Wurm Bizex nutzt Lücke im Internet Explorer aus [Update]

Der Wurm Win32.Bizex dringt über eine Sicherheitslücke im Internet Explorer in Windows-PCs ein und späht Informationen aus.

In Pocket speichern vorlesen Druckansicht 508 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Kaspersky warnt vor dem Wurm Win32.Bizex, der über eine Sicherheitslücke im Internet Explorer in Windows-PCs eindringt. Der Schädling macht sich einen Fehler bei der Behandlung von CHM-Dateien (kompilierte HTML-Hilfeseiten) im Browser zunutze, um beliebigen Code nachzuladen und auszuführen. Derzeit sind zwei CHM-Lücken im Internet Explorer bekannt -- für keine der beiden gibt es einen Patch. Der Besuch einer Webseite reicht dabei aus, um sich mit dem Wurm zu infizieren.

Der Angriff vollzieht sich in mehreren Schritten: Eine CHM-Datei auf der Webseite enthält eine weitere Datei iefucker.html, die wiederum ein als TrojanDropper bekanntes Skript beherbergt. Das Skript extrahiert die Datei WinUpdate.exe in mehrere Systemverzeichnisse. WinUpdate.exe lädt dann die Hauptkomponente des Wurms aus dem Netz nach und legt sie als aptgetupd.exe ab. Zusätzlich zum Angriff über CHM-Dateien probiert die Webseite auf dem PC Java-Archive abzulegen und auszuführen, in denen weitere so genannte TrojanDownloaders gespeichert sind.

Von befallenen PCs versucht Bizex ICQ-Nachrichten zu versenden, in dem ein Link auf die Seite www.jokeworld.xxx/xxx.html führt, über die der Angriff erfolgt. Nach Angaben von Kaspersky versucht der Wurm auf dem System Informationen auszuspähen. Windows-Anwender sollten nicht vertrauenswürdige Seiten mit alternativen Browsern wie Opera oder Mozilla besuchen, da mittlerweile seit mehreren Monaten teilweise ungepatchte Lücken im Internet Explorer bekannt sind, die das Laden und Ausführen von beliebigem Code ermöglichen.

Weitere Hinweise zu Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.

Update
Kaspersky hat seine Angaben zu dem Wurm in einer Pressemeldung präzisiert. Der Wurm sucht auf infizierten PCs nach Daten installierter Zahlungssysteme der Hersteller Wells Fargo, American Express UK, Barclaycard, Credit Lyonnais, Bred.fr, Lloyds und E-Gold und sendet diese an Server im Internet. Des Weiteren soll Bizex in der Lage sein, HTTPS-Verkehr mitzulesen und diese Daten ebenfalls zu versenden.

Obwohl die Webseite, die den Wurm verbreitet hat, mittlerweile geschlossen ist, sollen dennoch 50.000 Rechner infiziert worden sein. Zum Versenden der Nachrichten greift der Wurm auf Funktionsbibliotheken von ICQ-Clients zurück. Über Pager wie Miranda oder Trillian kann Bizex keine Nachrichten an andere Anwender verschicken.

Siehe dazu auch: (dab)