[FAQ] Hybris & Co. und ´merkwuerdige Mails´

Diskutiere [FAQ] Hybris & Co. und ´merkwuerdige Mails´ im Computer-Board Forum im Bereich Diverses; Hey @all Vielleicht hilft diese FAQ zu "Mail-Würmern" einige klarheiten zu beseitigen. Gefunden und kopiert aus -de.admin.net-abuse.mail- Der...
Visitor

Visitor

Senior Member
Themenstarter
Dabei seit
15.11.2000
Beiträge
1.093
Reaktion erhalten
0
Ort
Berlin
Hey @all

Vielleicht hilft diese FAQ zu "Mail-Würmern" einige klarheiten zu beseitigen.
Gefunden und kopiert aus -de.admin.net-abuse.mail-

Der Visitor

[hr:b7ad750f96]

                Hybris & Co. und "merkwürdige Mails"
                ====================================

1. Einleitung
2. Merkmale der bekanntesten und hartnäckigsten Würmer
3. Wie verbreiten sich die Würmer
4. Abhilfemaßnahmen

1. Einleitung
=============

Bereits seit November 2000 wurde immer wieder berichtet, dass man eine
Mail mit merkwürdigen Anhang bekommen habe.

Während die ersten Varianten noch relativ einfach am Subject (Betreff)
erkennbar waren (siehe Abschnitt 2), sind neuere Versionen so schlau,
dafür variable Texte zu verwenden. Auch die (angeblichen) Absender sind
mittlerweile kein sicheres Unterscheidungsmerkmal mehr, da die
verschiedenen Würmer unterschiedlich arbeiten.

Die einzige sichere Gemeinsamkeit aller Mailwürmer ist, daß sie ein
Programm enthalten, das gestartet werden muß.  Den bisherigen Würmern
wie Hybris, SirCam oder Magistr liegt es als angehängte Datei mit
unterschiedlichen Namen bei.

Daraus ergibt sich aber schon eine triviale Abhilfe: Stell Dein
Mailprogramm so ein, daß es angehängte Dateien nicht startet, und
starte Anhänge auch nicht von Hand!

Außerdem solltest du regelmäßig beim Herstellers deines
Mail-Programmes nach Sicherheitspatches schauen. Alte, aber
noch stark verbreitete Version von Outlook Express haben
einen Bug, der sich zum automatischen Starten eines
Attachments ausnutzen lässt:

|<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
|</iframe></BODY></HTML>
|--====_ABC0987654321DEF_====--
|
|--====_ABC1234567890DEF_====
|Content-Type: audio/x-wav;
|        name="HUMOR.MP3.scr"
|Content-ID: <EA4DMGBP9p>

Mit dem IFrame wird der Anhang in die HTML-Darstellung eingebunden und
alte OE hält das auf Grund von "Content-Type: audio/x-wav" für sicher.
Die Betriebssystemfunktion, die das Programm zur Wiedergabe von
"humor.mp3.SCR" starten soll, erkennt die Datei allerdings
richtigerweise als Bildschirmschoner und startet das umbenannte
Programm.

2. Merkmale der bekanntesten und hartnäckigsten Würmer
======================================================

a) Hybris
Die ersten, immer noch in Umlauf befindlichen Varianten werden Hybris
genannt und lassen sich an folgenden Merkmalen erkennen:

- Das Subject enthält "Snowhite and the seven dwarfs - the real story"
  oder dasselbe auf Spanisch, Französisch oder Portugiesisch und der
  Absender ist <hahaha@sexyfun.net>

    Die Email hat z.B. folgende zufällig ausgewählte Anhänge:
    dwarf4you.exe, joke.exe, midgets.scr, u.a. (23 - 25 kB groß)

Oder:
- Das Subject ist leer oder enthält einen nachträglich eingefügten
  Text, der dies aussagt, etwa "<no subject>", "[kein Betreff]" o.ä.,
  und der Absender ist ebenfalls leer oder heißt MAILER-DAEMON (das
  wird manchmal eingefügt, wenn ein Absender fehlt)

    Der Anhang dieser Email hat 8-buchstabige Zufallsnamen, bei denen
    die ersten beiden und die letzten beiden Buchstaben vor dem Punkt
    gleich sind.

  Inhalt der Mail ist ein kurzer Text über Schnewittchen
  und ein Anhang, der den Wurm enthält. Der Anhang hat verschiedene
  Namen, endet aber immer auf .exe und ist damit als auführbares
  Programm zu erkennen.

b) SirCam
Eine neuere Variante ist SirCam, der unter anderem an einem Dateinamen
im Subject erkennbar ist. Der Name wurde zusammen mit der zufällig
ausgewählten zugehörigen Datei vom Rechner des Absenders gestohlen und
ist mit dem Wurm zusammen als Anhang enthalten.

Die "gestohlene" Datei hat eine Größe von bis zu mehreren MB.

Der Anhang hat eine Doppelendung, wobei die erste Endung die der
Originaldatei ist (.doc, .xls oder ähnliches) und die zweite
.BAT, .COM, .EXE, .LNK oder .PIF heißt. (Beispiel: Beispiel.doc.COM).
Diese Endungen sind bei Windows ausführbaren Programmen zugeordnet
und werden von einigen Programmen standardmäßig ausgeblendet. Dadurch
wird - für den Benutzer kaum erkennbar - der Anhang beim Anklicken
als Programm gestartet, der Wurm installiert sich und extrahiert
anschließend die ursprüngliche Datei aus sich heraus und übergibt sie
dem System zum Öffnen.  Es hat also den Anschein, als ob ganz normal
die Datei geöffnet wurde.

Als Absender steht in dieser Variante der tatsächliche Versender, der
meist gar nichts von seinem "Glück" weiß.  Man kann ihn also auf das
Problem hinweisen und eine Weiterverbreitung zu vermeiden helfen.

    Außer dem Anhang enthält die Mail nur noch
    die Anrede "Hi! How are you?" oder "Hola como estas ?"
    und einen allgemein gehaltenen Hinweis auf die angehängte Datei.

c) Magistr

Magistr ist schwer zu identifizieren, da er fast alles an der Mail
variabel gestalten kann.  Er benutzt u.a. Bruchstücke aus Dateien auf
dem Computer des Absenders als Text, hängt evtl. mehrere Dateien an die
Mail an und benutzt variable Subjects.  Im Reply-To:-Header steht oft
die Adresse des Besitzers des infizierten Computers, allerdings ist ein
Buchstabe verfälscht.  Ist klar erkennbar, welcher Buchstabe geändert
wurde, kann man selbst Kontakt aufnehmen.

d) Badtrans und Nimda

Unter
http://www.tu-berlin.de/www/software/virus/aktuell.shtml#nimda.a
http://www.pcwelt.de/ratgeber/viren_co./virenlexikon/18974/
und
http://www.bsi.de/antivir1/virenbeschreibungen/nimda.htm (Nimda)
bzw. unter
http://cert.uni-stuttgart.de/ticker/article.php?mid=599
http://www.bsi.de/antivir1/virenbeschreibungen/badtransb.htm
und
http://www.pcwelt.de/news/viren_bugs/20429/ (Badtrans)
kannst du dich darüber informieren, was dieser lästige Wurm anstellt
und wie du ihn wieder loswerden kannst. Tools zur direkten Entfernung
findet man mit etwas Glück unter
http://www.bitdefender.com/html/free_tools.php .

Zum Schutz vor weiteren Infektionen empfiehlt es sich dringend, unter
Extras\Optionen\Sicherheit
die Sicherheitseinstellungen von Outlook Express auf die "Zone für
eingeschränkte Sites" zu stellen, und in dieser über die
Internetoptionen des Internet Explorers das Active Scripting
abzuschalten. Wie das geht, steht erklärt die OE-FAQ unter
http://oe-faq.de/tippsantworten.htm#1.07 . Außerdem sollten die
aktuellen Patches von Microsoft installiert werden.
Unter
http://www.microsoft.com/windows/ie/downloads/critical/q290108/default.asp
ist der für die aktuelle Sicherheitslücke zuständige Patch zu finden.
Als letztes sollte man natürlich *keine* Attachments aus unbekannten
Quellen öffnen, ohne sicher zu sein, daß man selber bzw. der Absender
weiß, was er da tut. Unter
http://www.heise.de/ct/antivirus/emailcheck/
kannst Du übrigens überprüfen, ob Deine Einstellungen sicher sind.
Das hilft zwar jetzt zunächst wenig, da die Infektion bereits geschehen
ist.
In Zukunft sollte dies aber dabei helfen, solche Vorfälle zu
vermeiden.


