Neuer Windows-Wurm spioniert Daten aus

Seit dem gestrigen Montagabend verbreitet sich der Mail-Wurm "Bugbear", der besonders kritische Schadroutinen besitzt: Er versucht gezielt, Antiviren-Software auszuhebeln, spioniert persönliche und geheime Daten des Anwenders aus und enthält eine Hintertür.

"Bugbear" verbreitet sich als E-Mail über einen eigenen SMTP-Client; die Betreffszeilen und Namen der Attachments (50.688 Byte groß) variieren dabei. Dabei versucht er zusätzlich, eine rund 18 Monate alte Sicherheitslücke in Microsoft Outlook respektive Outlook Express auszunutzen, durch die sich das Attachment automatisch starten lässt, sofern die E-Mail in der HTML-Ansicht gerendert wird. Ein Patch für diese Sicherheitslücke ist über das Microsoft Security Bulletin MS01-020 vom 29. März 2001 erhältlich. Der Schädling wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als kritisch eingestuft.

Hat der Wurm den Rechner befallen, öffnet er den TCP-Port 36794, um nach aktiven Firewalls und Antiviren-Programmen zu suchen und diese auszuhebeln. Weiterhin ist es Angreifern möglich, über den offenen Port in das System einzudringen und beliebigen Code auszuführen. Außerdem klinkt sich eine Bibiliothek (PWS-Hooker.dll) in das Windows-System ein, die sensitive Daten wie Kreditkarteninformationen, Passwörter und PINs ausspioniert. Die meisten Antiviren-Hersteller haben ihre Signatur-Dateien bereits aktualisiert, sodass der Wurm erkannt wird, wenn die Antiviren-Software auf den neuesten Stand gebracht wird. Weitere Hinweise zum Schutz vor Würmern und Viren und zum Umgang mit Attachments in E-Mails sowie Links zu Herstellern von Antiviren-Software finden sich auf den Antiviren-Seiten von c't. (pab)