Board-Ansicht
Mix-Ansicht- Virus Warnung vor Viruswarnung - riwe, 20.02.2002, 07:32
Virus Warnung vor Viruswarnung
SPIEGEL ONLINE - 19. Februar 2002, 17:10
URL: http://www.spiegel.de/netzwelt/technologie/0,1518,183188,00.html
Warnung
"Yarner" - angebliche Virenwarnung ist ein Virus
Seit mehreren Stunden geht"Yarner" um, in diesem Jahr wohl der erste Wurm mit guten Verbreitungschancen in Deutschland. Als"Trojaner Info" warnt er vor Viren - und verseucht dabei die Rechner der Leser. Doch an dem Wurm ist so einiges seltsam.
[M] AP
Die meisten per E-Mail verbreiteten Viren sind relativ leicht durchschaubar: Sie locken mit"menschlichen Grundbedürfnissen", verraten sich durch krumme Rechtschreibung und plumpe Anmacherei."Yarner", den man in Deutschland treffender als"Trojaner Info" bezeichnen sollte, ist anders.
Yarner kommt daher, als wäre er ein ernster, sachlicher Newsletter:"Trojaner-Info Newsletter 18.02.02" hieß er gestern Nacht, seit heute wird er auch mit dem Datum 19.2. vertrieben. Und dann geht es sachlich weiter:"Willkomen zur neuesten Newsletter-Ausgabe der Webseite Trojaner-Info.de. Hier die Themen im Ueberblick: 01. YAW 2.0 - Unser Dialerwarner in neuer Version".
Dann geht es weiter, in gutem Deutsch und immer sachlich, am Ende sogar unterzeichnet von den zwei angeblichen Versendern: Thomas Tietz und Andreas Ebert.
Die betreiben tatsächlich die in der Mail verlinkte Security-Website"Trojaner-Info" - und wehren sich dagegen, Versender der Mail zu sein:
"Trojaner-Info.de verschickt kein"YAW 2.0"
Seit Montag den 18.02.2002 in den späteren Abendstunden hat eine uns unbekannte Person damit begonnen, E-Mails unter Angabe unserer Domain und Namen (Thomas Tietz & Andreas Ebert) mit einem Dateianhang (Name: yawsetup.exe) zu versenden.
Wir warnen jeden Empfänger davor diesen Dateianhang zu öffnen, da dieser unter Umständen den gesamten Datenbestand löschen und sich recht effektiv mittels einer Wurmfunktion verbreiten kann."
Das sehen inzwischen auch die Analysten der führenden Virenschutz-Unternehmen so.
Demnach ersetzt der Wurm nach seiner Aktivierung durch Klick auf das File-Attachment"yawsetup.exe" das Notepad-Programm, indem er sich selbst den dazugehörigen Namen"notepad.exe" gibt. Der Wurm erzeugt eine weitere exe-Datei mit einem willkürlichen Dateinamen. Danach versucht der Wurm, sich per Mail weiter zu verbreiten. Schlussendlich"vermüllt" Yarner die Festplatte des betroffenen Rechners.
Eindringliche Warnung:"Trojaner-Info"-Mail löschen. Attachment nicht öffnen.
Ein erstes Patch gegen"Yarner" findet sich auf der Download-Seite des britischen Virenschutz-Unternehmens Sophos. Kaspersky-Labs haben ein entsprechendes Patch bereits in ihre Software integriert und bieten darüber hinaus ein Update ein.
Die Methode ist nicht neu
Das Ganze erinnert frappant an einen Fall aus dem letzten Jahr, als der Virus"Ants" sich ebenfalls als"Newsletter" verbreitete - und vorgab, die neueste Programmentwicklung einer Sicherheits-Website zu sein. Auch"Yaw" ist tatsächlich eine Produktlinie der Website Trojaner-Info. Dieses Programm liegt in einer"Version 2.0" aber noch gar nicht vor - und die verspricht die Virenmail zu installieren.
Die Fallparallele sehen auch Thomas Tietz und Andreas Ebert:
"Es ist durchaus möglich, dass diese Mails durch eine Person verschickt worden sind, die unseren Newsletter selber abonniert hat. Die Mailsignatur lässt daraus schließen, da unsere aktuellen Statistikzahlen vom 16.02.2002 darin enthalten sind.
