Dieser Text befindet sich inhaltlich auf dem Stand des Jahres 2002 und wird nicht mehr gepflegt oder aktualisiert. Er ist in jeder Hinsicht veraltet und steht nur noch zu Dokumentationszwecken online.
Dieser Text wurde in der Newsgroup de.admin.net-abuse.mail gepostet und wendet sich dementsprechend auch an die Leser dieser Newsgroup. Er wird hier unverändert veröffentlicht.
Letzte Änderungen:
Informationen zu Klez ergänzt, neuer Patch für Microsoft-Produkte,
kleinere Umstrukturierungen, Links aktualisiert.
1. Einleitung
Bereits seit November 2000 wurde immer wieder berichtet, dass man eine Mail mit merkwürdigen Anhang bekommen habe.
Während die ersten Varianten noch relativ einfach am Subject (Betreff) erkennbar waren (siehe Abschnitt 2), sind neuere Versionen so schlau, dafür variable Texte zu verwenden. Auch die (angeblichen) Absender sind mittlerweile kein sicheres Unterscheidungsmerkmal mehr, da die verschiedenen Würmer unterschiedlich arbeiten.
Die einzige sichere Gemeinsamkeit aller Mailwürmer ist, dass sie ein Programm enthalten, das gestartet werden muss. Den bisherigen Würmern wie Hybris, SirCam oder Magistr liegt es als angehängte Datei mit unterschiedlichen Namen bei.
Daraus ergibt sich aber schon eine triviale Abhilfe: Stell dein Mailprogramm so ein, dass es angehängte Dateien nicht startet, und starte Anhänge auch nicht von Hand!
Außerdem solltest du regelmäßig beim Herstellers deines Mail-Programmes nach Sicherheitspatches schauen. Alte, aber noch stark verbreitete Version von Outlook Express haben einen Bug, der sich zum automatischen Starten eines Attachments ausnutzen lässt:
<iframe src=cid:EA4DMGBP9p height=0 width=0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--
--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="HUMOR.MP3.scr"
Content-ID: <EA4DMGBP9p>
Mit dem IFrame wird der Anhang in die HTML-Darstellung eingebunden und das
alte OE hält das auf Grund von Content-Type: audio/x-wav
für sicher. Die
Betriebssystemfunktion, die das Programm zur Wiedergabe von
humor.mp3.SCR
starten soll, erkennt die Datei allerdings richtigerweise
als Bildschirmschoner und startet das umbenannte Programm.
2. Merkmale der bekanntesten und hartnäckigsten Würmer
In diesem Abschnitt werden einige Besonderheiten der häufigsten Würmer genannt. Weitere Informationen über sie und über andere, auch neuere Würmer findest Du über die Links in Abschnitt 5.
2.1 Hybris
Die ersten, immer noch gelegentlich auftauchenden Varianten werden Hybris genannt und lassen sich an folgenden Merkmalen erkennen:
-
Das Subject enthält "Snowhite and the seven dwarfs - the real story" oder dasselbe auf Spanisch, Französisch oder Portugiesisch und der Absender ist
hahaha@sexyfun.net
. -
Die Email hat z.B. folgende zufällig ausgewählte Anhänge:
dwarf4you.exe
,joke.exe
,midgets.scr
, u.a. (23-25 kB groß).
Oder:
-
Das Subject ist leer oder enthält einen nachträglich eingefügten Text, der dies aussagt, etwa "<no subject>", "[kein Betreff]" o.ä., und der Absender ist ebenfalls leer oder heißt MAILER-DAEMON (das wird manchmal eingefügt, wenn ein Absender fehlt).
-
Der Anhang dieser Email hat 8-buchstabige Zufallsnamen, bei denen die ersten beiden und die letzten beiden Buchstaben vor dem Punkt gleich sind.
-
Inhalt der Mail ist ein kurzer Text über Schnewittchen und ein Anhang, der den Wurm enthält. Der Anhang hat verschiedene Namen, endet aber immer auf
.exe
und ist damit als ausführbares Programm zu erkennen.
2.2 SirCam
Eine neuere Variante ist SirCam, der unter anderem an einem Dateinamen im Subject erkennbar ist. Der Name wurde zusammen mit der zufällig ausgewählten zugehörigen Datei vom Rechner des Absenders gestohlen und ist mit dem Wurm zusammen als Anhang enthalten.
Die "gestohlene" Datei hat eine Größe von bis zu mehreren MB.
Der Anhang hat eine Doppelendung, wobei die erste Endung die der
Originaldatei ist (.doc
, .xls
oder ähnliches) und die zweite .BAT
,
.COM
, .EXE
, .LNK
oder .PIF
heißt. (Beispiel: Beispiel.doc.COM
).
