Abo
  • Services:
Anzeige

Neuer Bugbear-Wurm verbreitet sich explosionsartig (Update)

Wurm späht vertrauliche Daten aus und versendet deutsche Mail-Texte

Wie die Anbieter von Antiviren-Software berichten, verbreitet sich seit Donnerstagmorgen der Wurm Bugbear.B explosionsartig im Internet. Nachdem zunächst Details zur Arbeitsweise des Wurms fehlten, wurden diese mittlerweile nachgereicht, wobei die Antiviren-Spezialisten ungewöhnlich hohe Gefahrenstufen ausgerufen haben. Bereits die erste Variante des Wurms sorgte im Oktober 2002 für eine enorme Verbreitung, wird aber von der aktuellen Version deutlich in den Schatten gestellt. Auch der Neuling nutzt ein altes Sicherheitsleck im Internet Explorer zur automatischen Verbreitung, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente. Besonders gefährlich: Die Nachrichtentexte einer verseuchten E-Mail können in deutscher Sprache sein. Zudem versucht der Unhold, sich zwischen zahlreichen internationalen Banken zu verbreiten.

Anzeige

Der Bugbear.B-Wurm verbreitet sich per E-Mail, indem er nach passenden Adressen in lokalen Dateien mit den Endungen .MMF, .NCH, .MBX, .EML, .TBB, .DBX und .OCS sowie der Outlook-Inbox sucht. Für den Mail-Versand besitzt der Wurm eine eigene SMTP-Engine. Außerdem infiziert der Schädling zahlreiche Dateien, die er auf den lokalen Laufwerken oder im Netzwerk findet und trägt sich in die Registry ein, um sich bei jedem Systemstart zu aktivieren.

Als besondere Gefahr versendet der Wurm auch verseuchte E-Mails mit deutschem Nachrichtentext und Betreff, was unbedarfte Nutzer in Deutschland in Sicherheit wiegen könnte und dazu verleitet, den Virenanhang zu öffnen. Die Nachrichtentexte können dabei von E-Mails auf einem befallenen System stammen, so dass der Unhold von Menschen geschriebene Texte verwendet. Die Absenderadresse manipuliert der Wurm so, dass der eigentliche Absender nicht der Versender der Wurm-Mail ist. Der eigentliche Wurm-Code steckt in einem Dateianhang der E-Mail und besteht aus einer Datei mit doppelter Endung, wobei der zweite Teil der Endung auf .EXE, .SCR oder .PIF endet. Die Wurm-Komponente verfügt zudem über zahlreiche internationale Bank-Domains, um sich besonders in diesem Wirtschaftszweig zu verbreiten. Die besondere Gefahr von Bugbear.B wird daran deutlich, dass die Hersteller von Antiviren-Software nur selten die höchsten Gefahrenstufen vergeben haben, die nun für Bugbear.B ausgesprochen wurden, auch wenn in den vergangenen zwei Jahren mit CodeRed, Nimda und Klez.E wahre Ungeheuer das Internet verunsicherten.

Sobald der Wurm aktiviert wurde, öffnet er außerdem den TCP-Port 1080 und sucht ständig nach laufenden Virenscannern und Firewalls, um diese Prozesse zu beenden und ungestört seiner Arbeit nachzugehen. Der Wurm enthält eine Trojaner-Komponente, die auf dem befallenen System sensitive Daten wie Kreditkartennummern, Passwörter und PINs abfängt. Die Öffnung des TCP-Ports 1080 erlaubt es einem Angreifer, zahlreiche Aktionen auf dem befallenen System auszuführen und so die Kontrolle darüber zu erlangen.

Wie schon sein Vorgänger macht sich der Bugbear.B-Wurm eine alte Sicherheitslücke im Internet Explorer 5.0 und 5.5 zu Nutze, die offenbar bei vielen Anwendern immer noch nicht geschlossen wurde, obwohl der entsprechende Patch seit mehr als zwei Jahren verfügbar ist. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender ausgeführt und der Rechner infiziert wird. Natürlich schleust man den Wurm auch ins System, wenn man den Anhang einer infizierten E-Mail manuell startet.

Die Hersteller von Antiviren-Software bieten bereits aktualisierte Virensignaturen an, die den Bugbear.B-Wurm erkennen. Unter anderem bieten Symantec und BitDefender kostenlose Tools an, um den Wurm vom System zu entfernen.


eye home zur Startseite
Michael 10. Jun 2003

Schon klar, nur jedes Proggi ist eine potentielle Virennutzmaschine.

Tantalus 10. Jun 2003

Ich glaube, der gute meint ein Proggi wie Mailwasher o.Ä, das Mails vom Server liest und...

Michael 09. Jun 2003

Und sowas diskutiert bei sowas mit!!!! Auf was um alles in der Welt basiert denn Deine...

Morfio 08. Jun 2003

Hi, vielleicht wäre es sinnvoll, wenn Du der Gemeinde verraten würdest, welches Programm...

ralf 08. Jun 2003

Einfach ein Mail-programm nehmen, dass keinerlei Scripts, HTML u.ä. kennt (habe ich in...



Anzeige

Stellenmarkt
  1. Schwarz Zentrale Dienste KG, Neckarsulm
  2. über Duerenhoff GmbH, Neuwied
  3. InnovaMaxx GmbH, Berlin
  4. eg factory GmbH, Chemnitz


Anzeige
Blu-ray-Angebote
  1. 61,99€
  2. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

  1. Elektromobilität

    Lithium ist genug vorhanden, aber es wird teurer

  2. Indiegames-Rundschau

    Krawall mit Knetmännchen und ein Mann im Fass

  3. Microsoft

    Surface Book 2 mit 15 Zoll kommt nach Deutschland

  4. Patent

    Huawei untersucht alternative Smartwatch-Bedienung

  5. AirSpaceX

    Lufttaxi Mobi-One kann fliegen und fahren

  6. NGSFF alias M.3

    Adata zeigt seine erste SSD mir breiterer Platine

  7. Ransomware

    Krankenhaus zahlt 60.000 US-Dollar trotz Backups

  8. Curie

    Google verlegt drei neue Seekabel

  9. Auto

    Ferrari plant elektrischen Supersportwagen

  10. Faser-Wearables

    OLED als Garn für leuchtende Stoffe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  2. Digitale Assistenten Hey, Google und Alexa, mischt euch nicht überall ein!
  3. MX Low Profile im Hands On Cherry macht die Switches flach

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform
  3. Breitbandausbau Oettinger bedauert Privatisierung der Telekom

Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

  1. Re: Ihr Knechte sollt mieten, mieten, mieten!

    JackIsBlack | 12:20

  2. Re: Tja, der Markt regelt das schon

    der_wahre_hannes | 12:18

  3. Re: gezwungen?

    der_wahre_hannes | 12:18

  4. Re: "Wenn es einen elektrischen Supersportwagen...

    gadthrawn | 12:17

  5. Re: Backups sind nie ganz aktuell

    Niaxa | 12:17


  1. 12:30

  2. 12:00

  3. 11:48

  4. 11:20

  5. 10:45

  6. 10:25

  7. 09:46

  8. 09:23


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel