Ergebnis 1 bis 1 von 1

[FAQ] Hybris & Co. und ´merkwuerdige Mails´

Erstellt von Visitor, 14.12.2001, 21:22 Uhr · 0 Antworten · 1.551 Aufrufe

  1. #1
    Avatar von Visitor

    Registriert seit
    15.11.2000
    Beiträge
    1.093

    [FAQ] Hybris & Co. und ´merkwuerdige Mails´

    Hey @all

    Vielleicht hilft diese FAQ zu "Mail-Würmern" einige klarheiten zu beseitigen.
    Gefunden und kopiert aus -de.admin.net-abuse.mail-

    Der Visitor

    [hr:b7ad750f96]

    . . . . . . . . Hybris & Co. und "merkwürdige Mails"
    . . . . . . . . ====================================

    1. Einleitung
    2. Merkmale der bekanntesten und hartnäckigsten Würmer
    3. Wie verbreiten sich die Würmer
    4. Abhilfemaßnahmen

    1. Einleitung
    =============

    Bereits seit November 2000 wurde immer wieder berichtet, dass man eine
    Mail mit merkwürdigen Anhang bekommen habe.

    Während die ersten Varianten noch relativ einfach am Subject (Betreff)
    erkennbar waren (siehe Abschnitt 2), sind neuere Versionen so schlau,
    dafür variable Texte zu verwenden. Auch die (angeblichen) Absender sind
    mittlerweile kein sicheres Unterscheidungsmerkmal mehr, da die
    verschiedenen Würmer unterschiedlich arbeiten.

    Die einzige sichere Gemeinsamkeit aller Mailwürmer ist, daß sie ein
    Programm enthalten, das gestartet werden muß.. Den bisherigen Würmern
    wie Hybris, SirCam oder Magistr liegt es als angehängte Datei mit
    unterschiedlichen Namen bei.

    Daraus ergibt sich aber schon eine triviale Abhilfe: Stell Dein
    Mailprogramm so ein, daß es angehängte Dateien nicht startet, und
    starte Anhänge auch nicht von Hand!

    Außerdem solltest du regelmäßig beim Herstellers deines
    Mail-Programmes nach Sicherheitspatches schauen. Alte, aber
    noch stark verbreitete Version von Outlook Express haben
    einen Bug, der sich zum automatischen Starten eines
    Attachments ausnutzen lässt:

    |<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
    |</iframe></BODY></HTML>
    |--====_ABC0987654321DEF_====--
    |
    |--====_ABC1234567890DEF_====
    |Content-Type: audio/x-wav;
    |. . . . name="HUMOR.MP3.scr"
    |Content-ID: <EA4DMGBP9p>

    Mit dem IFrame wird der Anhang in die HTML-Darstellung eingebunden und
    alte OE hält das auf Grund von "Content-Type: audio/x-wav" für sicher.
    Die Betriebssystemfunktion, die das Programm zur Wiedergabe von
    "humor.mp3.SCR" starten soll, erkennt die Datei allerdings
    richtigerweise als Bildschirmschoner und startet das umbenannte
    Programm.

    2. Merkmale der bekanntesten und hartnäckigsten Würmer
    ================================================== ====

    a) Hybris
    Die ersten, immer noch in Umlauf befindlichen Varianten werden Hybris
    genannt und lassen sich an folgenden Merkmalen erkennen:

    - Das Subject enthält "Snowhite and the seven dwarfs - the real story"
    . oder dasselbe auf Spanisch, Französisch oder Portugiesisch und der
    . Absender ist <hahaha@5exyfun.net>

    . . Die Email hat z.B. folgende zufällig ausgewählte Anhänge:
    . . dwarf4you.exe, joke.exe, ......s.scr, u.a. (23 - 25 kB groß)

    Oder:
    - Das Subject ist leer oder enthält einen nachträglich eingefügten
    . Text, der dies aussagt, etwa "<no subject>", "[kein Betreff]" o.ä.,
    . und der Absender ist ebenfalls leer oder heißt MAILER-DAEMON (das
    . wird manchmal eingefügt, wenn ein Absender fehlt)

    . . Der Anhang dieser Email hat 8-buchstabige Zufallsnamen, bei denen
    . . die ersten beiden und die letzten beiden Buchstaben vor dem Punkt
    . . gleich sind.

    . Inhalt der Mail ist ein kurzer Text über Schnewittchen
    . und ein Anhang, der den Wurm enthält. Der Anhang hat verschiedene
    . Namen, endet aber immer auf .exe und ist damit als auführbares
    . Programm zu erkennen.

    b) SirCam
    Eine neuere Variante ist SirCam, der unter anderem an einem Dateinamen
    im Subject erkennbar ist. Der Name wurde zusammen mit der zufällig
    ausgewählten zugehörigen Datei vom Rechner des Absenders gestohlen und
    ist mit dem Wurm zusammen als Anhang enthalten.

    Die "gestohlene" Datei hat eine Größe von bis zu mehreren MB.

    Der Anhang hat eine Doppelendung, wobei die erste Endung die der
    Originaldatei ist (.doc, .xls oder ähnliches) und die zweite
    .BAT, .COM, .EXE, .LNK oder .PIF heißt. (Beispiel: Beispiel.doc.COM).
    Diese Endungen sind bei Windows ausführbaren Programmen zugeordnet
    und werden von einigen Programmen standardmäßig ausgeblendet. Dadurch
    wird - für den Benutzer kaum erkennbar - der Anhang beim Anklicken
    als Programm gestartet, der Wurm installiert sich und extrahiert
    anschließend die ursprüngliche Datei aus sich heraus und übergibt sie
    dem System zum Öffnen.. Es hat also den Anschein, als ob ganz normal
    die Datei geöffnet wurde.

    Als Absender steht in dieser Variante der tatsächliche Versender, der
    meist gar nichts von seinem "Glück" weiß.. Man kann ihn also auf das
    Problem hinweisen und eine Weiterverbreitung zu vermeiden helfen.

    . . Außer dem Anhang enthält die Mail nur noch
    . . die Anrede "Hi! How are you?" oder "Hola como estas ?"
    . . und einen allgemein gehaltenen Hinweis auf die angehängte Datei.

    c) Magistr

    Magistr ist schwer zu identifizieren, da er fast alles an der Mail
    variabel gestalten kann.. Er benutzt u.a. Bruchstücke aus Dateien auf
    dem Computer des Absenders als Text, hängt evtl. mehrere Dateien an die
    Mail an und benutzt variable Subjects.. Im Reply-To:-Header steht oft
    die Adresse des Besitzers des infizierten Computers, allerdings ist ein
    Buchstabe verfälscht.. Ist klar erkennbar, welcher Buchstabe geändert
    wurde, kann man selbst Kontakt aufnehmen.

    d) Badtrans und Nimda

    Unter
    http://www.tu-berlin.de/www/software....shtml#nimda.a
    http://www.pcwelt.de/ratgeber/viren_...lexikon/18974/
    und
    http://www.bsi.de/antivir1/virenbesc...ngen/nimda.htm (Nimda)
    bzw. unter
    http://cert.uni-stuttgart.de/ticker/article.php?mid=599
    http://www.bsi.de/antivir1/virenbesc.../badtransb.htm
    und
    http://www.pcwelt.de/news/viren_bugs/20429/ (Badtrans)
    kannst du dich darüber informieren, was dieser lästige Wurm anstellt
    und wie du ihn wieder loswerden kannst. Tools zur direkten Entfernung
    findet man mit etwas Glück unter
    http://www.bitdefender.com/html/free_tools.php .