Diese Endungen sind bei Windows ausführbaren Programmen zugeordnet und
werden von einigen Programmen standardmäßig ausgeblendet. Dadurch wird -
für den Benutzer kaum erkennbar - der Anhang beim Anklicken als Programm
gestartet, der Wurm installiert sich und extrahiert anschließend die
ursprüngliche Datei aus sich heraus und übergibt sie dem System zum
Öffnen. Es hat also den Anschein, als ob ganz normal die Datei geöffnet
wurde.
Als Absender steht in dieser Variante der tatsächliche Versender, der meist gar nichts von seinem "Glück" weiß. Man kann ihn also auf das Problem hinweisen und eine Weiterverbreitung zu vermeiden helfen.
Außer dem Anhang enthält die Mail nur noch die Anrede "Hi! How are you?" oder "Hola como estas ?" und einen allgemein gehaltenen Hinweis auf die angehängte Datei.
2.3 Magistr
Magistr ist schwer zu identifizieren, da er fast alles an der Mail variabel gestalten kann. Er benutzt u.a. Bruchstücke aus Dateien auf dem Computer des Absenders als Text, hängt evtl. mehrere Dateien an die Mail an und benutzt variable Subjects. Im Reply-To:-Header steht oft die Adresse des Besitzers des infizierten Computers, allerdings ist ein Buchstabe verfälscht. Ist klar erkennbar, welcher Buchstabe geändert wurde, kann man selbst Kontakt aufnehmen.
2.4 Badtrans und Nimda
W32/Badtrans.b setzt vor die From:-Adresse einen Unterstrich _
, damit
ist die Adresse ungueltig und muss vor dem Absenden einer Antwort
bearbeitet werden.
2.5 Klez
Klez nutzt in seinen unterschiedlichen Varianten Kombinationen verschiedenster Techniken zur eigenen Verbreitung. Neben Mails mit Exploits (Ausnutzungen) der oben genannten Sicherheitslücke tarnt Klez sich als abgewiesene eigene Mail, als sein eigenes Gegenmittel, als Empfehlung von Websites oder von Spielen und Bildschirmschonern, die angeblich im Anhang mitgeschickt werden. Wie Sircam (s.o.) "stiehlt" auch *Klez eine Datei, die er als weiteren Anhang mitschickt, und hat somit unterschiedliche Größe.
Die mit Badtrans begonnene Verfälschung der Absenderadresse ist bei Klez perfektioniert. Sie wird wie die Zieladresse aus verschiedenen Quellen beliebig gewählt. Eine Beschwerde beim angeblichen Absender oder seinem Provider wird also meist den falschen treffen. Was man dennoch tun kann, wird in Abschnitt 4 erläutert.
3. Wie verbreiten sich die Würmer
Die beschriebenen Würmer sind nach dem Start des Anhangs relativ selbstständig. Sie brauchen kein bestimmtes Mailprogramm, um sich weiterzuverbreiten, sondern können selbst Kontakt mit Mailservern aufnehmen und sich verschicken.
Bleibt die Frage, wie sie an die Adressen der potenziellen Empfänger kommen. Hybris klinkt sich dazu in den Datenstrom ein, der über die Netzanbindung läuft, und sucht nach Textfragmenten, die wie Mailadressen aussehen, SirCam durchsucht Adreßbücher und den Cache des Browsers. Neuere Würmer verwenden dazu noch weitere Quellen wie etwa ICQ-Adressbücher oder gewöhnliche Textdokumente.
Es sollte offensichtlich sein, dass so nicht nur Adressen von Bekannten und Freunden gefunden werden; Du kannst den Wurm auch von Leuten erhalten, die gerade deine Website besucht oder einen Artikel von dir gelesen haben. Etwas Böses wollen dir die Absender sicherlich nicht, im Regelfall waren sie nur so unvorsichtig, den Anhang einer bei ihnen eingetroffenen Wurm-Mail zu öffnen. Allerdings sollte dich das nicht davon abhalten, sie über ihr Wurmproblem aufzuklären.
Besonderheiten des Magistr:
Magistr verschickt sich an Adressen aus dem Adressbuch und aus
Mailbox-Dateien von Outlook Express und Netscape. Die Chancen stehen also
gut, dass man den Absender kennt oder zumindest ihm bekannt ist.
4. Abhilfemaßnahmen
4.1 Vorbeugung
Eine aktuelle Virenschutzsoftware ist sicher hilfreich. Allerdings wird oft die zugehörige Datenbank nicht oft genug aktualisiert. Da die aktuellen Würmer aber bereits innerhalb weniger Tage sich weltweit ausbreiten, kann es selbst bei wöchentlicher Aktualisierung schon zu spät sein, und die Wahrscheinlichkeit einer Infektion vor der Entdeckung des Virus durch die Antivirensoftwarehersteller steigt ständig.
Es sind also weitere Maßnahmen erforderlich. Die wichtigste ist, entdeckte Sicherheitslücken in den genutzten Programmen möglichst bald zu beseitigen. Dies betrifft insbesondere die oben genannten Probleme mit dem Microsoft Internetexplorer und mit Outlook Express, die durch den im Mai 2002 erschienenen Patch (Programmkorrektur) http://www.microsoft.com/windows/ie/downloads/critical/q321232/default.asp behoben werden.
Es genügt allerdings nicht, sich damit zufrieden zu stellen; vielmehr ist eine regelmäßige Überprüfung auf etwaige aktuelle Patches nötig. Für den Internet Explorer und Outlook Express sind sie hier zu finden: http://www.microsoft.com/windows/ie/downloads/critical/default.asp
Will man zugleich weitere Komponenten eines Microsoft-Betriebssystems auf dem aktuellen Stand halten, so empfiehlt sich (bei genügend Vertrauen in die Leistungsfähigkeit und Vertrauenswürdigkeit dieses Herstellers) ein regelmäßiger Besuch auf http://windowsupdate.microsoft.com/.
Zum Schutz vor Infektionen bei Outlook Express empfiehlt es sich außerdem
dringend, unter Extras\Optionen\Sicherheit
die Sicherheitseinstellungen
auf die "Zone für eingeschränkte Sites" zu stellen, und in dieser über die
Internetoptionen des Internet Explorers das Active Scripting
abzuschalten. Wie das geht, erklärt die OE-FAQ unter
http://oe-faq.de/tippsantworten.htm#1.07.
Unter http://www.heise.de/ct/antivirus/emailcheck/ kannst du übrigens überprüfen, ob deine Einstellungen sicher sind.
Eine weitere vorbeugende Maßnahme ist, mit entsprechender Software virenverdächtige Mails herauszufiltern. Da hier aber auch mit einer mehr oder weniger geringen Fehlerquote zu rechnen ist, will das gut überlegt sein.
-
Hybris kannst Du mit einen Filter z.B. auf den Absender erfassen (
hahaha@sexyfun.net
oder<>
, wobei leider das<>
meist nicht drin steht.). Achtung: Filtere bitte nicht auf das '<>' im Envelope-Sender!Info von Frank Ziemann:
Zum Filtern von Hybris-Mails kannst du auch den MIME-Trenner----VE
verwenden. Der kommt in Hybris-Mails immer vor. Bei ca. 500 Hybris-Mails, die bei Frank angekommen sind, war eine mit----VE
, die kein Hybris-Mail war. -
Mails mit Anhängen, die die Dateiendungen
exe
,com
,pif
,scr
,bat
,vbs
,js
oderlnk
tragen, sind virenverdächtig. Sie herauszufiltern, kann vor vielen Viren und Würmern bewahren. Mancher filtert auch Anhänge mit der Endungdoc
(oder mit Endungen anderer Microsoft-Office-Dateien) heraus, zum Schutz vor Makroviren (die allerdings an Brisanz verloren haben). -
Das Filtern auf
<iframe src=
,audio/x-wav
oderaudio/x-midi
stoppt ebenfalls viele aktuelle Würmer (und sicher auch einige noch unbekannte). -
Im Zweifelsfalle niemals den Anhang öffnen, sondern die Mail gleich löschen (das sollte allerdings nach der unten erklärten Analyse geschehen). Das gilt auch, wenn du verdächtige Mails von bekannten Absendern bekommst bzw. diese verdächtige Anhänge enthalten. Eine gute Regel ist, Anhänge niemals (!) zu öffnen, falls die Sendung dieser konkreten Mail nicht erwartet wurde.
4.2 Wenn der PC infiziert ist
Ein einfaches Aufspielen oder Aktualisieren und Starten eines Virenscanners ist nicht immer ausreichend. Neuere Varianten von Klez sowie vermutlich auch viele zukünftige Viren deaktivieren die gängigen Virenschutzprogramme, wenn sie einmal gestartet worden sind.
Es ist nicht Ziel dieser FAQ, alle nötigen Maßnahmen zu beschreiben. Es gibt allerdings für viele aktuelle Würmer kostenlos erhältliche "Removal Tools" (Programme zur Beseitigung eines konkreten Virus). Hier einige Links:
- Bitdefender: http://www.bitdefender.com/html/free_tools.php
- Symantec: http://www.symantec.com/avcenter/tools.list.html
- McAfee/NAI: http://www.mcafeeb2b.com/naicommon/avert/avert-research-center/tools.asp
- F-Secure: http://www.europe.f-secure.com/download-purchase/tools.shtml
Es empfiehlt sich, vor Anwendung die jeweils zugehörigen Anleitungen zu lesen.