Lediglich der Mailtext entspricht nicht unserem Stil, und wir haben während unserer langjährigen Laufbahn noch niemals Dateien an unsere Newsletterempfänger und andere Personen verschickt.
Die angehängte Datei"yawsetup.exe", rund 440 Kilobyte groß, scheint nach ersten Analysen überaus aggressiv und gefährlich zu sein und erinnert stark an den ANTSET-Wurm im letzten Jahr."
So argumentierte im letzten Jahr auch Andreas Haak, nach eigener Aussage Geschädigter des"Ants"-Virus. Auch er ist in diesem Fall wieder involviert: Unter anderem besorgte er die erste Kurzanalyse des"Yarner".
Seine Analyse des Virus:
sieht sehr nach einer Variante von ANSET aus, gleiche Icon, teilweise ähnliche Routinen. Richtet jedoch jetzt erhebliche Schäden an.
beschreibt das gesamte System mit"Datenmüll", löscht nach einem Zufallsprinzip das gesamte Laufwerk, auf dem das Betriebssystem vorhanden ist.
erstellt eine Liste mit Servern und Mailadressen, die es im System gefunden hat (kerneI.daa und kerneI.das)
ersetzt notepad.exe durch eine Kopie von sich selber
versucht sich mittels zufälliger Dateinamen zu tarnen
Andreas Haak bekam im letzten Jahr mehrere Anzeigen, weil ihm unterstellt wurde, entweder Autor des Antset-Virus gewesen zu sein oder diesen sogar für eine recht brachiale Form der Eigenwerbung benutzt zu haben. Haak versicherte, dass dem nicht so sei. Mit ähnlichen Vorwürfen könnten sich schon bald auch Ebert und Tietz konfrontiert sehen. Eine telefonische Nachfrage war nicht möglich, weil entsprechende Kontaktdaten nicht angegeben werden.
Statt dessen steht im Impressum noch einmal ein"HINWEIS: Wir von Trojaner-Info werden niemals unaufgefordert Personen Programme oder sonstige Dateien per E-Mail übermitteln. Sollte jemand derartige E-Mails unter unserem Absender erhalten, bitte umgehend an uns weiterleiten und niemals den Dateianhang öffnen."
Das klingt wie eine Reaktion auf"Yarner", ist aber keine: Ein Blick in die vom Internet-Archiv"Wayback-Machine" indexierten Seiten zeigt, dass dieser ungewöhnliche Warnvermerk dort im August 2001 zwar noch nicht zu finden war. Am 17. Dezember 2001 findet sich der Vermerk jedoch wortwörtlich - nach"Antset", der ab Oktober 2001 verbreitet wurde.
Haak gibt an, noch immer unter den Nachwirkungen von"Antset" zu leiden:"Der Wurm ist keine Werbe- oder Marketingaktion von mir, sondern eine neue Form des Rufmords".
Dieser neuen Form des Rufmords sind nun offenbar auch Tietz und Ebert zum Opfer gefallen, die ihre"Yaw"-Software im Ãœbrigen in Kooperation mit Haak entwickelt haben und vertreiben. Vielleicht haben die drei ja einen gemeinsamen Feind.
Frank Patalong
--------------------------------------------------------------------------------
© SPIEGEL ONLINE 2002
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet AG
--------------------------------------------------------------------------------
Zum Thema:
In SPIEGEL ONLINE: · Stündlich frisch: Die Top 10 der weltweit verbreiteten Viren (20.09.2001)
http://www.spiegel.de/netzwelt/technologie/0,1518,158384,00.html
· Haaks Hilferuf:"Ich bin nicht der Verfasser des ANTS-Virus" (25.10.2001)
http://www.spiegel.de/netzwelt/technologie/0,1518,164458,00.html
Im Internet: · Kaspersky-Labs: Aktuelle Viren-Updates
http://www.kaspersky.com/updates.html
· Sophos: Patch gegen"Yarner"
http://www.sophos.com/downloads/ide/
· Trojaner Info
http://www.trojaner-info.de
--------------------------------------------------------------------------------
<center>
<HR>
</center>
Thread gesperrtgesamter Thread:
