Absender:"T-Online Kundenservice" <sicherheitspaket@toi.t-online.de>
Empfänger:"T-Online Kundenservice" <sicherheitspaket@toi.t-online.de>
Datum:25. Aug 2003 16:36
Betreff:Wichtige Information und Hilfestellung zu den Computer-Viren Sobig.F und Blaster/Lovsan


Sollte Ihr PC bereits mit dem Virus infiziert sein, raten wir Ihnen,
diese eMail sofort auszudrucken!

Sehr geehrte T-Online Kundin,
sehr geehrter T-Online Kunde,

sicherlich haben Sie schon von den Computer-Viren gehört, die sich
derzeit mit extremer Schnelligkeit verbreiten und bereits viele PCs
befallen haben. Es handelt sich hierbei zum einen um den Virus Sobig.F,
der Massenmails von infizierten Rechnern aus versendet, und zum anderen
um den so genannten Wurm W32.Blaster oder W32/Lovsan, der PCs ohne
aktuelle Firewall-Software befällt, während diese mit dem Internet
verbunden sind.

Ob Ihr PC gefährdet ist, und wie Sie bereits infizierte PCs wieder
bereinigen können, zeigen wir Ihnen am Ende dieser eMail.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) gibt
derzeit erneut Warnungen vor weiteren Viren heraus. Daher raten wir
Ihnen dringend, auf Ihrem PC eine aktuelle Virenschutz- und
Firewall-Software zu installieren. So sind Sie vor Viren-Angriffen auch
in Zukunft besser geschützt.

Als T-Online Kunde empfehlen wir Ihnen das SicherheitsPaket
Professional für nur 4,95 EUR/Monat, das Sie unter
http://www.t-online.de/sicherheit auf CD bestellen können. Es enthält
die neuesten Versionen von Norton AntiVirus(tm) und Norton(tm) Personal
Firewall, die besseren Schutz auch vor neuen Viren bieten und sich nach
der Installation automatisch aktualisieren. Leider kann es zurzeit
jedoch aufgrund der starken Nachfrage zu Lieferverzögerungen kommen.

Sie haben auch die Möglichkeit, sich die Software direkt hier
herunterzuladen: http://www.t-online.de/sicherheit
Wir möchten Sie jedoch darauf hinweisen, dass der Download bei einem
Analoganschluss ein bis zwei Stunden dauern kann.*

Sollten Sie diese eMail nicht ausdrucken können, erhalten Sie die
anschließende Hilfestellung zur Virenbeseitigung auch über unseren
Faxabruf: 0180 5 89 7777 (0,12 Euro/Min.).

Wir freuen uns, wenn wir Ihnen mit dieser Information weitergeholfen
haben und hoffen, dass Ihr PC von Viren-Angriffen verschont bleibt.

Ihr T-Online Team

*Sie können den Download verkürzen, indem Sie zunächst die
Virenschutz-Software von Ihrer CD mit der T-Online Software 5.0
installieren. Sie brauchen sich online dann lediglich die
Firewall-Software herunterzuladen.

==========================================================

Informationen zum Wurm W32.Blaster bzw. W32/Lovsan

Welche Rechner sind von dem W32.Blaster bzw. W32/Lovsan Wurm gefährdet?

Gefährdet sind PCs mit folgenden Betriebssystemen:
- Windows 2000
- Windows NT 4.0
- Windows XP
- Windows 2003 Server

Wenn Sie nicht sicher sind, welches Betriebssystem Sie nutzen, klicken
Sie nach dem Start von Windows einfach mit der rechten Maustaste auf
das Arbeitsplatzsymbol auf Ihrem Desktop und prüfen Sie unter
"Eigenschaften", welche Version angezeigt wird.

Hinweis: Wenn Sie das T-Online SicherheitsPaket Professional aktuell
(mit Virenschutz- und Firewall-Software) installiert haben, ist Ihr
Rechner nicht gefährdet.

Wie erkenne ich, ob mein Rechner mit dem W32.Blaster bzw. W32/Lovsan
infiziert ist?

Einmal gestartet ist der Blaster-Wurm daran zu erkennen, dass er immer
wieder ein System-Fenster erzeugt und den Computer zum Absturz bringt,
d.h. der Rechner fährt ohne Befehl herunter und schaltet sich ab.