Nochmal zur Erinnerung: Alle Viren-Emails haben ausführbare Anhänge,
vor deren Öffnung dringend gewarnt wird!

Nähere Informationen gibt es auch unter den folgenden Links:

Die Funktionsweise des Hybris ist ausführlich z.B. auf
http://hoax-info.de/va
beschrieben.

Weitere gute Quellen:
http://www.norman.no/de/virus_info/w32_hybris.shtml bzw.
http://www.norman.no/ch/virus_info/w32_hybris.shtml
(mit Links zu Informationen über Sircam und andere Varianten!)
http://hoax-info.de/hybris.html
http://www.uni-tuebingen.de/zdv/faq/misc/viren/aktuelle-viren.html

http://www.fz-net.com/www/software/     (komplett) 
http://www.vhm.haitec.de/www/software/  (nur Viren- und Hoax-Infos)

sind die einzigen autorisierten Mirror von
http://www.tu-berlin.de/www/software/ 

und werden beide von Frank Ziemann selbst gepflegt. 

Weitere Quellen:

die Seiten von NAI.com
http://www.nai.com/international/germany/ (deutsch/englisch)
http://www.avp.ch/avpve/worms/email/hybris.stm (auf Englisch)
und
http://www.sexyfun.net (ebenfalls auf Englisch und _keine_ Sex- oder
Porno-Seite, sondern /nur/ wegen dem Hybris-Wurm ins Netz gestellt)

3. Wie verbreiten sich die Würmer
=================================

Die beschriebenen Würmer sind nach dem Start des Anhangs relativ
selbstständig. Sie brauchen kein bestimmtes Mailprogramm, um sich
weiterzuverbreiten, sondern können selbst Kontakt mit Mailservern
aufnehmen und sich verschicken.

Bleibt die Frage, wie sie an die Adressen der potenziellen Empfänger
kommen. Hybris klinkt sich dazu in den Datenstrom ein, der über die
Netzanbindung läuft, und sucht nach Textfragmenten, die wie Mailadres-
sen aussehen, SirCam durchsucht Adreßbücher und das Cache des Browsers.

Es sollte offensichtlich sein, dass so nicht nur Adressen von Bekannten
und Freunden gefunden werden, Du kannst den Wurm auch von Leuten
erhalten, die gerade deine Website besucht oder einen Artikel von dir
gelesen haben. Etwas Böses wollen dir die Absender sicherlich nicht,
im Regelfall waren sie nur so unvorsichtig, den Anhang einer bei ihnen
eingetroffenen Wurm-Mail zu öffnen. Allerdings sollte dich das nicht
davon abhalten, sie über ihr Wurmproblem aufzuklären.

Besonderheiten des Magistr:
Magistr verschickt sich an Adressen aus dem Adressbuch und aus Mailbox-
Dateien von Outlook Express und Netscape. Die Chancen stehen also gut,
daß man den Absender kennt oder zumindest ihm bekannt ist.

4. Abhilfemaßnahmen
===================

Neben der Virusbeseitigung auf dem eigenen Computer ist es wichtig, der
weitern Verbreitung entgegen zu wirken. Dazu gehört ein Hinweis an den
Absender der erhaltenen Kopie, dass sein Computer ebenfalls eine
Wurmkur braucht. Die Ermittlung bzw. Kontaktierung des Absenders ist
Inhalt dieses Abschnittes, v.a. bei Hybris ist das gar nicht so einfach.

Da die neueren Würmer als Hintertür eine Fernwartungssoftware
installieren, ist es mit einem großen Risiko verbunden, einfach
nur den Wurm selbst zu löschen, ohne das System komplett neu
aufzusetzen. In der Zwischenzeit könnte jemand veränderte Versionen
der Standard-Programme installiert haben, die dir eine heile
Welt vorspielen.
==> http://cert.uni-stuttgart.de/ticker/article.php?mid=487

Es gibt folgende Möglichkeiten (siehe auch den Abschnitt 2):

- Du kannst einen Filter z.B. auf den Absender setzen
  (hahaha@sexyfun.net oder <>, wobei leider das ´<>´ meist nicht drin
  steht.).

  Achtung: Filtere bitte _nicht_ auf das ´<>´ im _Envelope-Sender_!

