Wurm späht vertrauliche Daten aus und versendet deutsche Mail-Texte

Wie die Anbieter von Antiviren-Software berichten, verbreitet sich seit Donnerstagmorgen der Wurm Bugbear.B explosionsartig im Internet. Nachdem zunächst Details zur Arbeitsweise des Wurms fehlten, wurden diese mittlerweile nachgereicht, wobei die Antiviren-Spezialisten ungewöhnlich hohe Gefahrenstufen ausgerufen haben. Bereits die erste Variante des Wurms sorgte im Oktober 2002 für eine enorme Verbreitung, wird aber von der aktuellen Version deutlich in den Schatten gestellt. Auch der Neuling nutzt ein altes Sicherheitsleck im Internet Explorer zur automatischen Verbreitung, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente. Besonders gefährlich: Die Nachrichtentexte einer verseuchten E-Mail können in deutscher Sprache sein. Zudem versucht der Unhold, sich zwischen zahlreichen internationalen Banken zu verbreiten.

Der Bugbear.B-Wurm verbreitet sich per E-Mail, indem er nach passenden Adressen in lokalen Dateien mit den Endungen .MMF, .NCH, .MBX, .EML, .TBB, .DBX und .OCS sowie der Outlook-Inbox sucht. Für den Mail-Versand besitzt der Wurm eine eigene SMTP-Engine. Außerdem infiziert der Schädling zahlreiche Dateien, die er auf den lokalen Laufwerken oder im Netzwerk findet und trägt sich in die Registry ein, um sich bei jedem Systemstart zu aktivieren.

Als besondere Gefahr versendet der Wurm auch verseuchte E-Mails mit deutschem Nachrichtentext und Betreff, was unbedarfte Nutzer in Deutschland in Sicherheit wiegen könnte und dazu verleitet, den Virenanhang zu öffnen. Die Nachrichtentexte können dabei von E-Mails auf einem befallenen System stammen, so dass der Unhold von Menschen geschriebene Texte verwendet. Die Absenderadresse manipuliert der Wurm so, dass der eigentliche Absender nicht der Versender der Wurm-Mail ist. Der eigentliche Wurm-Code steckt in einem Dateianhang der E-Mail und besteht aus einer Datei mit doppelter Endung, wobei der zweite Teil der Endung auf .EXE, .SCR oder .PIF endet. Die Wurm-Komponente verfügt zudem über zahlreiche internationale Bank-Domains, um sich besonders in diesem Wirtschaftszweig zu verbreiten. Die besondere Gefahr von Bugbear.B wird daran deutlich, dass die Hersteller von Antiviren-Software nur selten die höchsten Gefahrenstufen vergeben haben, die nun für Bugbear.B ausgesprochen wurden, auch wenn in den vergangenen zwei Jahren mit CodeRed, Nimda und Klez.E wahre Ungeheuer das Internet verunsicherten.

Sobald der Wurm aktiviert wurde, öffnet er außerdem den TCP-Port 1080 und sucht ständig nach laufenden Virenscannern und Firewalls, um diese Prozesse zu beenden und ungestört seiner Arbeit nachzugehen. Der Wurm enthält eine Trojaner-Komponente, die auf dem befallenen System sensitive Daten wie Kreditkartennummern, Passwörter und PINs abfängt. Die Öffnung des TCP-Ports 1080 erlaubt es einem Angreifer, zahlreiche Aktionen auf dem befallenen System auszuführen und so die Kontrolle darüber zu erlangen.

Wie schon sein Vorgänger macht sich der Bugbear.B-Wurm eine alte Sicherheitslücke im Internet Explorer 5.0 und 5.5 zu Nutze, die offenbar bei vielen Anwendern immer noch nicht geschlossen wurde, obwohl der entsprechende Patch seit mehr als zwei Jahren verfügbar ist. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender ausgeführt und der Rechner infiziert wird. Natürlich schleust man den Wurm auch ins System, wenn man den Anhang einer infizierten E-Mail manuell startet.

Die Hersteller von Antiviren-Software bieten bereits aktualisierte Virensignaturen an, die den Bugbear.B-Wurm erkennen. Unter anderem bieten Symantec und BitDefender kostenlose Tools an, um den Wurm vom System zu entfernen.

cu aerox