Mail-Wurm "Blebla" nutzt alte Outlook-Lücken zur Verbreitung
Der Mail-Wurm W32/Blebla alias W32/Verona verbreitet sich über eine alte Outlook-Sicherheitslücke.
Verschiedene Hersteller von Anti-Viren-Software warnen vor einem Mail-Wurm mit dem Namen W32/BleBla(@MM) beziehungsweise W32/Verona. Der vermutlich aus Polen stammende Wurm nutzt eine Sicherheitslücke von Outlook und Internet Explorer 5.x, um sich als HTML-Mail an alle Einträge im Windows- beziehungsweise Outlook-Adressbuch zu verschicken. Zu erkennen ist W32/Blebla an folgenden Betreffzeilen:
"ble bla, bee"
"I Love You"
"sorry..."
"Hey you !"
"Matrix has you..."
"my picture"
"from shake-beer"
Der Wurm hat zwar keine Schadfunktion, neu ist jedoch, dass er im Unterschied zu anderen Mail-Würmern keinen sichtbaren Dateianhang mitbringt. Stattdessen nutzt er eine bereits seit März bekannte IFRAME-Sicherheitslücke, die über Active-Scripting zwei im HTML-Text (base64-)kodierte Dateien namens "Romeo.exe" und "myjuliet.chm" in das Temp-Verzeichnis von Windows entpackt. Über ein Skript in der HTML-Mail startet die Windows-Hilfedatei myjuliet.chm, die wiederum über einen "Shortcut" Romeo.exe ausführt.
Dieses Programm versucht die HTML-Mail über sechs in W32/Blebla angegebene SMTP-Server zu verschicken. Wer bereits das "Microsoft E-Mail Security"-Update für Outlook 98 oder 2000 installiert hat, sollte den Zugriff auf das Adressbuch bemerken und verhindern können.
Als Gegenmaßnahme gegen W32/Blebla sollte man Active-Scripting in den Sicherheitseinstellungen von Outlook und Internet Explorer deaktivieren. Die Hersteller von Anti-Viren-Software haben bereits Updates ihrer Signaturdateien zur Erkennung des Virus bereitgestellt. Hinweise zur Abwehr von Viren und Würmern und zum Umgang mit E-Mail-Attachments bietet zudem die Antiviren-Seite von c't. (vza)
