IKM-SERVICES DER PHILOSOPHISCHEN FAKULTÄT

Zentrale Prüfung auf Viren auf dem E-Mail-Server der Philosophischen Fakultät

Dieses Dokument informiert Sie über Maßnahmen der System- und Netzadministration gegen die Verbreitung von Computerviren via E-Mail. Insbesondere erfahren Sie, auf welche Weise das von Ihnen verwendete E-Mail-Programm auf entdeckte Viren in von Ihnen empfangenen oder versendeten E-Mails reagiert.

Zweck einer zentralen Prüfung

Die zentrale Prüfung von E-Mails auf etwaige Viren stellt für Windows-Computer innerhalb der Philosophischen Fakultät eine Ergänzung zum automatischen Antivirus-Schutz im lokalen Netz (LAN) durch Norton AntiVirus dar. Virenverseuchte Daten werden so schon am "Eingang" in die Philosophische Fakultät abgewehrt.

Für die Benutzung von (privaten) Computern außerhalb der Philosophischen Fakultät und für Macintosh-Computer ist ein zentraler Schutz durch Norton AntiVirus aus lizenzrechtlichen bzw. technischen Gründen nicht möglich. Der Einsatz einer zentralen Prüfung auf dem E-Mail-Server soll Ihnen deshalb eine Grundsicherheit bspw. auch für Ihren privaten Computer gewährleisten.

Vorgehen der zentralen Prüfung auf dem E-Mail-Server der Philsophischen Fakultät

Jede ein- oder ausgehende E-Mail- wird auf bekannte Viren geprüft. Wird in einer eingehenden E-Mail ein Virus entdeckt, dann wird der betroffene Teil der E-Mail entfernt und der Rest der E-Mail- mit einer entsprechenden Mitteilung an Sie zugestellt. Der Absender der betroffenen E-Mail erhält ebenfalls eine Mitteilung darüber, dass ein Virus entdeckt und entfernt wurde, so dass er die Möglichkeit hat, den von ihm verwendeten Computer auf einen möglichen Virenbefall zu untersuchen.

Um den Verlust von wichtigen Daten zu vermeiden, werden die entfernten (virenverseuchten) Teile von empfangenen E-Mails bzw. Anhänge (Attachments) nicht direkt gelöscht, sondern in eine sog. "Quarantäne" geschickt. Dort werden virenverseuchte Dateien 7 Tage lang aufbewahrt, um ggf. den Versuch einer Desinfektion durchzuführen. Bitte beachten Sie, dass eine Desinfektion nicht automatisch erfolgt, da die Mehrzahl der per E-Mail verschickten virenverseuchten Dateien lediglich den Virus selbst bzw. keine relevanten Daten enthalten, so dass ein Desinfektionsversuch einen unnötigen Aufwand darstellen würde.

Welche Maßnahmen aufgrund eines entdeckten Virus ggf. von Ihnen unternommen werden sollten, erfahren Sie im folgenden. Bitte beachten Sie, dass die genannten Maßnahmen nur für E-Mails wirksam sind, die Sie über eine E-Mail-Kennung in der Philosophischen Fakultät empfangen oder versenden. E-Mails über Kennungen anderer Anbieter (z.B. Universitätsrechenzentrum, GMX, Yahoo, Web.de) können von der System- und Netzadministration der Philosophischen Fakultät nicht geprüft werden.

Mitteilung beim Empfangen virenverseuchter E-Mails

Falls in einer an Sie gerichteten E-Mail ein Virus gefunden wurde, so werden Sie darüber durch einen Hinweis in der betreffenden E-Mail informiert.

Unter Outlook 2000 enthält die E-Mail evtl. anstelle einer Mitteilung im Text eine Datei "WARNING.TXT" als Anhang (Attachment):

Der Inhalt von "WARNING.TXT", den Sie durch Anklicken der Datei einsehen können, entspricht der im folgenden für andere E-Mail-Programme genannten Mitteilung. Unter Eudora, Netscape und Outlook Express enthält die E-Mail den folgenden Hinweis:

 

 

