Bugbear.b: Heimtückischer als sein Vorgänger

Der heute morgen aufgetauchte Mail-Wurm Bugbear.b versucht mit neuen Tricks seine Opfer davon zu überzeugen, dass es sich um reguläre E-Mails handelt. Schon Bugbear.a fälschte Absenderadressen -- häufig bekam man E-Mails mit einem Bugbear, die man sich angeblich selbst geschickt hat. Bugbear.b geht aber einen Schritt weiter: Offenbar stimmt er die "From"- und "To"-Felder beim Versand aufeinander ab. So trafen im Heise-Verlag bereits mehrere E-Mails ein, die angeblich von internen Adressen stammten. Selbst der Betreff hatte Bezug zum Verlag. Erst eine genaue Untersuchung des Headers zeigte, dass die infizierten Mails in Wahrheit von außen kamen.

Da eine genaue Analyse noch aussteht, kann man bisher nur spekulieren, wie der Wurm das bewerkstelligt. Es wäre beispielsweise denkbar, dass der Schädling die lokale Festplatte nach gültigen Mail-Adressen aus der gleichen Domain durchsucht und entsprechende Betreffszeilen aus dem Kontext der Fundstelle extrahiert. Wegen dieser heimtückischen Tricks des Schädlings ist im Moment auch beim Umgang mit scheinbar internen Mails größte Vorsicht angebracht. (pab)