excel-Tabellen-Virus. Diese Variante der Familie von XM97/Laroux benötigt die Datei PERSONAL.XLS im Verzeichnis XLSTART, mit deren Hilfe sich der Virus repliziert.
(Beachten Sie, dass die Beschreibung nichts von wegen "unaufspürbares Festplatten-Formatieren" enthält, sondern eine Typen-Information und einfache, sachliche technische Fakten. Und natürlich die Tendenz zur Aufklärung - anstatt zur Panik!)

Laden Sie die IDE-Datei herunter von
http://www.sophos.com/downloads/ide/larx-od.ide

Lesen Sie die Analyse auf
http://www.sophos.com/virusinfo/analyses/xm97larouxod.html

Laden Sie eine ZIP-Datei herunter, die alle IDE-Dateien für die aktuellen Versionen von Sophos Anti-Virus enthält, von
http://www.sophos.com/downloads/ide/ides.zip

Beachten Sie die weiteren verlinkten Informationen und die Anleitungen, um Ihre Software zu aktualisieren.

Lesen Sie über den Gebrauch der IDE-Dateien auf
http://www.sophos.com/downloads/ide/using.html

Um sich von diesem Service abzumelden, besuchen Sie bitte
http://www.sophos.com/virusinfo/notifications
(Notiz: Hier haben wir die zuverläßige Angabe der Quelle der Warnung, aber weder eine Bitte zum Weiterleiten, noch die Prophezeihung gröberen Unheils oder die Nennung einer anderen "großen" Firma)

(An dieser Stelle ein Dankeschön an Graham Cluley und Sophos, die uns freundlicherweise die Erlaubnis gaben, diesen Virenalarm als Beispiel anzuführen. Es könnte sein, dass die in diesem Alarm genannten Links eines Tages nicht mehr stimmen.)

 

Warum kosten Hoaxes Geld?

Mir sind keine offiziellen Forschungsergebnisse zu diesem Thema bekannt, und obwohl es wahrscheinlich ist, dass bisweilen mit aus der Luft gegriffenen Zahlen hantiert wird, gibt es keinen Zweifel, dass Hoaxes Sie oder Ihre Firma genausoviel Geld kosten können wie ein echter Virenfall.

Dennoch kann kein Antivirus-Programm solche Hoaxes identifizieren, weil es ja keine Viren sind. Das Ziel eines Hoaxes besteht darin, bei einem Benutzer so viel Unsicherheit zu erzeugen, damit er den "Alarm" an alle seine Freunde und Bekannten weiterleitet.

Die Zahl der E-Mails, die ein typischer Hoax auf diese Weise erzeugen kann, ist oft so gross, dass Mail-Server überlastet werden. Des erfordert die Zeit von jemandem, der das Problem löst und kann auch Auswirkungen auf legitime Mails haben, die in dieser Zeit womöglich nicht ausgeliefert werden.

Zusätzlich zu dieser Zeit und den Kosten, verbringt jeder Empfänger eines Hoaxes ein paar Minuten Zeit damit, ihn zu lesen und einige davon leiten ihn wiederum an alle Freunde und Bekannten weiter, die dann wiederum das selbe tun. In einer größeren Firma kann die verschwendete Zeit enorm sein, zuzüglich zum Aufwand der Person, die für Virenbelange zuständig ist und die mit hunderten von gleichlautenden Mitteilungen konfrontiert wird.

Wegen der Verunsicherung und Panik, die durch solche Hoaxes verursacht wird, gab es sogar schon Firmen, die ihre Netzwerke und E-Mail-Server herunterfuhren - bloß wegen eines Hoaxes, eines Virenscherzes.

Auch in Betracht zu ziehen ist die Tatsache, dass viele Benutzer das Internet von zuhause aus benutzen und für die Einwahl bezahlen. So kostet diese das Herunterladen von E-Mail Geld. Aus diesem Grund fragen Sie sich bitte vor dem Weiterleiten: Ist es ein Hoax?

 
Wie verhindert man das Verbreiten von Hoaxes?

Wenn Sie eine Ketten-Mail erhalten, ist es das einfachste, sie zu löschen. Senden Sie die Mail nicht Ihren Bekannten und Verwandten. Sie sollten gar keine Virenwarnungen weiterleiten, an *niemanden*. Es spielt keine Rolle, ob die Virenwarnung von einem Antivirus-Hersteller kam, von einer großen Firma bestätigt wurde oder von Ihrem besten Freund.

Viele Firmen haben strenge Regeln bezüglich dem Versand von Virenalarmen, deshalb ist es das beste, diesbezüglich Ihre eigenen Nachforschungen anzustellen. Wenn Ihre Firma hierzu keine klaren Regeln hat, dann schlagen Sie den zuständigen Leuten vor, solche aufzustellen und einzuführen.

