Mail-Wurm lädt Code über Lücke im Internet Explorer nach

Der Mail-Wurm Netsky.V nutzt eine Lücke im Internet Explorer aus, um Windows-Systeme zu infizieren. Anders als simpel gestrickte Mass-Mailing-Würmer versteckt er sich nicht im Anhang einer E-Mail, sondern lädt den Schädlingscode von anderen infizierten Rechnern aus dem Internet nach. Ist beispielsweise unter Outlook die HTML-Ansicht von Mails aktiviert, so reicht dazu das Ansehen der Mail aus.

Um den PC eines Anwenders ohne dessen Interaktion zu infizieren, macht sich der Wurm eine seit längerem bekannte Lücke (MS03-040) im Internet Explorer zu Nutze: Die Object-Tag-Schwachstelle ermöglicht es Angreifern, ausführbare Dateien auf den PC eines Opfers zu laden und in dessen Kontext auszuführen. Bereits Bagle.Q griff auf diesen Trick zurück. Der Patch von Microsoft, um diese Lücke zu stopfen, steht seit Anfang Oktober 2003 zur Verfügung.

Auf befallenen Systemen installiert der Wurm einen HTTP-Server, der auf Port 5556 auf eingehende Verbindungen horcht sowie auf Port 5557 einen FTP-Server. Ruft ein System, auf dem gerade eine Netsky.V-Mail geöffnet ist, über einen versteckten Link (http://IP-Adresse-infizierter-PC:5557/index.html) die index.html ab, so sendet der HTTP-Server eine Seite mit manipuliertem Code, der den Windows-FTP-Client startet. Der lädt dann vom FTP-Server den eigentlichen Schädlingscode.

Zwischen dem 22. und 29. April startet der Wurm eine Denial-of-Service-Attacke gegen www.keygen.us, www.freemule.net, www.kazaa.com, www.emule.de und www.cracks.am. Schon die letzte DoS-Attacke von Netsky.Q gegen einige dieser Seiten zeigte ihre Wirkung.

Obwohl der Wurm bislang noch keine starke Verbreitung gefunden hat, sollten Anwender den erwähnten Patch einspielen. Die Hersteller von Antivirensoftware haben aktualisierte Signaturen bereitgestellt. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security

Siehe dazu auch: (dab)

• Wurmbeschreibung von CA
• Wurmbeschreibung von NAI
• Wurmbeschreibung von Symantec