    Zum Schutz vor weiteren Infektionen empfiehlt es sich dringend, unter
    Extras\Optionen\Sicherheit
    die Sicherheitseinstellungen von Outlook Express auf die "Zone für
    eingeschränkte Sites" zu stellen, und in dieser über die
    Internetoptionen des Internet Explorers das Active Scripting
    abzuschalten. Wie das geht, steht erklärt die OE-FAQ unter
    http://oe-faq.de/tippsantworten.htm#1.07 . Außerdem sollten die
    aktuellen Patches von Microsoft installiert werden.
    Unter
    http://www.microsoft.com/windows/ie/...08/default.asp
    ist der für die aktuelle Sicherheitslücke zuständige Patch zu finden.
    Als letztes sollte man natürlich *keine* Attachments aus unbekannten
    Quellen öffnen, ohne sicher zu sein, daß man selber bzw. der Absender
    weiß, was er da tut. Unter
    http://www.heise.de/ct/antivirus/emailcheck/
    kannst Du übrigens überprüfen, ob Deine Einstellungen sicher sind.
    Das hilft zwar jetzt zunächst wenig, da die Infektion bereits geschehen
    ist.
    In Zukunft sollte dies aber dabei helfen, solche Vorfälle zu
    vermeiden.


    Nochmal zur Erinnerung: Alle Viren-Emails haben ausführbare Anhänge,
    vor deren Öffnung dringend gewarnt wird!

    Nähere Informationen gibt es auch unter den folgenden Links:

    Die Funktionsweise des Hybris ist ausführlich z.B. auf
    http://hoax-info.de/va
    beschrieben.

    Weitere gute Quellen:
    http://www.norman.no/de/virus_info/w32_hybris.shtml bzw.
    http://www.norman.no/ch/virus_info/w32_hybris.shtml
    (mit Links zu Informationen über Sircam und andere Varianten!)
    http://hoax-info.de/hybris.html
    http://www.uni-tuebingen.de/zdv/faq/...lle-viren.html

    http://www.fz-net.com/www/software/. .. (komplett).
    http://www.vhm.haitec.de/www/software/. (nur Viren- und Hoax-Infos)

    sind die einzigen autorisierten Mirror von
    http://www.tu-berlin.de/www/software/.

    und werden beide von Frank Ziemann selbst gepflegt..

    Weitere Quellen:

    die Seiten von NAI.com
    http://www.nai.com/international/germany/ (deutsch/englisch)
    http://www.avp.ch/avpve/worms/email/hybris.stm (auf Englisch)
    und
    http://www.5exyfun.net (ebenfalls auf Englisch und _keine_ 5ex- oder
    .....-Seite, sondern /nur/ wegen dem Hybris-Wurm ins Netz gestellt)

    3. Wie verbreiten sich die Würmer
    =================================

    Die beschriebenen Würmer sind nach dem Start des Anhangs relativ
    selbstständig. Sie brauchen kein bestimmtes Mailprogramm, um sich
    weiterzuverbreiten, sondern können selbst Kontakt mit Mailservern
    aufnehmen und sich verschicken.

    Bleibt die Frage, wie sie an die Adressen der potenziellen Empfänger
    kommen. Hybris klinkt sich dazu in den Datenstrom ein, der über die
    Netzanbindung läuft, und sucht nach Textfragmenten, die wie Mailadres-
    sen aussehen, SirCam durchsucht Adreßbücher und das Cache des Browsers.

    Es sollte offensichtlich sein, dass so nicht nur Adressen von Bekannten
    und Freunden gefunden werden, Du kannst den Wurm auch von Leuten
    erhalten, die gerade deine Website besucht oder einen Artikel von dir
    gelesen haben. Etwas Böses wollen dir die Absender sicherlich nicht,
    im Regelfall waren sie nur so unvorsichtig, den Anhang einer bei ihnen
    eingetroffenen Wurm-Mail zu öffnen. Allerdings sollte dich das nicht
    davon abhalten, sie über ihr Wurmproblem aufzuklären.

    Besonderheiten des Magistr:
    Magistr verschickt sich an Adressen aus dem Adressbuch und aus Mailbox-
    Dateien von Outlook Express und Netscape. Die Chancen stehen also gut,
    daß man den Absender kennt oder zumindest ihm bekannt ist.

    4. Abhilfemaßnahmen
    ===================

    Neben der Virusbeseitigung auf dem eigenen Computer ist es wichtig, der
    weitern Verbreitung entgegen zu wirken. Dazu gehört ein Hinweis an den
    Absender der erhaltenen Kopie, dass sein Computer ebenfalls eine
    Wurmkur braucht. Die Ermittlung bzw. Kontaktierung des Absenders ist
    Inhalt dieses Abschnittes, v.a. bei Hybris ist das gar nicht so einfach.

