Sicherheit im Kabelnetzwerk

Zehn Gebote für den Schutz der
elektronischen Privatsphäre im Breitband-Internet
über Kabelmodem, xDSL, ISDN & Co.

Aus deutschen Landen?
Frisches Ungeziefer: ANTS,
der PferdeWurmAmeisenVirus

Am 25. Oktober 2001, kurz vor null Uhr, erhielten wir eine Warnung von der Redaktion der Website Trojaner-Info.de mit einem Verweis auf nähere Informationen zum neuen Mass-Mailing-Virus:
      »Wurm gibt sich als ANTS 3.0 aus.
      Ein neuer Wurm verbreitet sich rasend schnell, der vorgibt, die neue Version 3.0 der Freeware ANTS (ein Antitrojaner-Scanner) zu sein. Nach ersten Erkenntnissen handelt es sich um einen Wurm, der sich selbstständig verbreitet und dabei das System des Anwenders nach Mail-Adressen durchsucht (auch Browsercache). Als Absender ist stets ›Andreas Haak‹ angegeben und somit gefälscht.«
      Auch bei uns gingen wurmstichige eMails dieser Sorte ein. Subject, Text, Absender und Name des Attachments sind immer gleich:

Bildschirmfoto: Mail-Programm mit ANTS-Virus-eMail
Also gilt wieder mal:

Solche eMails mit dem
Datei-Anhang ants3set.exe
sofort löschen!
Damit ist die Infektionsgefahr gebannt.

Keinesfalls das Attachment (Datei-Beilage) öffnen!
Nicht auf das Programm-Symbol des Datei-Anhangs doppelklicken.
Erst dadurch würde der Virus aktiviert.

Auf Trojaner-Info.de wird bereits im zweiten Absatz gemutmaßt: »Bei ANTS handelt es sich um einen Trojanerscanner, der als Freeware erhältlich ist und in zahlreichen Tests seine Leistungsfähigkeit recht eindrucksvoll unter Beweis stellen konnte. Doch scheint irgendjemand etwas gegen den großen Erfolg dieser Freeware zu haben.«

Hier gibt es eine Stellungnahme vom betroffenen Autor des (»richtigen«, »guten«) Antitrojaner-Scanners, Andreas Haak, mit Analyse und Software zum Entfernen (deutsch und englisch, gratis) vom gleichnamigen Wurm (ANTS gegen ANTS):
      http://www.avnetwork.de/ants/index.html
      http://www.akomm-hstollreiter.de/ants/antswurm.php
      http://www.akomm-hstollreiter.de/ants/stellungnahme.php

Er stellt fest: »Ich sehe den Wurm als Anschlag auf meine Person und auf ANTS.« Die Analyse dort lag sehr schnell vor (24. Oktober 2001, 15 Uhr 12) und ist recht detailliert. Fast könnte man sagen: Erstaunlich schnell und detailliert.
      Eigentlich hat der Virus-Wurm keine (bekannte) Schadwirkung, außer daß er sich geschickt selbst verschickt, auf ANTS, das Antivirus-Tool (gratis), aufmerksam macht, und ANTS, den Wurm (teuer), verbreitet. Falls er nicht entfernt wird, müllt er mit der Zeit das "Windows"-Verzeichnis zu, aber welches "Windows"-Programm tut das nicht?
ANTS – das Original
ein Antiviren-Scanner

Am 25. hat es ANTS, der Wurm, zu einer Erwähnung beim Antiviren-Spezialisten Sophos gebracht. Nach unseren Beobachtungen war Sophos der erste internationale Software-Hersteller, der zu dem lästigen Ungeziefer einen Artikel veröffentlichte. Es heißt dort auch W32/Anset, I-worm.Anset, W32.Anset.Worm, W32/Anset@mm. Später erscheinen Artikel bei Spiegel, Heise, PC-Welt, anderen Online-Medien und Antivirus-Herstellern. Andreas Haak kümmerte sich persönlich um die Verbreitung der Nachricht (siehe Forum von Trojaner-Info.de), weiter unten findet sich hier eine Auswahl.


Worm/ANTS3-Cleaner von Andreas Haak
erhältlich bei ANTS - A New Trojan Scanner
(seit 25. Oktober 2001, Vormittag)
und bei Trojaner-Info.de (spätabends)
jeweils auf deutsch oder englisch 		Bildschirmfoto vom 'Worm/ANTS3 Cleaner' von Andreas Haak


