-----------------------------------------------------------------------------
+                                                                           +
+  AAAAA  AAAAA  AAAAA  AAAAA  A      AAAAA  A   A  A  AAAAA  AAAAA  AAAAA  +
+  A   A  A        A    A   A  A      A   A  A   A  A  A        A    A   A  +
+  AAAAA  AAAAA    A    AAAAA  A      AAAAA  A   A  A  AAAAA    A    AAAAA  +
+  A   A      A    A    A   A  A      A   A   A A   A      A    A    A   A  +
+  A   A  AAAAA    A    A   A  AAAAA  A   A    A    A  AAAAA    A    A   A  +
+                                                                           +
-----------------------------------------------------------------------------
+  Date   : Mai 2000                                                        +
+  Title  : Windows NT/2000 richtig absichern: ILOVEYOU                     +
+  Source : http://www.AstaLaVista.com                                      +
-----------------------------------------------------------------------------
http://www.infosec.ch
------------------------------------------------------------------------------
Schlupfloecher fuer Viren im DFUe-Netzwerk stopfen: Der Virus dringt ueber unsichere Internet-Einstellungen in ihr System ein
------------------------------------------------------------------------------
Ein neuer Virus namens "Firkin" sucht gezielt nach PCs, deren Festplatte fuer das Internet freigegeben und kopiert sich in Eigenregie auf solche Rechner. In Europa konnte sich der recht schaedliche Virus bis anhin nicht verbreiten. Das Auftauchen einer lokalisierten Variante kann aber nicht ausgeschlossen werden. Deshalb und aus grundsaetzlichen Ueberlegungen lohnt es sich, alle unbenoetigten Protokolle und Dienste aus der DFUe-Konfiguration zu loeschen.
Damit "Firkin" und andere Uebeltaeter vor verschlossener Tuere stehen, rufen Sie die Systemsteuerung auf und waehlen Sie "Netzwerk". Ist Ihr Computer nicht in einem lokalen Netz eingebunden, sollte der DFUe-Adapter nur mit "TCP/IP" verbunden sein. Notwendig ist also der Eintrag "TCP/IP->DFUe-Adapter", die Eintraege "NetBEUI->DFUe-Adapter" und "IPX/SPX->DFUe-Adapter" koennen, falls vorhanden, bei Heim-PCs entfernt werden. Waehlen Sie dann den Eintrag "TCP/IP->DFUe-Adapter" und klicken Sie auf "Einstellungen". Im Reiter "Bindungen" deaktivieren Sie die Optionen "Client fuer Microsoft-Netzwerke" und "Datei- und Druckerfreigabe". Beenden Sie die Konfiguration wie Windows es wuenscht, wobei Sie allfaellige Warnmeldungen uebergehen duerfen.
Quelle: Tages-Anzeiger, 10. April 2000


------------------------------------------------------------------------------
Neueste Loveletter-Variante loescht Windows-Verzeichnis: Experten sprechen von neuem Wurm
------------------------------------------------------------------------------
Der neueste Mutant des "ILOVEYOU"-Wurms scheint gefaehrlicher zu sein als urspruenglich angenommen: "Friendmessage" verschickt sich ueber Outlook und loescht das gesamte Windows-Verzeichnis. Der Quelltext des urspruenglichen VB-Skriptes wurde dabei so stark abgeaendert, dass die Virenexperten von einem neuen Wurm sprechen. 
Vorsicht ist geboten bei E-Mails mit der Betreffzeile "FRIEND MESSAGE". Im Mail steht nur der Satz "A real friend send this message to you", angehaengt ist die Datei "FRIEND_MESSAGE.TXT.vbs." Im Gegensatz zu seinem Mutterwurm begnuegt sich Friendmessage nicht mit dem ueberschreiben von Dateien und Herunterladen von ".exe"-Files aus dem Web. Der neue Virus loescht saemtliche Dateien im Windows-Verzeichnis eines Rechners, inklusive /system und /temp. Angeblich verbreitet er sich aber nicht so rasch wie ILOVEYOU. 
Der Virus wird nur aktiv, wenn Windows Scripting Host aktiviert ist und benutzt Outlook, um sich weiter zu verbreiten. Im Gegensatz zum Lovebug-Virus kann er sich nicht per IRC fortpflanzen. Wie bei allen Loveletter-Varianten gilt: Die Mail ungeoeffnet loeschen.
Quelle: Zdnet, 10. Mai 2000


------------------------------------------------------------------------------
Nach ILOVEYOU mehr Sicherheitsbewusstsein: Zunahme befuerchtet
------------------------------------------------------------------------------
Als Reaktion auf Beeintraechtigungen durch den "ILOVEYOU"-Angriff wollen fast 40 Prozent der deutschen Unternehmen ihre Sicherheitsvorkehrungen an den firmeneigenen PCs verbessern. Das ergab eine Umfrage des Forschungs- und Beratungsunternehmens MediaTransfer in Hamburg.
Befragt worden waren 1250 Personen mit einem Computer am Arbeitsplatz. Zwei Drittel von ihnen gaben an, fuer die Zukunft eine deutliche Zunahme der Probleme mit Computerviren zu befuerchten. Diese Sorge bestehe zu Recht, so MediaTransfer: Fast 40 Prozent der Befragten hatten angegeben, dass in ihren Betrieben an E-Mails angehaengte Dateien ohne besondere Vorsichtsmassnahmen von allen Mitarbeitern mit Internetzugang geoeffnet werden koennen.
Der E-Mail-Wurm "ILOVEYOU", der Anfang Mai ungezaehlte Computer weltweit erreicht hatte, fuehrte bei 21 Prozent der befragten PC-Nutzer in Deutschland zu Ausfaellen und Behinderungen. 6,2 Prozent gaben an, ihre Arbeit sei "ganz erheblich" behindert worden. In 1,8 Prozent der Faelle habe die Schadensbeseitigung mehr als drei Tage gedauert, so MediaTransfer.
Quelle: c't; www.heise.de, 11. Mai 2000