----------------------- Virenwarnung -----------------------

MAILSERVER DER PHILOSOPHISCHEN FAKULTÄT
DER HEINRICH-HEINE-UNIVERSITÄT DÜSSELDORF

In einem Anhang dieser E-Mail wurde ein Virus entdeckt.
Unser Virenscanner meldete folgende Warnung:
File::Scan found the 'EICAR-Test-File' virus.
Der Anhang wurde entfernt und befindet sich in Quarantäne.
Er wird unter der Referenz 2003-06-25-18.35.32-001 sieben Tage
aufbewahrt und dann ohne weitere Warnung gelöscht. Um den
entsprechenden Anhang anzufordern, wenden Sie sich bitte
unter Angabe der Referenz an
postamtphil-fak.uni-duesseldorfde

------------------- Ende der Virenwarnung ------------------


  • File::Scan found the '...' virus.
    File::Scan ist der Name des Programms, das die Überprüfung auf Viren durchführt. An der Stelle '...' wird der Name des gefundenen Virus genannt (im Bsp. oben "'EICAR-Test-File").
  • Quarantäne
    Anhänge (Dateien), die sich in Quarantäne befinden, wurden von ihrem ursprünglichen Ort (hier: die betroffene E-Mail) an eine Stelle verschoben, an der keine Aktivierung des gefundenen Virus droht. In die Quarantäne verschobene Daten sind nicht gelöscht. Vielmehr ist es der Sinn der Quarantäne, wichtige Daten für eine evtl. Desinfizierung / Wiederherstellung aufzubewahren. Da virenverseuchte E-Mails i.d.R. allerdings keine wichtigen Daten enthalten, sondern von virenverseuchten Computern als "reine" Virus-E-Mails verschickt werden, ist eine Desinfizierung / Wiederherstellung nur in Ausnahmefällen sinnvoll. In diesem Fall können Sie sich mit der angegeben Referenz per E-Mail an postamt@phil-fak.uni-duesseldorf.de wenden, um eine Desinfizierung / Wiederherstellung zu veranlassen (sinnvoller ist es allerdings, sich an den Absender der Daten zu wenden, damit dieser seine Computer desinfiziert und eine bereinigte Version der Daten an Sie schickt). Erfolgt innerhalb von sieben Tagen nach Fund des Virus keine Nachfrage Ihrerseits, dann wird der betreffende Anhang endgültig gelöscht. Eine entsprechende Nachfrage sollten Sie allerdings nur dann stellen, wenn Sie sicher sind, dass der betroffene Anhang wichtige Daten enthält (bspw. dann, wenn die Zusendung des Anhangs mit dem Absender der E-Mail vereinbart war; beachten Sie jedoch, dass die Bekanntheit des Absenders einer virenverseuchten E-Mail nicht bedeuten muss, dass die betreffende E-Mail tatsächlich von diesem verfasst wurde, da sich E-Mail-Viren auch "selbsttätig" mit fingierten Absenderangaben verschicken können).
  • Referenz
    Dies ist eine aus Datum und Uhrzeit des Virenfundes sowie einer Laufnummer gebildete eindeutige Nummer, anhand der der Virenfund sowie der betroffene Anhang in der Quarantäne zurückverfolgt werden können. Ohne diese Nummer kann nicht ermittelt werden, welcher der in Quarantäne befindlichen Anhänge zu der betroffenen E-Mail gehört.
  • postamt@phil-fak.uni-duesseldorf.de
    Unter dieser E-Mail-Adresse sind Rückfragen betreffs virenverseuchter E-Mails möglich. Bitte verwenden Sie stets diese Adresse im Zusammenhang mit Problemen betreffs ein- und ausgehender E-Mails, da so eine direkte und zügige Bearbeitung des jeweiligen Problems möglich ist.

 

Bitte beachten Sie: Wenn in einer an Sie gerichteten E-Mail ein Virus gefunden wurde, dann sollten Sie unbedingt ein AntiVirus-Programm ausführen, um Ihren Computer auf eventuelle weitere (nicht entdeckte) Viren zu prüfen. Geeignete Programme für Windows-Computer finden Sie im LAN-Menü der Philosophischen Fakultät im Ordner "Antivirus".


Mitteilung durch Ihr E-Mail-Programm beim Versuch, virenverseuchte E-Mails zu verschicken

Technisch bedeutet das Senden einer E-Mail die Übergabe der betreffenden E-Mail an einen E-Mail-Server, der das "eigentliche" Versenden an den / die angegebenen EmpfängerIn/nen durchführt. Wird in einer zu versendenden E-Mail ein Virus gefunden, dann wird der betreffenden E-Mail eine entsprechende Mitteilung hinzugefügt. Diese Mitteilung entspricht der oben erläuterten unter "Mitteilung beim Empfangen virenverseuchter E-Mails" und ist für den Empfänger der E-Mail gedacht.

