Neuer Windows-Wurm Bagle.Q nutzt Lücke im Internet Explorer aus
Bei der neuen Q-Variante des Bagle-Wurms reicht es bereits aus, eine Mail zu lesen, um sich zu infizieren.
Bei der neuen Q-Variante des Bagle-Wurms reicht es bereits aus, eine Mail zu lesen, um sich zu infizieren. Anders als bisherige Bagle-Versionen versendet sich der Wurm nicht als Anhang einer Mail, sondern lädt sich über einen Link in der Mail selbst nach. Ist beispielsweise unter Outlook die HTML-Ansicht von Mails aktiviert, so lädt die Mail über einen versteckten Link eine HTML-Datei aus dem Internet nach. Um den PC eines Anwenders ohne dessen Interaktion zu infizieren, macht sich der Wurm eine seit längerem bekannte Lücke (MS03-040) im Internet Explorer zu Nutze: Die Object-Tag-Schwachstelle ermöglicht es Angreifern, ausführbare Dateien auf den PC eines Opfers zu laden und in dessen Kontext auszuführen. Ob der eigene Rechner über diese Lücke angreifbar ist, können Anwender mit dem c't-Browsercheck überprüfen.
In der nachgeladenen HTML-Datei steckt ein Visual-Basic-Skript Q.VBS, welches den eigentlichen Wurm (directs.exe) nachlädt -- dazu sind annähernd 600 IP-Adressen voreingestellt. Von infizierten Systemen versendet sich der Wurm mit gefälschtem Absender an Empfängeradressen, die er in diversen Dateien gefunden hat, und verwendet dabei verschiedene englischsprachige Texte. Außerdem verbreitet er sich über Peer-to-Peer-Tauschbörsen. Über eine Schadroutine verfügt der Wurm nicht, eine Hintertür öffnet er nach derzeitigem Kenntnisstand nicht.
Einige Hersteller haben ihre Signaturen zum Erkennen des Wurms bereits aktualisiert. Trend Micro stuft das Risiko bereits als "medium" ein, bei NAI ist bislang nur Stufe "low" erreicht. Anwender sollten die HTML-Ansicht ihres E-Mails-Clients deaktivieren und zusätzlich das Nachladen von Inhalten abschalten. Auch sollte der Patch zum Stopfen der Lücke im Internet Explorer eingespielt werden, sofern nicht schon geschehen. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.
Siehe dazu auch: (dab)
- Virenwarnung von Trend Micro
- Virenwarnung von NAI
- Virenwarnung von F-Secure