------------------------------------------------------------------------------
Windows NT/2000 richtig absichern: ILOVEYOU
------------------------------------------------------------------------------
Windows 2000 und NT haben Bugs bei der Dateitypen-Verwaltung. Das Bundesamt fuer Sicherheit in der Informationstechnik hat ein Fehlverhalten in Windows NT 4 (SP6a) festgestellt: Wenn ein Anwender ohne Administratorrechte in den Ordneroptionen die Verknuepfung des Dateityps ".vbs" mit dem Windows Scripting Host entfernt, erhaelt er zwar keine Fehlermeldung und der Eintrag scheint auch geloescht zu sein. Die Verknuepfung bleibt aber aktiv und ist beim naechsten oeffnen der Ordneroptionen auch wieder sichtbar. Nur Administratoren koennen die Dateierweiterungen ".vbs" und ".vbe" dauerhaft vom Windows Scripting Host trennen, um den riskanten Start solcher Skripte durch unachtsame Benutzer zu unterbinden. Die Sicherheitsinformationen fuer Registrierungsinformationen lassen sich mit regedt32 (einem speziellen Registry-Editor fuer Windows NT/2000) pruefen und aendern.
c't-Tests mit einem deutschen Windows-2000-System lieferten abstruse Ergebnisse: Jeder Hauptbenutzer kann ueber die Registry fuer das gesamte System die Assoziation von .vbs zum Scripting Host dauerhaft entfernen. Ein Umlenken von .vbe auf den Texteditor Notepad funktionierte hingegen nur fuer den Benutzer, der die aenderungen durchfuehrte - fuer andere Accounts war dieser Dateityp weiterhin mit dem Scripting Host verknuepft. Das testweise Loeschen der Assoziation von .txt auf den Notepad gelang zwar (der Eintrag war dauerhaft und fuer alle Benutzer entfernt), hatte aber keine Wirkung: .txt-Dateien wurden weiterhin im Notepad gestartet. Erst wenn ein beliebiger Hauptbenutzer eine neue (leere) Assoziation anlegte, blieben Textdateien fuer alle Anwender unverknuepft.
Die Sicherheitseinstellungen der Registry-Keys zeigten die Loeschberechtigung durch Hauptbenutzer erst in der "erweiterten" Darstellung; die einfache Anzeige bestaetigt lediglich, dass Hauptbenutzer Lesen duerfen, aber keinen Vollzugriff haben. Offenbar arbeitet Windows 2000 nur teilweise mit einem benutzerspezifischen Satz von Assoziationen, die sich aber nicht benutzerspezifisch loeschen lassen (zumindest nicht ueber die Ordneroptionen). Darueber hinaus scheinen fuer manche Dateierweiterungen an anderer Stelle zusaetzliche Informationen abgelegt zu sein, sodass Windows auch ohne eine Verknuepfung in den Ordneroptionen weiss, welches Programm fuer .txt zustaendig ist. Dieselbe Information scheint fuer das Wiederherstellen geaenderter Eintraege zur Verfuegung zu stehen.
Quelle: c't; www.heise.de, 11.Mai 2000


------------------------------------------------------------------------------
Vier Schritte gegen "Loveletter": Die dringendsten Massnahmen
------------------------------------------------------------------------------
Ein paar Minuten Vorsorge sind besser als stundenlange, frustrierende Reparaturarbeiten und verlorene Daten. Die vier einfachen Schritte schuetzen gegen die "ILOVEYOU"-Wurm-Epidemie.
1. oeffnen Sie keine E-Mail mit einer der folgenden Betreffzeilen: 
ILOVEYOU 
Susitikim shi vakara kavos puodukui... 
fwd: Joke 
Mothers Day Order Confirmation 
Dangerous Virus Warning 
Important! Read carefully!! 
I Can't Believe This!!! 
Bewerbung 
Dahinter verbirgt sich der ILOVEYOU-Wurm. Wenn Sie eine dieser Nachrichten erhalten, loeschen Sie sie sofort, ohne sie zu oeffnen. 
2. Kontaktieren Sie die Person, von der sie die Mail erhalten haben, damit diese den Wurm ebenfalls eliminieren kann. 
3. Laden Sie das Gegenmittel zum "ILOVEYOU"-Virus herunter, das den Virus erkennt und aus dem System entfernt. Ausserdem sollten Sie immer eine Anti-Virus-Software auf Ihrem Rechner haben und diese regelmaessig updaten. 
Dazu eine goldene Regel: oeffnen Sie niemals E-Mail-Anhaenge, ohne sie zuvor von einem Virenscanner untersuchen zu lassen. Darueber hinaus sollten Sie keine Anhaenge von unbekannten Absendern oeffnen; sie enthalten oft Viren und Wuermer. 
4. Wenn Sie Visual Basic scripting nicht fuer Ihre taegliche Arbeit brauchen, sollten Sie es auf jeden Fall deaktivieren.
Quelle: www.zdnet.de; 10. Mai 2000