Impressum Copyright Datenschutz Danksagung Banner Kontakt
EMailwürmer (2)
Allgemeines
Startseite
Warum PC-Sicherheit
Wichtige Verweise
Nützliche Software
Glossar
Die Gefahren
Aktive Inhalte
Backdoors
EMails
EMailwürmer
Faktor Mensch
Hacker
Hoaxes
Newsgroups
Phishing
Pharming
PhoneHome
Ransomware
Rootkits
Social Engineering
Spam
Spoofing
Spyware
Tauschbörsen
Trojaner
Viren
Visual Spoofing
Webbugs
Webseiten
Würmer
Die Verteidigung
Die Checkliste
Richtig konfigurieren
Windows aktualisieren
Software aktualisieren
Antivirenprogramme
Entfernungsprogramme
Sicherungskopien
Der Webbrowser
Umgang mit dem Web
Datenaustausch
DSL Router
Infektionswege erkennen
Die Infektion erkennen
Der Fall der Fälle
Viren halten sich
Kinder- und Jugendschutz
Gefährdungen
Was Eltern tun können
Technische Möglichkeiten
Inhaltsfilterprogramme

EMailwürmer

Neben der Dateierweiterung des Anhangs ist der Betreff der EMail ein wichtiger Indikator. Da der Privatanwender vor allem über seine Brieftasche "angreifbar" ist, werden Schadprogramme oftmals über gefälschte Rechnungen verbreitet. Ob es sich hier um eine Amazon-Bestellung, die Abrechnung über die Ebay-Gebühren oder den Großeinkauf bei IKEA handelt, spielt keine Rolle. Allein der in der EMail angegebene Rechnungsbetrag von oftmals mehreren hundert Euro genügt bei vielen Anwendern, jede Vorsicht zu vergessen. Zu spät merken die Betroffenen, daß sich im Anhang der EMail kein PDF-Dokument mit den Rechnungsdetails befand.

Doch es muß nicht immer die gefälschte Rechnung sein. Leider jedoch unterscheiden sich die verwendeten Betreff-Texte ungemein. Einige Beispiele vergangener Schadprogramme finden Sie im Folgenden. In Klammern finden Sie hinter den jeweiligen Einträgen den Namen des Wurms, der seinerzeit diesen Betreff verwendet hat.

Video Clip (Nyxem)
Registration confirmation (Bagle)
Mail Delivery System (MyDoom)
Mail Transaction Failed (MyDoom)
Ich habe Ihre E-Mail bekommen! (Sober)
Ihr neues Passwort (Sober)
I've got YOUR EMail on my account!! (Sober)
Sie besitzen Raubkopien (Sober)
EBay Auctions <responder@ebay.com> (Netsky)
Re: Here is the document (Netsky)

Sehr häufig werden EMailwürmer über EMails verbreitet, deren Betreff und Text erotische Inhalte betreffen. Ebenso häufig finden sich EMails, die eine Fehlermeldungen über eine nicht zustellbare EMail nachbilden.
Sehr erfolgreich war der EMailwurm Sober.P, der unter anderem mit angeblich dem Empfänger zugesprochenen Tickets für die Fussball-WM 2006 lockte. Ebenfalls weite Verbreitung fand Sober.Y, der sich im Anhang einer angeblich vom Bundeskriminalamt versendeten EMail befand.
Soll sich ein EMailwurm verbreiten, muß er nicht nur in einen gut getarnten Anhang verpackt und mit einem ansprechenden Betreff versehen werden. Auch der Text muß dem Anwender vorgaukeln, es mit einer authentischen EMail zu tun zu haben. Insbesondere die Autoren der Sober-Familie heben sich hier hervor.

Sehr geehrte Dame, sehr geehrter Herr,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP XXX.XXX.XXX.XXX erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt.

Aktenzeichen NR.:# (siehe Anhang)

Hochachtungsvoll
i.A. Juergen Stock

--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - 55 - 12331 oder
--- Tel.: +49 (0)611 - 55 - 0

So lautete der Text einer EMail, mit der sich Sober.Y verbreitete. Besonders perfide : sowohl der Name als auch die Anschrift sind real und müssen beim weniger erfahrenen Nutzer den Eindruck hervorrufen, es mit einer authentischen EMail zu tun zu haben. Meist jedoch haben Wurm-EMails nur kurze, in der Mehrzahl englische Texte. In der Regel wird in diesen ein oder zwei Sätzen intensivst auf den Anhang hingewiesen, damit dieser durch den Anwender auch wirklich geöffnet wird.

Häufig haben die EMailtexte erotischen oder pornografischen Charakter, weil sich die Wurmautoren davon besonders große Erfolge versprechen. Und leider haben sie mit dieser Einschätzung oftmals recht. Obwohl jedem Anwender klar sein müsste, daß sich in einem wenige Kilobyte großen Dateianhang kein komplettes Video verbergen kann und obwohl jedem Anwender bekannt sein müsste, daß niemand kostenlos und unerwartet pornografisches Material versendet, fallen tausende Nutzer auf diese doch recht simple Methode herein.

Zahlreiche Varianten

Eine Beobachtung, die man bei vielen solcher Schädlinge machen kann, ist die Vielfalt der Varianten, die in Umlauf gerät. Dies hat einen ganz einfachen Grund und stellt die Hersteller von Antivirenprogrammen sowie den Anwender vor ein großes Problem.

