Abo
  • Services:
Anzeige

Trojaner-Wurm nutzt Windows-Sicherheitslücke

Bugbear späht Passwörter, Kreditkartennummern und weitere vertrauliche Daten aus

Wie zahlreiche Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich seit vergangener Nacht ein Trojaner-Wurm namens Bugbear rasant im Internet. Der Wurm nutzt ein altes Sicherheitsleck im Internet Explorer, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente, die nach vertraulichen, sensitiven Daten auf dem befallenen System sucht.

Anzeige

Der Bugbear-Wurm verbreitet sich per E-Mail, indem er nach passenden Adressen in lokalen Dateien mit den Endungen .MMF, .NCH, .MBX, .EML, .TBB, .DBX und .OCS sucht. Für den Mail-Versand besitzt der Wurm eine eigene SMTP-Engine. Außerdem kopiert sich der Wurm über ein Netzwerk in den Autostart-Ordner der angeschlossenen Rechner, um sich so innerhalb eines lokalen Netzwerkes zu verbreiten. Schließlich trägt sich der Wurm in die Registry ein, damit der Schädling bei jedem Systemstart aktviert wird.

Der in Visual C geschriebene Wurm ist UPX-gepackt und versendet infizierte E-Mails mit wechselndem englischsprachigem Betreff, Nachrichtentext und Dateinamen-Anhang, was eine Identifizierung des Wurms erschwert. Der eigentliche Wurm-Code steckt in einem 50.688 Byte großen Dateianhang der E-Mail und besteht aus einer Datei mit doppelter Dateiendung, wobei der zweite Teil auf .EXE, .SCR oder .PIF endet. Zudem kann es passieren, dass sich der Wurm an eine vordefinierte E-Mail-Adresse versendet.

Sobald der Wurm aktiviert wurde, öffnet er den TCP-Port 36794 und sucht ständig nach laufenden Virenscannern und Firewalls, um diese Prozesse zu beenden und ungestört seiner Arbeit nachzugehen. Der Wurm enthält eine Trojaner-Komponente, die als PWS-Hooker.dll identifiziert wurde und auf dem befallenen System sensitive Daten wie Kreditkartennummern, Passwörter und PINs abfängt. Die Öffnung des TCP-Ports 36794 erlaubt es einem Angreifer, beliebigen Programmcode auf dem befallenen System auszuführen und so die Kontrolle darüber zu erlangen.

Wie schon viele andere Würmer macht sich auch der Bugbear-Wurm eine alte Sicherheitslücke im Internet Explorer 5.0 und 5.5 zu Nutze, die offenbar bei vielen Anwendern immer noch nicht geschlossen wurde, obwohl der entsprechende Patch seit 1,5 Jahren verfügbar ist. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender ausgeführt und der Rechner somit infiziert wird. Natürlich schleust man den Wurm auch ins System, wenn man den Dateianhang einer infizierten E-Mail manuell startet.

Zahlreiche Hersteller von Antiviren-Software bieten bereits aktualisierte Virensignaturen an, die den Bugbear-Wurm erkennen und unschädlich machen können. Man sollte sich also zügig aktuelle Virensignaturen des eingesetzten Virenscanners besorgen. Der Wurm-Befall beschränkt sich auf Windows-Systeme; MacOS und Linux sind nicht davon betroffen.


eye home zur Startseite
Manfred 14. Jan 2003

Seit Mitte Nov./2002 habe ich Probleme beim e-mail-versand, weil lt. T-Online von meinem...

Manfred 14. Jan 2003

Seit Mitte Nov./2002 habe ich Probleme beim e-mail-versand, weil lt. T-Online von meinem...

Herby 22. Okt 2002

Konfiguriert ihr mal alle wie, wann und wo ihr wollt - richtig oder falsch, die Pest mit...

David 02. Okt 2002

Einfach in jedem Programm ActiveX einschalten und das Problem ist behoben...

derbst.ch!ll... 02. Okt 2002

muß ja den nerv getroffen haben, ihr spacken *fg*



Anzeige

Stellenmarkt
  1. Techniker Krankenkasse, Hamburg
  2. Bosch Service Solutions Magdeburg GmbH, Magdeburg
  3. Robert Bosch GmbH, Stuttgart-Feuerbach
  4. oput GmbH, Ulm


Anzeige
Spiele-Angebote
  1. (-50%) 14,99€
  2. + Prämie (u. a. Far Cry 5, Elex, Assassins Creed Origins) für 62€

Folgen Sie uns
       

  1. Raumfahrt

    Falsch abgebogen wegen Eingabefehler

  2. Cloud

    AWS bringt den Appstore für Serverless-Software

  3. Free-to-Play-Strategie

    Total War Arena beginnt den Betabetrieb

  4. Funkchip

    US-Grenzbeamte können Pass-Signaturen nicht prüfen

  5. Telekom-Chef

    "Sorry! Da ist mir der Gaul durchgegangen"

  6. WD20SPZX

    Auch Western Digital bringt flache 2-TByte-HDD

  7. Metal Gear Survive im Test

    Himmelfahrtskommando ohne Solid Snake

  8. Cloud IoT Core

    Googles Cloud verwaltet weltweit IoT-Anlagen

  9. Schweden

    Netzbetreiber bietet 10 GBit/s für 45 Euro

  10. Reverse Engineering

    Das Xiaomi-Ökosystem vom Hersteller befreien



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. EU-Urheberrechtsreform Kompromissvorschlag hält an Uploadfiltern fest
  2. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  3. Fake News Murdoch fordert von Facebook Sendegebühr für Medien

Star Trek Discovery: Die verflixte 13. Folge
Star Trek Discovery
Die verflixte 13. Folge
  1. Star Trek Bridge Crew Sternenflotte verlässt Holodeck

  1. Re: 7590 > 7583 Wer soll bei den Bezeichnungen...

    HubertHans | 17:31

  2. Re: API nicht benutzen!

    TheUnichi | 17:31

  3. Re: Ich glaub, es hackt...

    nachgefragt | 17:28

  4. Re: Wir zahlen 45¤ für 16 Mbit/s

    crushos | 17:27

  5. Re: SMR klackert

    DR_ | 17:24


  1. 17:17

  2. 16:50

  3. 16:05

  4. 15:45

  5. 15:24

  6. 14:47

  7. 14:10

  8. 13:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel