Neue Variante des Wurms Bugbear im Umlauf
Seit heute morgen grassiert eine neue Variante des berüchtigten Bugbear-Wurms im Netz; der Schädling findet recht schnell Verbreitung.
Seit heute morgen grassiert eine neue Variante des berüchtigten Bugbear-Wurms im Netz. Bugbear.b unterscheidet sich nur wenig von seinem Vorgänger, auch die neue Variante vereint Massenmailer, Keylogger, Trojanisches Pferd und polymorphische Datei-Infektion in einem. Zudem versucht Bugbear weiterhin, Sicherheitsprogramme wie Virenscanner und Personal Firewalls auszuhebeln -- die Liste der Programme wurde gar noch erweitert.
Hat der Wurm den Rechner befallen, öffnet er einen TCP-Port, um nach aktiven Firewalls und Antiviren-Programmen zu suchen und diese auszuhebeln. Weiterhin ist es Angreifern möglich, über den offenen Port in das System einzudringen und beliebigen Code auszuführen. Außerdem klinkt sich eine Bibiliothek in das Windows-System ein, die sensitive Daten wie Kreditkarteninformationen, Passwörter und PINs ausspioniert. Neben der Verbreitung via E-Mail propagiert sich Bugbear.b auch ueber Netzwerkfreigaben.
Wie sein Vorgänger versucht Bugbear.b zusätzlich, eine zweieinhalb Jahre alte Sicherheitslücke in Microsoft Outlook respektive Outlook Express auszunutzen, durch die sich das Attachment automatisch starten lässt, sofern die E-Mail in der HTML-Ansicht gerendert wird. Ein Patch für diese Sicherheitslücke ist über das Microsoft Security Bulletin MS01-020 vom 29. März 2001 erhältlich.
Nach Angaben von MessageLabs verbreitet sich Bugbear.b in einem vergleichbar schnellen Tempo wie sein Vorgänger: Bereits 5000 Exemplare hat man dort bereits registriert; das sind Ausmaße, die zuletzt SQL-Slammer erreicht hat. AVERT Labs (Network Associates) hat den Schädling auf "High Risk" eingestuft -- auch diese Einstufung bekam zuletzt SQL-Slammer.
Der Wurm wird im Gegensatz zu SQL-Slammer aber vor allem Privatanwender treffen: Das liegt daran, dass er mit einem Attachment scr, exe oder pif ins Haus kommt -- viele Unternehmen blockieren diese Dateiendungen bereits auf dem Mail-Gateway. Für die tatsächliche Erkennung des Wurms reicht die Bugbear.a-Signatur bei den Antiviren-Programmen aber nicht aus -- es bedarf eines Updates der Virensignaturen. Die meisten AV-Hersteller wollen noch am heutigen Tag reagieren und schnellstmöglich ein Update für ihre Virenscanner bereitstellen.
Weitere Hinweise zum Schutz vor Viren und Würmen sowie Links zu Antiviren-Programmen und -Herstellern bieten die Antiviren-Seiten von c't.
Zu der neuen Wurm-Variante siehe auch: Bugbear.b: Heimtückischer als sein Vorgänger. (pab)