"Leiten Sie Warnungen aller Art an gar NIEMANDEN weiter, außer an die Person, die für Virenbelange zuständig ist. Es spielt keine Rolle, ob Virenwarnungen von Antivirus-Herstellern kamen, von einer großen Computerfirma bestätigt wurden, von einem Bekannten oder Ihrem besten Freund! ALLE Virenwarnungen sollen ausschließlich an (Name der zuständigen Person) gesandt werden. Es ist deren Aufgabe, die Benutzer über Virenprobleme zu informieren. Eine Virenwarnung, die aus einer anderen Quelle stammt, ist zu ignorieren."

Solange alle diese Regeln befolgen, sollte keine Mail-Flut losbrechen und die für Virenbelange verantwortliche Person wird entscheiden, ob ein Risiko vorliegt oder nicht.

 
Halten Sie sich auf dem Laufenden

Der beste Weg, die Kosten von Viren-Hoaxes zu reduzieren, ist sich selber stets auf dem Laufenden zu halten, indem man die Webseiten von Antivirus-Herstellern besucht und sich dort nach aktuellen Alarmen und Hoaxes umschaut.

Es gibt auch ein paar wirklich aufschlussreiche Webseiten, die Hoaxes und andere Computer-Märchen niederkämpfen (diese sind in Englisch).

http://www.vmyths.com
http://www.umich.edu/~vbusters
http://www.sophos.com/virusinfo/hoaxes

Korrekte und aktuelle Informationen machen den besten Virenschutz aus, den Sie haben können!

 
Kommentare:

1. Unmögliche Aktionen sind für technisch nicht versierte Benutzer schwierig zu erkennen, aber normalerweise sind die Behauptungen so wild - wie "Es wird alles auf Ihrer Festplatte löschen, sobald Sie die Mail öffnen" Dies ist ganz einfach nicht möglich, ohne eine weitere Aktion des Benutzers, zum Beispiel durch das Ausführen einer beigefügten Datei.

2. Die Behauptungen reden oft von einem "unaufspürbaren" Virus. Nun, wenn er unaufspürbar wäre, wie würden die dann wissen, dass er existiert und wie er funktioniert? Die Logik macht klar, dass ein Virus entweder aufspürbar ist - weswegen die Antivirus-Hersteller bereits an einer Kur arbeiten - oder dass der angebliche Virus schlichtweg nicht existiert; was in den meisten bisher bekannten Hoax-Mails der Fall war.

3. Pseudo-technische Begriffe werden oft benutzt, und auch diese sind für Einsteiger schwer zu entlarven. Aber einige solche falsche Behauptungen sind typisch: "dieser Virus greift PC und Macs gleichermaßen an", dies ist extrem unwahrscheinlich, da diese zwei Systeme so total verschieden sind. Festplatte "crasht/wird zerstört" und werde formatiert wird oft als Beispiel dessen angeführt, was angeblich passieren könne. Doch ist auch dies sehr unwahrscheinlich, weil dies wieder eine Interaktion des Benutzers bedarf. E-Mails können sich nicht automatisch ausführen, weil da eben kein Programmcode ist, der ausgeführt werden kann! Es ist auch üblich, angebliche Warnungen "großer" Firmen zu zitieren, wie Microsoft, AOL oder IBM, und zu behaupten, diese hätten den Virus als sehr gefährlich beschrieben. Diese Firmen veröffentlichen aber gar keine Virenalarme, deshalb ist dies ein weiteres Erkennungszeichen für Hoaxes.

4. Die Warnung weiterleiten - dies ist der klassische Aufhänger der meisten Hoaxes und deren Verbreitungsmethode. Keine namhafte Antivirus-Firma (oder sonstige Firma) würde Sie jemals dazu auffordern, ihre Warnungen an irgendjemanden weiterzuleiten; Hoaxes tun dies allerdings praktisch immer.

5. VBS/Bubbleboy war der erste bekannte Virus, der nur durch das Öffnen der Mail aktiviert werden konnte, aber auch dieser musste auf bestimmte Umstände treffen, und er war zudem auch nicht wirklich zerstörerisch und funktionierte nur unter Windows 95 und 98.

6. JS/Kak war zweifellos einer der erfolgreichsten Viren überhaupt, angesichts der schieren Anzahl von infizierten Systemen. Er benutzte die selbe Verbreitungstechnik wie Bubbleboy.

© Copyright 2001 - Andrew J Lee
Nachdruck nur mit Erlaubnis		 Andrew J Lee
AVIEN Gründungsmitglied
http://avien.net  |  gladius@gladius.f9.co.uk

Letztes Update: July 21, 2001