    Da die neueren Würmer als Hintertür eine Fernwartungssoftware
    installieren, ist es mit einem großen Risiko verbunden, einfach
    nur den Wurm selbst zu löschen, ohne das System komplett neu
    aufzusetzen. In der Zwischenzeit könnte jemand veränderte Versionen
    der Standard-Programme installiert haben, die dir eine heile
    Welt vorspielen.
    ==> http://cert.uni-stuttgart.de/ticker/article.php?mid=487

    Es gibt folgende Möglichkeiten (siehe auch den Abschnitt 2):

    - Du kannst einen Filter z.B. auf den Absender setzen
    . (hahaha@5exyfun.net oder <>, wobei leider das ´<>´ meist nicht drin
    . steht.).

    . Achtung: Filtere bitte _nicht_ auf das ´<>´ im _Envelope-Sender_!

    . Info von Frank Ziemann:

    . Zum Filtern von Hybris-Mails kannst du auch den MIME-Trenner
    .. ----VE
    . verwenden.
    . Der kommt in Hybris-Mails immer vor. Bei ca. 500 Hybris-Mails, die
    . bei Frank angekommen sind, war eine mit ´----VE´, die keine
    . Hybris-Mail war.

    - Besser ist jedoch, wenn du wie folgt vorgehst:
    . Versuche, den Mailprovider zu ermitteln, indem du den Header
    . analysierst. Eine gute Anleitung dazu steht im regelmäßig
    . am 15. jeden Monats geposteten Artikel

    . [FAQ] E-Mail-Header lesen und verstehen (yyyy-mm-dd)

    . bzw. im WWW unter < http://www.th-h.de/faq/headrfaq.html >
    . (auf die der Pointer
    . [Pointer] E-Mail-Header lesen und verstehen
    . hinweist).

    . Erst dieser Provider kann den für dich unbekannten Kunden
    . identifizieren, und diesen auf seinen Virenbefall aufmerksam machen.

    - Vielleicht ist dir der Absender der Hybris-Mails aber aus deinem
    . sonstigen Mailverkehr bekannt, so dass du ihn selbst warnen kannst.
    . Das kannst du feststellen, indem du normale Mails aus der Zeit vor
    . und nach dem Hybris-Einschlag analysierst. Wenn eine Mail ähnliche
    . Received:-Header wie die Hybris-Mail enthält und zudem das HELO im
    . untersten Received:-Header gleich ist, ist der Absender
    . wahrscheinlich derselbe.

    - Wenn dir der Absender einen "W32"-er mit bekannter Adresse geschickt
    . hat, kannst du die Warnung an die angegebene E-Mail-Adresse senden.
    . Weitere Hinweise dazu stehen im Abschnitt 2.
    . Beachte dabei die dort genannten Besonderheiten zum Magistr.

    - Im Zweifelsfalle niemals den Anhang öffnen, sondern die Mail
    . gleich löschen (das kann auch nach der zuvor durchgeführten
    . Analyse geschehen). Das gilt auch, wenn du verdächtige Mails
    . von bekannten Absendern bekommst bzw. diese verdächtige
    . Anhänge enthalten.



  2.  
    Anzeige

Ähnliche Themen

  1. Rückmeldung von E mails
    Von eber im Forum Computer-Board
    Antworten: 5
    Letzter Beitrag: 03.07.10, 10:21
  2. E Mails verschicken
    Von Tschaang-Frank im Forum Computer-Board
    Antworten: 4
    Letzter Beitrag: 11.06.08, 20:33
  3. Mails verschicken
    Von Tschaang-Frank im Forum Computer-Board
    Antworten: 2
    Letzter Beitrag: 19.05.07, 20:00
  4. Bilder in E-Mails
    Von Tschaang-Frank im Forum Computer-Board
    Antworten: 24
    Letzter Beitrag: 27.01.07, 17:39