Da die neueren Würmer als Hintertür eine Fernwartungssoftware installieren, ist es mit einem gewissen Risiko verbunden, einfach nur den Wurm selbst zu löschen, ohne das System komplett neu aufzusetzen. In der Zwischenzeit könnte jemand veränderte Versionen der Standard-Programme installiert haben, die dir eine heile Welt vorspielen.
4.3 Wurmversender warnen
Neben der Virusbeseitigung auf dem eigenen Computer ist es wichtig, der weitern Verbreitung entgegen zu wirken. Dazu gehört ein Hinweis an den Absender der erhaltenen Kopie, dass sein Computer ebenfalls eine Wurmkur braucht. Die Ermittlung bzw. Kontaktierung des Absenders ist Inhalt dieses Abschnittes; v.a. bei Hybris ist das gar nicht so einfach.
-
Bei älteren Würmern ist die Absenderadresse meist leicht zu ermitteln. Bei SirCam ist sie korrekt. Bei Badtrans muss ggf. ein vorangestellter Unterstrich
_
(Beispiel:_vorname.name@provider.tld
) gestrichen werden. Bei Magistr kannst Du ein einzelnes verfälschtes Zeichen im Absender eventuell erraten (siehe 2.3). Bei Klez und ähnlichen neueren Würmern ist die Adresse im Allgemeinen falsch und zur Ermittlung des Absenders ungeeignet. -
Virenversendende T-Online-Nutzer sind eine Ausnahme. Unter gewissen Bedingungen sind sie in ihren Mails anhand der Headerzeile
X-Sender: nnnnnnnnnnnn-nnnn@t-dialin.net
erkennbar, und Du kannst sie durch direktes Anschreiben dieser Adresse warnen. -
Kommst Du anders nicht weiter, dann versuche, den Mailprovider zu ermitteln, indem du den Header analysierst. Eine gute Anleitung dazu steht im regelmäßig am 15. jeden Monats in news:de.admin.net-abuse.mail geposteten Artikel "[FAQ] E-Mail-Header lesen und verstehen (yyyy-mm-dd)" bzw. im WWW unter http://www.th-h.de/faq/headrfaq.html. Erst dieser Provider kann den für dich unbekannten Kunden identifizieren, und diesen auf seinen Virenbefall aufmerksam machen. Bei Würmern wie Klez, die die Absenderadresse fälschen, ist das auch die einzig sichere Möglichkeit, den wirklichen Absender zu ermitteln.
-
Vielleicht ist dir der Absender einer Hybris-Mails aber aus deinem sonstigen Mailverkehr bekannt, so dass du ihn selbst warnen kannst. Das kannst du feststellen, indem du normale Mails aus der Zeit vor und nach dem Hybris-Einschlag analysierst. Wenn eine Mail ähnliche Received:-Header wie die Hybris-Mail enthält und zudem das HELO im untersten Received:-Header gleich ist, ist der Absender wahrscheinlich derselbe. Manchmal ist so etwas auch bei Klez möglich. Jedoch fälscht der auch das genannte HELO, nimmt die anzuschreibenden Adressen auch von Websites (so dass man Klez auch von Unbekannten bekommt) und verschickt sich teilweise auch auf anderen Wegen, so dass die Mühe der Ermittlung des Absenders auf diesem Weg oft vergeblich ist.
5. Weitere Informationsquellen
Auf Deutsch informieren über aktuelle Viren und Würmer:
Auf Englisch gibt es Informationen bei den Herstellern von Antivirussoftware. Eine Linkliste zu deren Homepages steht auf http://www.tu-berlin.de/www/software/antivirus.shtml.
Hier einige Vireninformationsseiten dieser Anbieter:
- http://www.symantec.com/avcenter/
- http://vil.nai.com/vil/ (McAfee)
- http://www.europe.f-secure.com/virus-info/
- http://www.kav.ch/ (Kaspersky)]
- http://www.norman.no/virus_info/virus_descriptions.shtml
- http://www.avast.com/viruses.htm
6. Credits
Für die bisher öffentlich oder per Mail eingegangenen Änderungsvorschläge bedanke ich mich bei:
Wilfried Kramer, Ludwig Hügelschäfer, Harald Effenberg, Ludwig Boeckel, Hendrik Brummermann, Jost Krieger, Uwe Milde, Stefan Barnikow, Frank Ziemann, Hatto von Hatzfeld und Oliver Ding für seinen Textbaustein zu Nimda und Badtrans
sowie für die technische Unterstützung und für den Webspace bei:
Thomas Hochstein.
Michael Beiß
Dieser Text befindet sich inhaltlich auf dem Stand des Jahres 2002 und wird nicht mehr gepflegt oder aktualisiert. Er ist in jeder Hinsicht veraltet und steht nur noch zu Dokumentationszwecken online.