Startseite : "Dachboden" : Alte FAQs : Mail-Viren

Hybris & Co. und "merkwürdige Mails"

Diese FAQ wird nicht mehr gepflegt.

[Letzte Änderungen: Informationen zu Klez ergänzt, neuer Patch für Microsoft-Produkte, kleinere Umstrukturierungen, Links aktualisiert]

1. Einleitung

Bereits seit November 2000 wurde immer wieder berichtet, dass man eine Mail mit merkwürdigen Anhang bekommen habe.

Während die ersten Varianten noch relativ einfach am Subject (Betreff) erkennbar waren (siehe Abschnitt 2), sind neuere Versionen so schlau, dafür variable Texte zu verwenden. Auch die (angeblichen) Absender sind mittlerweile kein sicheres Unterscheidungsmerkmal mehr, da die verschiedenen Würmer unterschiedlich arbeiten.

Die einzige sichere Gemeinsamkeit aller Mailwürmer ist, daß sie ein Programm enthalten, das gestartet werden muß. Den bisherigen Würmern wie Hybris, SirCam oder Magistr liegt es als angehängte Datei mit unterschiedlichen Namen bei.

Daraus ergibt sich aber schon eine triviale Abhilfe: Stell dein Mailprogramm so ein, daß es angehängte Dateien nicht startet, und starte Anhänge auch nicht von Hand!

Außerdem solltest du regelmäßig beim Herstellers deines Mail-Programmes nach Sicherheitspatches schauen. Alte, aber noch stark verbreitete Version von Outlook Express haben einen Bug, der sich zum automatischen Starten eines Attachments ausnutzen lässt:

|<iframe src=cid:EA4DMGBP9p height=0 width=0>
|</iframe></BODY></HTML>
|--====_ABC0987654321DEF_====--
|
|--====_ABC1234567890DEF_====
|Content-Type: audio/x-wav;
|        name="HUMOR.MP3.scr"
|Content-ID: <EA4DMGBP9p>

Mit dem IFrame wird der Anhang in die HTML-Darstellung eingebunden und das alte OE hält das auf Grund von "Content-Type: audio/x-wav" für sicher. Die Betriebssystemfunktion, die das Programm zur Wiedergabe von "humor.mp3.SCR" starten soll, erkennt die Datei allerdings richtigerweise als Bildschirmschoner und startet das umbenannte Programm.

2. Merkmale der bekanntesten und hartnäckigsten Würmer

In diesem Abschnitt werden einige Besonderheiten der häufigsten Würmer genannt. Weitere Informationen über sie und über andere, auch neuere Würmer findest Du über die Links in Abschnitt 5.

2.1 Hybris

Die ersten, immer noch gelegentlich auftauchenden Varianten werden Hybris genannt und lassen sich an folgenden Merkmalen erkennen:

Oder:

2.2 SirCam

Eine neuere Variante ist SirCam, der unter anderem an einem Dateinamen im Subject erkennbar ist. Der Name wurde zusammen mit der zufällig ausgewählten zugehörigen Datei vom Rechner des Absenders gestohlen und ist mit dem Wurm zusammen als Anhang enthalten.

Die "gestohlene" Datei hat eine Größe von bis zu mehreren MB.

Der Anhang hat eine Doppelendung, wobei die erste Endung die der Originaldatei ist (.doc, .xls oder ähnliches) und die zweite .BAT, .COM, .EXE, .LNK oder .PIF heißt. (Beispiel: Beispiel.doc.COM). Diese Endungen sind bei Windows ausführbaren Programmen zugeordnet und werden von einigen Programmen standardmäßig ausgeblendet. Dadurch wird - für den Benutzer kaum erkennbar - der Anhang beim Anklicken als Programm gestartet, der Wurm installiert sich und extrahiert anschließend die ursprüngliche Datei aus sich heraus und übergibt sie dem System zum Íffnen. Es hat also den Anschein, als ob ganz normal die Datei geöffnet wurde.

Als Absender steht in dieser Variante der tatsächliche Versender, der meist gar nichts von seinem "Glück" weiß. Man kann ihn also auf das Problem hinweisen und eine Weiterverbreitung zu vermeiden helfen.

Außer dem Anhang enthält die Mail nur noch die Anrede "Hi! How are you?" oder "Hola como estas ?" und einen allgemein gehaltenen Hinweis auf die angehängte Datei.

2.3 Magistr

Magistr ist schwer zu identifizieren, da er fast alles an der Mail variabel gestalten kann. Er benutzt u.a. Bruchstücke aus Dateien auf dem Computer des Absenders als Text, hängt evtl. mehrere Dateien an die Mail an und benutzt variable Subjects. Im Reply-To:-Header steht oft die Adresse des Besitzers des infizierten Computers, allerdings ist ein Buchstabe verfälscht. Ist klar erkennbar, welcher Buchstabe geändert wurde, kann man selbst Kontakt aufnehmen.

2.4 Badtrans und Nimda

W32/Badtrans.b setzt vor die From-Adresse einen Unterstrich '_', damit ist die Adresse ungueltig und muss vor dem Absenden einer Antwort bearbeitet werden.

2.5 Klez

Klez nutzt in seinen unterschiedlichen Varianten Kombinationen verschiedenster Techniken zur eigenen Verbreitung. Neben Mails mit Exploits (Ausnutzungen) der oben genannten Sicherheitslücke tarnt Klez sich als abgewiesene eigene Mail, als sein eigenes Gegenmittel, als Empfehlung von Websites oder von Spielen und Bildschirmschonern, die angeblich im Anhang mitgeschickt werden. Wie Sircam (s.o.) "stiehlt" auch Klez eine Datei, die er als weiteren Anhang mitschickt, und hat somit unterschiedliche Größe.

Die mit Badtrans begonnene Verfälschung der Absenderadresse ist bei Klez perfektioniert. Sie wird wie die Zieladresse aus verschiedenen Quellen beliebig gewählt. Eine Beschwerde beim angeblichen Absender oder seinem Provider wird also meist den falschen treffen. Was man dennoch tun kann, wird in Abschnitt 4 erläutert.

3. Wie verbreiten sich die Würmer

Die beschriebenen Würmer sind nach dem Start des Anhangs relativ selbstständig. Sie brauchen kein bestimmtes Mailprogramm, um sich weiterzuverbreiten, sondern können selbst Kontakt mit Mailservern aufnehmen und sich verschicken.

Bleibt die Frage, wie sie an die Adressen der potenziellen Empfänger kommen. Hybris klinkt sich dazu in den Datenstrom ein, der über die Netzanbindung läuft, und sucht nach Textfragmenten, die wie Mailadres- sen aussehen, SirCam durchsucht Adreßbücher und das Cache des Browsers. Neuer Würmer verwenden dazu noch weitere Quellen wie etwa ICQ-Adress- bücher oder gewöhnliche Textdokumente.

Es sollte offensichtlich sein, dass so nicht nur Adressen von Bekannten und Freunden gefunden werden; Du kannst den Wurm auch von Leuten erhalten, die gerade deine Website besucht oder einen Artikel von dir gelesen haben. Etwas Böses wollen dir die Absender sicherlich nicht, im Regelfall waren sie nur so unvorsichtig, den Anhang einer bei ihnen eingetroffenen Wurm-Mail zu öffnen. Allerdings sollte dich das nicht davon abhalten, sie über ihr Wurmproblem aufzuklären.

Besonderheiten des Magistr:
Magistr verschickt sich an Adressen aus dem Adressbuch und aus Mailbox- Dateien von Outlook Express und Netscape. Die Chancen stehen also gut, daß man den Absender kennt oder zumindest ihm bekannt ist.

4. Abhilfemaßnahmen

4.1 Vorbeugung

Eine aktuelle Virenschutzsoftware ist sicher hilfreich. Allerdings wird oft die zugehörige Datenbank nicht oft genug aktualisiert. Da die aktuellen Würmer aber bereits innerhalb weniger Tage sich weltweit ausbreiten, kann es selbst bei wöchentlicher Aktualisierung schon zu spät sein, und die Wahrscheinlichkeit einer Infektion vor der Entde- ckung des Virus durch die Antivirensoftwarehersteller steigt ständig.

Es sind also weitere Maßnahmen erforderlich. Die wichtigste ist, entdeckte Sicherheitslücken in den genutzten Programmen möglichst bald zu beseitigen. Dies betrifft insbesondere die oben genannten Probleme mit dem Microsoft Internetexplorer und mit Outlook Express, die durch den im Mai 2002 erschienenen Patch (Programmkorrektur) <http://www.microsoft.com/windows/ie/downloads/critical/q321232/default.asp> behoben werden.

Es genügt allerdings nicht, sich damit zufrieden zu stellen; vielmehr ist eine regelmäßige berprüfung auf etwaige aktuelle Patches nötig. Für den Internet Explorer und Outlook Express sind sie hier zu finden: <http://www.microsoft.com/windows/ie/downloads/critical/default.asp>

Will man zugleich weitere Komponenten eines Microsoft-Betriebssystems auf dem aktuellen Stand halten, so empfiehlt sich (bei genügend Vertrauen in die Leistungsfähigkeit und Vertrauenswürdigkeit dieses Herstellers) ein regelmäßiger Besuch auf <http://windowsupdate.microsoft.com/>

Zum Schutz vor Infektionen bei Outlook Express empfiehlt es sich außerdem dringend, unter Extras\Optionen\Sicherheit die Sicherheits- einstellungen auf die "Zone für eingeschränkte Sites" zu stellen, und in dieser über die Internetoptionen des Internet Explorers das Active Scripting abzuschalten. Wie das geht, erklärt die OE-FAQ unter <http://oe-faq.de/tippsantworten.htm#1.07>.

Unter <http://www.heise.de/ct/antivirus/emailcheck/> kannst du übrigens überprüfen, ob deine Einstellungen sicher sind.

Eine weitere vorbeugende Maßnahme ist, mit entsprechender Software virenverdächtige Mails herauszufiltern. Da hier aber auch mit einer mehr oder weniger geringen Fehlerquote zu rechnen ist, will das gut überlegt sein.

4.2 Wenn der PC infiziert ist

Ein einfaches Aufspielen oder Aktualisieren und Starten eines Viren- scanners ist nicht immer ausreichend. Neuere Varianten von Klez sowie vermutlich auch viele zukünftige Viren deaktivieren die gängigen Virenschutzprogramme, wenn sie einmal gestartet worden sind.

Es ist nicht Ziel dieser FAQ, alle nötigen Maßnahmen zu beschreiben. Es gibt allerdings für viele aktuelle Würmer kostenlos erhältliche "Removal Tools" (Programme zur Beseitigung eines konkreten Virus). Hier einige Links:

Es empfiehlt sich, vor Anwendung die jeweils zugehörigen Anleitungen zu lesen.

Da die neueren Würmer als Hintertür eine Fernwartungssoftware installieren, ist es mit einem gewissen Risiko verbunden, einfach nur den Wurm selbst zu löschen, ohne das System komplett neu aufzusetzen. In der Zwischenzeit könnte jemand veränderte Versionen der Standard-Programme installiert haben, die dir eine heile Welt vorspielen.

4.3 Wurmversender warnen

Neben der Virusbeseitigung auf dem eigenen Computer ist es wichtig, der weitern Verbreitung entgegen zu wirken. Dazu gehört ein Hinweis an den Absender der erhaltenen Kopie, dass sein Computer ebenfalls eine Wurmkur braucht. Die Ermittlung bzw. Kontaktierung des Absenders ist Inhalt dieses Abschnittes; v.a. bei Hybris ist das gar nicht so einfach.

5. Weitere Informationsquellen

Auf Deutsch informieren über aktuelle Viren und Würmer:

Auf Englisch gibt es Informationen bei den Herstellern von Antivirussoftware. Eine Linkliste zu deren Homepages steht auf <http://www.tu-berlin.de/www/software/antivirus.shtml>

Hier einige Vireninformationsseiten dieser Anbieter:

6. Credits

Für die bisher öffentlich oder per Mail eingegangenen Änderungsvorschläge bedanke ich mich bei:
Wilfried Kramer, Ludwig Hügelschäfer, Harald Effenberg, Ludwig Boeckel, Hendrik Brummermann, Jost Krieger, Uwe Milde, Stefan Barnikow, Frank Ziemann, Hatto von Hatzfeld und Oliver Ding für seinen Textbaustein zu Nimda und Badtrans
sowie für die technische Unterstützung und für den Webspace bei:
Thomas Hochstein.

Michael Beiß

Diese FAQ wird nicht mehr gepflegt.