Um alle Klarheiten restlos zu beseitigen nochmal eine Zusammenfassung: Der Autor des Antitrojaner-Scanners ANTS (spezielle Antiviren-Software aus Deutschland, gratis, in einschlägigen Kreisen hinlänglich bekannt, zum Aufspüren und Entfernen von Computer-Viren der Sorte Trojanisches Pferd, aktuelle Versionsnummer 2, auch bei uns vor längerer Zeit bereits vorgestellt, also so ziemlich das Gegenteil von einem Virus) stellt ein Tool zur Entfernung des Trojaner-Wurms ANTS (auch Worm/ANTS3 genannt, eine Art PferdeWurmAmeisenVirus, der "Windows"-Computer unbesonnener Anwender befallen kann, und mit dem Andreas Haak nach eigenen Angaben nichts zu tun hat, außer, daß er sich um Aufklärung und Bereinigung bemüht – »Ehrensache« [der Spiegel] – und der Meinung ist, daß eine noch unbekannte Person mit dem Wurm nichts anderes als seinen Ruf beschädigen will) gratis zur Verfügung. Dieses Tool ist »eine spezielle Version von ANTS« – so der Autor im Originalton. Ist die Verwirrung jetzt endlich komplett?!

Es gilt:
ANTS 3.0 (die neue, schon eine Weile angekündigte Version des gutgemeinten Antitrojaner-Scanners, also nicht der neue und böse Wurm-Virus mit ganz ähnlichem Namen) ist noch nicht veröffentlicht!
ANTS 3.0 (wieder die Gut-Software) wird nicht per eMail verschickt!

In Foren und Newsgroups ist inzwischen von mehreren Versionen des Wurm-Virus ANTS die Rede. Nach anfänglicher, fast euphorischer Anerkennung der Experten beim Analysieren des Schädlings: »...sehr sauber und effizient programmiert« und eifrigem Zitieren (besonders im Trojaner-Info.de-Forum) neuentdeckter Berichte zum Virus aus möglichst bekannten und gutbesuchten Online-Medien werden dann doch Fehler in seinem Selbstversende-Mechanismus entdeckt. No virus is perfect.
      Verschiedenste konspirative Theorien werden ausgeheckt. Andreas Haak wird allseits in Schutz genommen. Der (noch) unbekannte Autor des Virus wird zumeist verachtet. Als einigermaßen Kundige im Heise-Forum zu einer genauen Analyse der eMail-Header (=für Laien unsichtbare Angaben u.a. zum genauen Versandweg der Virus-Mails) ansetzten, wurde Verstärkung aus dem Trojaner-Info.de-Forum herbeigeholt, um – eventuell belastende – Argumente zu entkräften.

Im Heise-Forum wird folgender Artikel veröffentlicht:
      »Der Wurm wurde von einem thüringischen PC aus initialisiert. Benutzt wurde ein Trojaner (vermutlich NetBus), mit dem ein Unbekannter den Wurm auf den PC kopierte und eine HTML-Datei mit mehreren tausend eMail-Adressen beilegte. Dann führte er den Wurm aus. Es wird vermutet, daß der Trojaner durch einfache Scans gefunden und benutzt wurde.
      Der Besitzer des PCs ist nicht der Urheber des Wurms, es wurden keinerlei Sources oder ähnliches gefunden, und dem Nutzer fehlt auch die fachliche Kompetenz, so etwas zu schreiben. Lediglich der Wurm und die HTML-Datei wurden gefunden.«

Spiegel Online: VIRENALARM – Virtueller Racheakt?
Überschrift des gleichen Artikels am 26. 10. geändert in:
HAAKS HILFERUF – "Ich bin nicht der Verfasser des ANTS-Virus"
»Mit ›ANTS Version 3.0‹ verbreitet sich ein Wurm im Web, der auf eine perfide Taktik setzt: Verschickt wird er im Namen von Andreas Haak, Autor des Trojaner-Schutztools ANTS 2.0. Der fühlt sich persönlich angegriffen. Inzwischen laufen erste Anzeigen gegen ihn.«

Heise: "Ants"-Wurm grassiert in Deutschland
Heise: E-Mail-Wurm W32/Anset verbreitet sich weiter
PC-Welt: Vorsicht: Wurm tarnt sich als Trojaner-Scanner ANTS
PC-Welt: ANTS3-Wurm: Mail-Lawine, Anzeigen und Morddrohungen
WebStandard: Angriff der Killerameise
WebStandard: Der unschuldige Virenautor
ORF-FutureZone: Warnung vor dem Ameisenwurm
tecChannel: Wurm W32.ANTS tarnt sich als Trojaner-Scanner
NBC GIGA: Getarnter Wurm
CHIP Online: Vorsicht: Wurm tarnt sich als Trojaner-Scanner
Internet World Nachrichten: Wurm "Anset" terrorisiert deutsche User
Computer Channel: Hohe Infektionszahl in Deutschland – Wurm tarnt sich als Trojanerscanner
Ikarus Software Vienna: W32.Ants
T-Online: Viren-Schläfer im eigenen System
Golem.de: Achtung: Hinter Trojaner-Scanner steckt ein Wurm
Kaspersky Labs: Der Internet-Wurm terrorisiert deutsche Benutzer
Symantec: W32.Anset.Worm Statistik, Removal Instructions
McAfee: W32/Anset@MM Ausführliche Anleitung zum Entfernen (engl.)
Trend Micro: TROJ_ANSET.B Profile, Anleitung zum Entfernen (Solution, engl.)
Trend Micro: TROJ_ANSET.B Technische Details (engl.)
ZDNet UK: Trojan horse scanner pitch hides Antset worm
ZDNet: Trojan horse scanner pitch is a sneaky worm
BSI: W32.Anset.Worm Virus-Meldung, Beschreibung
Computer Associates: Win32/Anset worm family
F-Secure: Anset
Norman: W32/Anset.A@mm



