• IT-Karriere:
  • Services:

Trojaner-Wurm nutzt Windows-Sicherheitslücke

Bugbear späht Passwörter, Kreditkartennummern und weitere vertrauliche Daten aus

Wie zahlreiche Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich seit vergangener Nacht ein Trojaner-Wurm namens Bugbear rasant im Internet. Der Wurm nutzt ein altes Sicherheitsleck im Internet Explorer, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente, die nach vertraulichen, sensitiven Daten auf dem befallenen System sucht.

Artikel veröffentlicht am ,

Der Bugbear-Wurm verbreitet sich per E-Mail, indem er nach passenden Adressen in lokalen Dateien mit den Endungen .MMF, .NCH, .MBX, .EML, .TBB, .DBX und .OCS sucht. Für den Mail-Versand besitzt der Wurm eine eigene SMTP-Engine. Außerdem kopiert sich der Wurm über ein Netzwerk in den Autostart-Ordner der angeschlossenen Rechner, um sich so innerhalb eines lokalen Netzwerkes zu verbreiten. Schließlich trägt sich der Wurm in die Registry ein, damit der Schädling bei jedem Systemstart aktviert wird.

Stellenmarkt
  1. Sanner GmbH, Bensheim bei Darmstadt
  2. OMIRA GmbH, Ravensburg

Der in Visual C geschriebene Wurm ist UPX-gepackt und versendet infizierte E-Mails mit wechselndem englischsprachigem Betreff, Nachrichtentext und Dateinamen-Anhang, was eine Identifizierung des Wurms erschwert. Der eigentliche Wurm-Code steckt in einem 50.688 Byte großen Dateianhang der E-Mail und besteht aus einer Datei mit doppelter Dateiendung, wobei der zweite Teil auf .EXE, .SCR oder .PIF endet. Zudem kann es passieren, dass sich der Wurm an eine vordefinierte E-Mail-Adresse versendet.

Sobald der Wurm aktiviert wurde, öffnet er den TCP-Port 36794 und sucht ständig nach laufenden Virenscannern und Firewalls, um diese Prozesse zu beenden und ungestört seiner Arbeit nachzugehen. Der Wurm enthält eine Trojaner-Komponente, die als PWS-Hooker.dll identifiziert wurde und auf dem befallenen System sensitive Daten wie Kreditkartennummern, Passwörter und PINs abfängt. Die Öffnung des TCP-Ports 36794 erlaubt es einem Angreifer, beliebigen Programmcode auf dem befallenen System auszuführen und so die Kontrolle darüber zu erlangen.

Wie schon viele andere Würmer macht sich auch der Bugbear-Wurm eine alte Sicherheitslücke im Internet Explorer 5.0 und 5.5 zu Nutze, die offenbar bei vielen Anwendern immer noch nicht geschlossen wurde, obwohl der entsprechende Patch seit 1,5 Jahren verfügbar ist. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender ausgeführt und der Rechner somit infiziert wird. Natürlich schleust man den Wurm auch ins System, wenn man den Dateianhang einer infizierten E-Mail manuell startet.

Zahlreiche Hersteller von Antiviren-Software bieten bereits aktualisierte Virensignaturen an, die den Bugbear-Wurm erkennen und unschädlich machen können. Man sollte sich also zügig aktuelle Virensignaturen des eingesetzten Virenscanners besorgen. Der Wurm-Befall beschränkt sich auf Windows-Systeme; MacOS und Linux sind nicht davon betroffen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. ASUS Radeon RX 6900 XT TUF GAMING OC 16GB für 1.729€)

Manfred 14. Jan 2003

Seit Mitte Nov./2002 habe ich Probleme beim e-mail-versand, weil lt. T-Online von meinem...

Manfred 14. Jan 2003

Seit Mitte Nov./2002 habe ich Probleme beim e-mail-versand, weil lt. T-Online von meinem...

Herby 22. Okt 2002

Konfiguriert ihr mal alle wie, wann und wo ihr wollt - richtig oder falsch, die Pest mit...

David 02. Okt 2002

Einfach in jedem Programm ActiveX einschalten und das Problem ist behoben...

derbst.ch!ll... 02. Okt 2002

muß ja den nerv getroffen haben, ihr spacken *fg*


Folgen Sie uns
       


Automatische Untertitel in Premiere Pro Beta - Tutorial

Wir zeigen, wie sich Untertitel per KI-Spracherkennung erzeugen lassen.

Automatische Untertitel in Premiere Pro Beta - Tutorial Video aufrufen
    •  /