Sonderausgabe des Computergenealogie Newsletters

Liebe Leserinnen und Leser,

aus aktuellem Anlaß verschicken wir heute einen Sondernewsletter. Seit einigen Tagen ist ein gefährlicher Virus im Umlauf. Inzwischen sind die Redaktion und auch viele Mailinglistenbetreuer des Vereins für Computergenealogie schon mehrfach darauf angesprochen worden, daß angeblich über die Listen oder auch von Mitgliedern des Redaktionsteams Viren verschickt wurden. Dies ist nicht der Fall! Wir möchten Sie deshalb an dieser Stelle über den Virus informieren und mögliche Hilfestellungen geben.

Virenwarnung: Neuer Virus im Umlauf!

Virenwarnungen bekommt man relativ oft zugeschickt. Nicht immer beruhen diese auf Tatsachen, es sind vielfach so genannte Hoaxes (= Scherz, Schwindel). In diesem Fall ist die Warnung aber ernst und zutreffend. Bitte lesen Sie sie daher aufmerksam. W32.Bugbear@mm ist seit einigen Tagen im Umlauf und bereits weit verbreitet. Ahnunglose Empfänger halten die ihnen zugeschickten Mails mit Anhang für harmlos, öffnen den Anhang und verbreiten den Virus auf diese Weise weiter. Wie bei einigen seiner Vorgänger kann dafür schon die Ansicht im Vorschau-Fenster von Microsofts Outlook Express ausreichen. Der Betreff der Mail ist beliebig, häufig entnommen aus einer alten Mail einer Mailingliste. Dadurch kann sogar der Anschein erweckt werden, daß er über eine genealogische Mailingliste verschickt wurde. Der Anhang trägt einen beliebigen Namen, hat keine bis mehrere Dateiendungen und ist im allgemeinen 49.5 kB groß.

"Bugbear" verbreitet sich über Massenmail und Netzwerkfreigaben. Der Wurm besitzt Eigenschaften eines Trojanischen Pferdes, indem er den TCP Port 36794 öffnet. Er versucht außerdem Antiviren- und Firewallsoftware zu beenden. Er tarnt sich sehr gut; der Absender ist gefälscht, wobei auch noch die Domain frei verändert wird. Der tatsächliche Absender ist nur aus den Received:-Zeilen im (normalerweise versteckten) Nachrichtenkopf zu ermitteln oder aus der ebenfalls dort befindlichen X-Sender:-Zeile, die es bei T-Online-Kunden gibt.

Die Warnung des Verursachers scheidet damit leider zumeist aus - es bleibt höchstens die Beschwerde an den Provider (sofern man Kopfzeilen analysieren kann; einerseits ein schweres Geschoß als erster Schritt, andererseits hat der Verursacher u. U. sonst überhaupt keine Chance zu merken, was er tut!).

Weitere Informationen unter:
deutsch:
BSI
Sophos
TrendLabs
englisch:
VIL
Symantec
KAV
Symantec bietet außerdem ein Werkzeug zum Entfernen des Virus an.

Zum Schluß noch ein Hinweis in eigener Sache:
Die genealogy.net-Mailinglisten sind so eingestellt, daß keine Anhänge (auch keine HTML-formatierten E-Mails) über die Listen verschickt werden können. Sie können also über genealogy.net-Mailinglisten keine Viren erhalten! (gs/kpw)