6. November 2001
Reaktionen auf unseren Bericht

Wir erhielten kurz vor dem Wochenende mehrere eMails fast ausschließlich von registrierten Mitgliedern des Trojaner-Info.de-Forums, die sich zum Teil empört über unsere Berichterstattung zu dem Mass-Mailing-Virus Anset (ANTS3) zeigten. Auch Andreas Haak, der dort als Fünfsterne-TopMember fast tausend Postings unter dem Alias »DrSeltsam« absetzte, ließ uns auf direktem Weg wissen, daß er der Meinung ist, von uns als der Urheber des Virus bezeichnet zu werden.

Im erwähnten Forum selbst erschienen zahlreiche Artikel, die sich sehr ausführlich und zumeist kritisch mit unserem Bericht auseinandersetzen. Wir werden an dieser Stelle bestimmt keine eMails veröffentlichen, möchten dazu aber folgendes festhalten:

  1. Wir haben weder jemanden angezeigt noch jemanden aufgefordert, das zu tun.
  2. Wir stehen mit der Firma Chello diesbezüglich überhaupt nicht in Kontakt.
  3. Im vorliegenden und kritisierten Artikel wird niemand beschuldigt, aber auch niemand in Schutz genommen. Wie könnten wir das tun? Wir wissen nicht, wer für den Virus verantwortlich ist; es wird lediglich versucht, unsere Beobachtungen möglichst objektiv, neutral und ohne schuldzuweisende Bewertung wiederzugeben.
  4. Unser Bericht ist noch dahingehend zu ergänzen, daß seit etwa Anfang Oktober geplant war oder ist, vom Antiviren-Scanner ANTS (zur Zeit ausschließlich Freeware) demnächst mit der neuen Version Nummer 3 eine kommerzielle Version (kostenpflichtige Lizenz erforderlich) herauszubringen. Diese Tatsache bleibt von uns ebenfalls unkommentiert, soll aber auch nicht verschwiegen werden.
  5. Es wäre wünschenswert, daß nur annähernd soviel Anstrengung in die Auffindung des oder der Virus-Autoren gesteckt würde wie in Auseinandersetzungen mit unserem Artikel. Dazu ist allerdings aus der Gegend um Andreas Haak, soweit wir das verfolgen konnten, kaum ein Sterbenswörtchen zu vernehmen. Im Idealfall läßt sich so eine Angelegenheit gänzlich ohne Einsatz exekutiver Behörden bereinigen. Hoffentlich ist es dazu nicht schon zu spät.
  6. Der Eindruck, daß wir unverhohlen oder versteckt Schuld zuweisen, kann nur mit entsprechendem Mißtrauen und Voreingenommenheit entstehen. Sollte das so sein, so täte uns das leid. Das liegt nicht in unserer Absicht. Ebenso bedauerten wir es, wenn durch den blöden Virus das bisher ausgezeichnete und gegenseitig befruchtende Verhältnis der beiden Security-Homepages beeinträchtigt würde.


Informationen über Computer-Viren dahier:

  • Live-Ticker von Trend Micro

  • Live-Ticker von Sophos

  • Live-Ticker von Moreover

  • Selbsthilfe-Maßnahmen für Anfänger und Fortgeschrittene

  • Mail-Sniffer

  • Liste vieler Antiviren-Scanner mit User-Votum

  • Wurm-Virus SirCam mit Umfrage

  • Wurm-Viren Nimda und BadTrans

  • Nimda: Sorglose Breitband-User werden abgeklemmt

  • Wurm-Virus CodeRed mit Umfrage

  • Der 11. September und die Folgen – Die Computer-Viren Vote, Anthrax, Bin Laden



    • Auf der vorigen Seite:
    Der 11. September
    und die Folgen


    Sicherheit im Kabelnetzwerk

    Zehn Gebote für den Schutz der
    elektronischen Privatsphäre im Breitband-Internet


    © 1999-2001
    Copyright-Info

    Diese Seite wurde zuletzt am Freitag, dem 30. November MMI, aktualisiert
    URL der Website Sicherheit im Kabelnetzwerk: http://www.pages.at/heaven
    URL dieser Seite: http://www.pages.at/heaven/sec091.htm
    eMail an die Redaktion: ms

    : User online | Heute, am : Seitenaufrufe, Besucher | Details