Wie entfernt man als Nutzer des Betriebssystems Windows XP den Wurm
W32.Blaster bzw. W32/Lovsan Wurm, falls ein Rechner befallen ist?

Im Rahmen dieser Anleitung wird zunächst das fortlaufende
Herunterfahren des PCs unterbrochen, danach aktivieren Sie auf Ihrem PC
die XP-Firewall. Zum Schluss gehen Sie kurz online, um die Software zum
Entfernen des Wurms sowie das Microsoft Sicherheitsupdate
herunterzuladen und auszuführen.

1. Das fortlaufende Herunterfahren des PCs unterbrechen

- Klicken Sie im Windows-Startmenü auf "Ausführen".

- Es öffnet sich ein neues Fenster. Hier wird der Befehl "cmd"
 eingegeben und auf "OK" geklickt.

- Sie gelangen in ein DOS-Fenster.

- Hier geben Sie folgenden Befehl ein: "shutdown -a". Wichtig: Zwischen
 "shutdown" und dem "-" muss ein Leerzeichen stehen. Dann wird der
 Vorgang mit "Enter" abgeschlossen.

2. Aktivierung der XP-Firewall

Jetzt können Sie die XP-Firewall aktivieren, um eine weitestgehend
sichere Internetverbindung zu gewährleisten.

- Im Start-Menü klicken Sie den Eintrag "Systemsteuerung" an.

- Als Kategorie wählen Sie "Netzwerk- und Internet-Verbindungen".

- Weiter geht es mit einem Klick auf "Netzwerkverbindungen".

- Nun befinden Sie sich im Bereich "DFÜ-Verbindungen". Mit einem
 Rechtsklick auf die Verbindung, für die die Firewall aktiviert werden
 soll, öffnet sich das Kontext-Menü mit dem Eintrag "Eigenschaften".

- Nach dem Wechseln auf die Register-Karte "Erweitert" muss im Bereich
 "Internetverbindungsfirewall" ein Häkchen vor die Option "Diesen
 Computer und das Netzwerk schützen, indem das Zugreifen auf diesen
 Computer vom Internet eingeschränkt oder verhindert wird" gesetzt
 werden.

Nun können Sie die Software zum Entfernen des Virus und zur Schließung
der Sicherheitslücke herunterladen. Stellen Sie sich darauf ein, dass
dies unter Umständen dauern kann. Aufgrund der riesigen Nachfrage
können die Download-Server zeitweise überlastet sein.

3. Software zum Entfernen des Wurmes herunterladen und ausführen

Um den Virus vom Computer zu entfernen, bietet Symantec eine spezielle
Software (ohne Zusatzkosten) an.

- Stellen Sie nun eine Internetverbindung her.

- Zum Download vom W32.Blaster.Worm Removal Tool 1.0.0 (Symantec) gehen
 Sie auf folgende Internetseite und laden Sie die Software herunter:
 http://www.t-online.de/blaster_entfernung

Um diese herunter geladene Software installieren zu können, müssen Sie
Administrator-Rechte besitzen. Wenn Sie alleine den PC nutzen, sollte
dies der Fall sein. Treten Probleme auf, sollten Sie zuerst prüfen, ob
Sie wirklich diese Rechte besitzen.

Bringt das Blaster Removal-Tool auch dann eine Fehlermeldung, gehen Sie
wie folgt vor:

- Beenden Sie alle offenen Programme.

- Starten Sie XP im abgesichertem Modus: Klicken Sie zunächst auf
 "Start" und dann auf "Ausführen..." klicken. Geben Sie in das
 "Öffnen"-Feld "msconfig" ein und bestätigen Sie dann mit "OK". Es
 öffnet sich das Fenster "Systemkonfigurationsprogramm". Wählen Sie
 dort den Reiter "BOOT.INI". Aktivieren Sie im Reiter "BOOT.INI" die
 Option "/SAFEBOOT". Bestätigen Sie die Änderung mit "OK". Klicken
 Sie im Auswahlfenster die Option "Neu Starten" an. Der Rechner wird
 daraufhin im gesicherten Modus neu gestartet.

- Deaktivieren Sie die Systemwiederherstellung, indem sie auf Ihrem
 Desktop auf das Symbol "Arbeitsplatz" rechtsklicken und im daraufhin
 erscheinenden Kontextmenü "Eigenschaften" wählen. Es öffnet das
 Fenster "Systemeigenschaften".