  Info von Frank Ziemann:

  Zum Filtern von Hybris-Mails kannst du auch den MIME-Trenner
   ----VE
  verwenden.
  Der kommt in Hybris-Mails immer vor. Bei ca. 500 Hybris-Mails, die
  bei Frank angekommen sind, war eine mit ´----VE´, die keine
  Hybris-Mail war.

- Besser ist jedoch, wenn du wie folgt vorgehst:
  Versuche, den Mailprovider zu ermitteln, indem du den Header
  analysierst. Eine gute Anleitung dazu steht im regelmäßig
  am 15. jeden Monats geposteten Artikel

  [FAQ] E-Mail-Header lesen und verstehen (yyyy-mm-dd)

  bzw. im WWW unter < http://www.th-h.de/faq/headrfaq.html >
  (auf die der Pointer
  [Pointer] E-Mail-Header lesen und verstehen
  hinweist).

  Erst dieser Provider kann den für dich unbekannten Kunden
  identifizieren, und diesen auf seinen Virenbefall aufmerksam machen.

- Vielleicht ist dir der Absender der Hybris-Mails aber aus deinem
  sonstigen Mailverkehr bekannt, so dass du ihn selbst warnen kannst.
  Das kannst du feststellen, indem du normale Mails aus der Zeit vor
  und nach dem Hybris-Einschlag analysierst. Wenn eine Mail ähnliche
  Received:-Header wie die Hybris-Mail enthält und zudem das HELO im
  untersten Received:-Header gleich ist, ist der Absender
  wahrscheinlich derselbe.

- Wenn dir der Absender einen "W32"-er mit bekannter Adresse geschickt
  hat, kannst du die Warnung an die angegebene E-Mail-Adresse senden.
  Weitere Hinweise dazu stehen im Abschnitt 2.
  Beachte dabei die dort genannten Besonderheiten zum Magistr.

- Im Zweifelsfalle niemals den Anhang öffnen, sondern die Mail
  gleich löschen (das kann auch nach der zuvor durchgeführten
  Analyse geschehen). Das gilt auch, wenn du verdächtige Mails
  von bekannten Absendern bekommst bzw. diese verdächtige
  Anhänge enthalten.
 
Thema:

[FAQ] Hybris & Co. und ´merkwuerdige Mails´

[FAQ] Hybris & Co. und ´merkwuerdige Mails´ - Ähnliche Themen

  • Technische FAQ

    Technische FAQ: Threads fuer persönliche Schreibrechte nachträglich anlegen. Das können wir alle: - klicken und Thread ins Literarische verschieben - klicken...
  • Für Neugierige auf Vista - FAQ

    Für Neugierige auf Vista - FAQ: Für alle Neugierige und ihre Fragen zum Thema: Vista - Ja oder Nein Windows Vista FAQ: die Antworten zu allen Fragen (Teil 1) Quelle...
  • Nittaya FAQ

    Nittaya FAQ: Hallo, ich verwendere des öfteren zum Nachschlagen das freie Onlinelexikon Wikipedia (http://de.wikipedia.org). Das tolle an Wikipedia ist,das...
  • FAQ Thai-deutsche Heirat

    FAQ Thai-deutsche Heirat: Es ist schon wieder sozusagen ein Besuchervisum her, daß meine Freundin da war und ich bin mal wieder am Recherchieren, wie man die Sache etwas...
  • FAQ Thai-deutsche Heirat - Ähnliche Themen

  • Technische FAQ

    Technische FAQ: Threads fuer persönliche Schreibrechte nachträglich anlegen. Das können wir alle: - klicken und Thread ins Literarische verschieben - klicken...
  • Für Neugierige auf Vista - FAQ

    Für Neugierige auf Vista - FAQ: Für alle Neugierige und ihre Fragen zum Thema: Vista - Ja oder Nein Windows Vista FAQ: die Antworten zu allen Fragen (Teil 1) Quelle...
  • Nittaya FAQ

    Nittaya FAQ: Hallo, ich verwendere des öfteren zum Nachschlagen das freie Onlinelexikon Wikipedia (http://de.wikipedia.org). Das tolle an Wikipedia ist,das...
  • FAQ Thai-deutsche Heirat

    FAQ Thai-deutsche Heirat: Es ist schon wieder sozusagen ein Besuchervisum her, daß meine Freundin da war und ich bin mal wieder am Recherchieren, wie man die Sache etwas...
  • Oben