Durch die kurze Abfolge, in denen neue Varianten eines Wurmes erscheinen, wird es für die Hersteller von Antivirenprogrammen äußerst schwierig, die Signaturdatenbanken, also die Basis jeden Antivirenprogramms, aktuell zu halten. In diesen Signaturdatenbanken werden Informationen über charakteristische Merkmale jedes Schadprogramms gespeichert. Diese Signaturen benutzen die Antivirenprogramme, um sie mit den zu untersuchenden Dateien zu vergleichen. Werden nun von einem Wurm viele Varianten in kurzer Folge in Umlauf gebracht, können in vielen Fällen die neuen Formen eines Schädlings nicht erkannt werden, weil es noch keine entsprechende Signatur gibt.

Anscheinend setzen die Wurmschreiber nicht mehr auf die flächendeckende Verbreitung ihrer Werke. Denn nur dann, wenn ein Schädling eine bestimmte Zahl von Infektionen innerhalb eines bestimmten Zeitraumes erreicht, wird ihm überhaupt die ihm zustehende Beachtung geschenkt. Wer nicht auffällt, hat größere Chancen.

Gegenmaßnahmen

Um vor einem EMailwurm und seinen Folgen wirklich sicher zu sein, hilft nur eine gründliche Vorbeugung und eine solide Wissensbasis.
Wenn Sie eine EMail eines unbekannten Absenders erhalten, die einen Dateianhang enthält, denken sie lieber zweimal über die EMail nach. Anschließend denken Sie noch einmal nach.
  • Haben Sie kein Benutzerkonto bei Ebay, können Sie auch keine Rechnung erhalten. Haben Sie ein Ebay-Konto, vergewissern Sie sich, daß Sie in der angeblichen Ebay-EMail korrekt mir Vor- und Zunamen angesprochen werden.
  • Sie haben noch nie etwas bei Amazon bestellt? Worüber sollten Sie dann eine Rechnung erhalten?
  • Eine EMail mit einem erotischen Video? Wenn die EMail schnell geladen wurde, kann es wohl kaum ein Video sein, was da im Anhang steckt.
  • Sie haben keine illegale Software auf Ihren Rechner heruntergeladen? Dann dürfte sich das BKA oder gar das FBI (zumindest wenn es darum geht) wohl kaum für Sie interessieren.
  • Ein "heißes" Bild, welches auf "jpg.exe" endet? Nicht mehr als ein netter Versuch, Sie zu überrumpeln.
  • Eines elektronisch Nachrichten im schlechtes Deutsch? Wahrscheinlich von einem Computer übersetzt, um die "Zielgruppe" zu vergrößern.
Informieren Sie sich notfalls über die Merkmale dieser EMail, wenn nicht gleich ersichtlich ist, daß es sich um einen EMailwurm handelt. Versuchen Sie beispielsweise einmal, den Text des Betreffs der EMail in eine Suchmaschine einzugeben.

Wenn Sie unerwartet eine EMail von einem bekannten Absender mit einem Anhang bekommen, sollten Sie ebenfalls nicht sofort aktiv werden, insbesondere dann, wenn dieser Bekannte entgegen seiner Gewohnheit beispielsweise plötzlich eine EMail in englischer Sprache verfasst. Fragen Sie bei dem Absender notfalls nach, ob er Ihnen wirklich eine EMail geschrieben hat. Bitten Sie auch Ihre Kontakte, Ihnen grundsätzlich keine ausführbaren Dateien zu schicken und Word-Dokumente bitte vor dem Versand als RTF-Datei zu speichern.

Informieren Sie sich regelmäßig über die neuesten Schadprogramme. Die entsprechenden Nachrichten bieten Ihnen meist noch Zusatzinformationen über den Aufbau der entsprechenden EMails. Gute und aktuelle Hinweise finden Sie beispielsweise bei Heise-Security oder - bei größeren Ausbrüchen eines Wurms - auch beim Bundesamt für Sicherheit in der Informationstechnik BSI.

Bewahren Sie Ruhe

Wenn Sie eine EMail mit einem verdächtigen Anhang erhalten, gilt vor allem : Ruhe bewahren. Solange Sie den Anhang nicht öffnen und die darin enthaltene Datei ausführen, kann nichts passieren. Der im EMailanhang enthaltene Schädling ist nichts weiter als ein Computerprogramm und kann erst dann aktiv werden, wenn Sie dieses Programm eigenhändig starten.
[1]  [2] 
Netzwerke
Allgemeines
Datenpakete
Das TCP/IP-Protokoll
Das ICMP-Protokoll
Was ist ein Port?
Portscan
Linux
Linux - Jenseits von Microsoft
Was ist Linux
Die Vorteile von Linux
Auch Linux hat Nachteile
Was Sie wissen sollten
Software für Linux
Linux per Live-CD
Linux per VMware
Erste Schritte mit Linux
Erste Schritte mit Linux 2
In aller Kürze
Was ist ein Byte?
Was ist ein Botnetz?
Gute Passwörter?
Was ist ein Cookie?
Was ist ein Betriebssystem?
Was ist ein Zertifikat?
Was bedeutet "https"?
Was ist die HOSTS-Datei?
EMails
Umgang mit Emails
Email-Anhänge
Verweise in Emails
SIDES FST
SIDESforum
Berühmte Schädlinge
CIH
Loveletter
Michelangelo
Slammer
Sasser
Valid XHTML 1.0 "SIDES - Computersicherheit für Privatanwender" ist ein Projekt von Klaus Wockenfoth
Jetzt neu: Der aktuelle SEO-Contest für SommerSEO
Die Inhalte dieser Webseite unterliegen der Creative Commons Attribution-NonCommercial-NoDerivs 3.0 Germany 		Valid CSS