- Wählen Sie im Fenster "Systemeigenschaften" den Reiter
 "Systemwiederherstellung". Setzen Sie einen Haken bei der Option
 "Systemwiederherstellung auf allen Laufwerken deaktivieren".

- Starten Sie nun das Blaster Removal Tool mit einem Doppelklick
 auf die Datei.

- Starten Sie Windows XP im normalen Modus indem Sie zunächst auf
 "Start" und dann auf "Ausführen..." klicken. Geben Sie in das
 "Öffnen"-Feld "msconfig" ein. Bestätigen Sie dann mit "OK. Es öffnet
 sich wieder das Fenster "Systemkonfigurationsprogramm".

- Wählen sie dort im Reiter  "Allgemein" den Punkt "Normaler
 Systemstart - Alle Gerätetreiber und Dienste laden". Danach starten
 Sie bitte Ihren Rechner neu.

- Nach dem Neustart müssen Sie die Systemherstellung wieder aktivieren,
 indem Sie wieder auf Ihrem Desktop auf das Symbol "Arbeitsplatz"
 rechtsklicken und im daraufhin erscheinenden Kontextmenü den Eintrag
 "Eigenschaften" auswählen. Es öffnet das Fenster
 "Systemeigenschaften". Wählen Sie im Fenster "Systemeigenschaften"
 den Reiter "Systemwiederherstellung". Deaktivieren Sie die Option
 "Systemwiederherstellung auf allen Laufwerken deaktivieren".

4. Windows XP Sicherheitsupdate (Patch) herunterladen und installieren

Nachdem nun die XP-Firewall aktiviert und der Wurm entfernt ist,
sollten Sie abschließend das Sicherheitsloch schließen, über das
Blaster in das System eindringt. Dazu wird die von Microsoft
bereitgestellte Software heruntergeladen (ca. 1,3 MB).

Zum Download vom Windows XP Security Patch:
http://www.t-online.de/security_patch

Jetzt können Sie die heruntergeladene Windows Software ausführen.

Weitere Infos finden Sie unter http://www.t-online.de/sicherheit

#######################################################################

Informationen zum Virus Sobig.F

Welche Rechner sind von dem Sobig.F Virus gefährdet und wie kann ein
Rechner mit dem Sobig.F Virus infiziert werden?

Empfänglich für Sobig-Würmer sind Computer mit dem Betriebssystem
Microsoft Windows. Der Wurm versteckt sich in einem E-Mail-Anhang.
Bekommt man eine dieser Mails, so infiziert man den eigenen Rechner,
indem man den beigefügten Anhang öffnet. Der Wurm versendet sich dann
an andere E-Mail-Adressen, die er auf Ihrem befallenen Rechner findet.

Diese Mails sind wie folgt aufgebaut:

1. Als Absender kommen beliebige, sowohl bekannte als auch
  unbekannte E-Mail-Adressen in Frage.

2. Die Betreffzeile, der Nachrichtentext und der Name der angehängten
  Datei sind englischsprachig, (Betreff z.B.:'Thank you!', 'Re:
  Details' der Text lautet 'See the attached file for details' oder
  'Please see the attached file for details').

3. Der Anhang der Datei hat eines der folgenden Formate: pif, scr

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt:

"Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen
Absendern prüfen, ob der Text der Nachricht auch zum Absender passt
(englischer Text von deutschem Partner, zweifelhafter Text oder
fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage
(Attachment) auch erwartet wurde."

Hinweis: Falls Sie das T-Online SicherheitsPaket Professional oder
T-Online KomfortPaket (inkl. Virenschutzsoftware) installiert haben,
sind Sie nicht gefährdet.

Wie entfernt man als Nutzer den Sobig.F Virus, falls ein Rechner
befallen ist?

Um den Virus vom Computer zu entfernen, bietet Symantec eine spezielle
Software (ohne Zusatzkosten) an, die Sie wie folgt installieren:

- Stellen Sie eine Internetverbindung her.

- Zum Download von der Entfernungssoftware "Symantec W32.Sobig.F
 Removal Tool"  gehen Sie auf folgende Internetseite und laden Sie die
 Software (172 kbyte)  herunter:
 http://www.t-online.de/sobig_entfernung

- Starten Sie danach das Programm durch einen Doppelklick auf die
 herunter geladene Datei.

Weitere Infos finden Sie unter http://www.t-online.de/sicherheit