Eine zusätzliche E-Mail wird an den angegebenen Absender betroffenen E-Mail geschickt, um diesen darüber zu informieren, dass eine von seiner Adresse abgeschickte E-Mail einen Virus enthielt. Die E-Mail an den ursprünglichen Absender wird mit den folgenden Angaben versendet:

 

Von / From: "Postamt der Phil-Fak. der HHU" <postamt>
Betreff / Subject: MIMEDefang Notification
</postamt>


Die enthaltene Mitteilung lautet:


----------------------- Virenwarnung -----------------------
MAILSERVER DER PHILOSOPHISCHEN FAKULTÄT
DER HEINRICH-HEINE-UNIVERSITÄT DÜSSELDORF
In einer E-Mail-Nachricht mit der Absenderadresse <hotline>
wurde von unserem Virenscanner ein Virus entdeckt:
Empfänger: <hotline>
Betreff: Virus-Test
Virenscanner-Nachricht: File::Scan found the 'EICAR-Test-File' virus.

Die infizierten Teile der E-Mail wurden von der Zustellung
ausgeschlossen.

----------------------- Virus Warning ----------------------

Our virus detector has just been triggered by a message you sent:
To: <hotline>
Subject: Virus-Test
Virus scanner message: File::Scan found the 'EICAR-Test-File' virus.

The infected parts of the message have not been delivered.
------------------------------------------------------------


Von besonderer Bedeutung sind dabei die folgenden Angaben:

  • Absenderadresse <...>
    An dieser Stelle wird die Adresse angegeben, von der aus eine virenverseuchte E-Mail zu verschicken versucht wurde. Wenn Sie die obige Mitteilung erhalten, dann ist dies Ihre Adresse. Bitte beachten Sie hierbei, dass Ihre Adresse von einem bereits aktiven Virus missbraucht werden kann, d.h. Ihre Adresse wurde für eine gefälschte E-Mail verwendet, ohne dass Sie der eigentliche Absender sind. Ob eine gefälschte E-Mail vorliegt oder ob in einer "echten" E-Mail von Ihnen ein Virus gefunden wurde, können Sie anhand der Angaben Empfänger und Betreff feststellen (s. das Folgende).
  • Empfänger: <...> und Betreff: ...
    Diese Angaben entsprechen denjenigen in der virenverseuchten E-Mail (bzw. "To:" und "Subject:"). Aufgrund dieser Informationen können Sie ggf. nachvollziehen, um welche E-Mail es sich handelt. Eine besondere Bedeutung haben diese Angaben allerdings dafür, ob es sich um eine gefälschte (bspw. von einem aktiven Virus erzeugte) oder eine tatsächlich von Ihnen versandte E-Mail handelt. Ist Ihnen der angegebene Empfänger oder eine E-Mail an einen bekannten Empfänger mit dem angegebenen Betreff unbekannt, dann liegt eine gefälschte E-Mail vor. Eine gefälschte E-Mail bedeutet, dass nicht nur ein Dateianhang (Attachment) in der betreffenden E-Mail, sondern mit hoher Wahrscheinlichkeit Ihr kompletter Computer virenverseucht ist. In diesem Fall sollten Sie Ihren Computer unbedingt von einer AntiViren-Diskette starten (nicht von Festplatte; s.u.).
  • File::Scan found the '...' virus.
    File::Scan ist der Name des Programms, das die Überprüfung auf Viren durchführt. An der Stelle '...' wird der Name des gefundenen Virus genannt (im Bsp. oben "'EICAR-Test-File").

Bitte beachten Sie: wenn in einer E-Mail, die von Ihrer Adresse versendet wird, ein Virus gefunden wurde, dann bedeutet dies, dass der aktuell verwendete Rechner selbst potentiell virenverseucht ist!. Dies gilt insbesondere für Computer außerhalb der Philosophischen Fakulät, die nicht durch den intern eingesetzten Norton AntiVirus geschützt sind. Erstellen Sie unbedingt auf einem "sauberen" PC in der Fakultät die im LAN-Menü der Philosophischen Fakultät im Ordner "Antivirus" angebotenen "F-Prot AntiVirus-Disketten" und starten Sie den betroffenen Rechner von diesen, um eine umfassende Virensäuberung vorzunehmen!

 

 

 

 

Die Dienste der IKM‑Services im Überblick ·····································································································································································