Neuer Bugbear-Wurm verbreitet sich explosionsartig (Update)

Wurm späht vertrauliche Daten aus und versendet deutsche Mail-Texte

Wie die Anbieter von Antiviren-Software berichten, verbreitet sich seit Donnerstagmorgen der Wurm Bugbear.B explosionsartig im Internet. Nachdem zunächst Details zur Arbeitsweise des Wurms fehlten, wurden diese mittlerweile nachgereicht, wobei die Antiviren-Spezialisten ungewöhnlich hohe Gefahrenstufen ausgerufen haben. Bereits die erste Variante des Wurms sorgte im Oktober 2002 für eine enorme Verbreitung, wird aber von der aktuellen Version deutlich in den Schatten gestellt. Auch der Neuling nutzt ein altes Sicherheitsleck im Internet Explorer zur automatischen Verbreitung, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente. Besonders gefährlich: Die Nachrichtentexte einer verseuchten E-Mail können in deutscher Sprache sein. Zudem versucht der Unhold, sich zwischen zahlreichen internationalen Banken zu verbreiten.

Artikel veröffentlicht am ,

Der Bugbear.B-Wurm verbreitet sich per E-Mail, indem er nach passenden Adressen in lokalen Dateien mit den Endungen .MMF, .NCH, .MBX, .EML, .TBB, .DBX und .OCS sowie der Outlook-Inbox sucht. Für den Mail-Versand besitzt der Wurm eine eigene SMTP-Engine. Außerdem infiziert der Schädling zahlreiche Dateien, die er auf den lokalen Laufwerken oder im Netzwerk findet und trägt sich in die Registry ein, um sich bei jedem Systemstart zu aktivieren.

Stellenmarkt
  1. Firmware-Entwickler / Device-Integration Software Engineer (m/w/d)
    PTW FREIBURG Physikalisch-Technische Werkstätten Dr. Pychlau GmbH, Freiburg im Breisgau
  2. IT-Administrator (m/w/d) für Kommunikations- und Kollaborationslösungen
    Beckhoff Automation GmbH & Co. KG, Verl
Detailsuche

Als besondere Gefahr versendet der Wurm auch verseuchte E-Mails mit deutschem Nachrichtentext und Betreff, was unbedarfte Nutzer in Deutschland in Sicherheit wiegen könnte und dazu verleitet, den Virenanhang zu öffnen. Die Nachrichtentexte können dabei von E-Mails auf einem befallenen System stammen, so dass der Unhold von Menschen geschriebene Texte verwendet. Die Absenderadresse manipuliert der Wurm so, dass der eigentliche Absender nicht der Versender der Wurm-Mail ist. Der eigentliche Wurm-Code steckt in einem Dateianhang der E-Mail und besteht aus einer Datei mit doppelter Endung, wobei der zweite Teil der Endung auf .EXE, .SCR oder .PIF endet. Die Wurm-Komponente verfügt zudem über zahlreiche internationale Bank-Domains, um sich besonders in diesem Wirtschaftszweig zu verbreiten. Die besondere Gefahr von Bugbear.B wird daran deutlich, dass die Hersteller von Antiviren-Software nur selten die höchsten Gefahrenstufen vergeben haben, die nun für Bugbear.B ausgesprochen wurden, auch wenn in den vergangenen zwei Jahren mit CodeRed, Nimda und Klez.E wahre Ungeheuer das Internet verunsicherten.

Sobald der Wurm aktiviert wurde, öffnet er außerdem den TCP-Port 1080 und sucht ständig nach laufenden Virenscannern und Firewalls, um diese Prozesse zu beenden und ungestört seiner Arbeit nachzugehen. Der Wurm enthält eine Trojaner-Komponente, die auf dem befallenen System sensitive Daten wie Kreditkartennummern, Passwörter und PINs abfängt. Die Öffnung des TCP-Ports 1080 erlaubt es einem Angreifer, zahlreiche Aktionen auf dem befallenen System auszuführen und so die Kontrolle darüber zu erlangen.

Wie schon sein Vorgänger macht sich der Bugbear.B-Wurm eine alte Sicherheitslücke im Internet Explorer 5.0 und 5.5 zu Nutze, die offenbar bei vielen Anwendern immer noch nicht geschlossen wurde, obwohl der entsprechende Patch seit mehr als zwei Jahren verfügbar ist. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender ausgeführt und der Rechner infiziert wird. Natürlich schleust man den Wurm auch ins System, wenn man den Anhang einer infizierten E-Mail manuell startet.

Golem Akademie
  1. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2022, Virtuell
Weitere IT-Trainings

Die Hersteller von Antiviren-Software bieten bereits aktualisierte Virensignaturen an, die den Bugbear.B-Wurm erkennen. Unter anderem bieten Symantec und BitDefender kostenlose Tools an, um den Wurm vom System zu entfernen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Michael 10. Jun 2003

Schon klar, nur jedes Proggi ist eine potentielle Virennutzmaschine.

Tantalus 10. Jun 2003

Ich glaube, der gute meint ein Proggi wie Mailwasher o.Ä, das Mails vom Server liest und...

Michael 09. Jun 2003

Und sowas diskutiert bei sowas mit!!!! Auf was um alles in der Welt basiert denn Deine...

Morfio 08. Jun 2003

Hi, vielleicht wäre es sinnvoll, wenn Du der Gemeinde verraten würdest, welches Programm...

ralf 08. Jun 2003

Einfach ein Mail-programm nehmen, dass keinerlei Scripts, HTML u.ä. kennt (habe ich in...



Aktuell auf der Startseite von Golem.de
Web3
Egal, irgendwas mit Blockchain

Im Buzzword-Bingo gibt es einen neuen Favoriten: Web3. Basierend auf Blockchain und Kryptotokens soll es endlich die Erwartungen an diese Techniken erfüllen.
Eine Analyse von Boris Mayer

Web3: Egal, irgendwas mit Blockchain
Artikel
  1. Minibook X: Chuwi packt 12 GByte Arbeitsspeicher in 550-Euro-Notebook
    Minibook X
    Chuwi packt 12 GByte Arbeitsspeicher in 550-Euro-Notebook

    Das Chuwi Minibook X ist wohl eines der günstigsten Notebooks mit 12 GByte Arbeitsspeicher auf dem Markt. Es ist zudem kompakt.

  2. Rocket 1: 3D-Druck vom Kopf auf die Füße gestellt
    Rocket 1
    3D-Druck vom Kopf auf die Füße gestellt

    Eine der interessantesten Crowdfunding-Kampagnen für 3D-Drucker seit Jahren lässt einige wichtige Fragen offen.
    Von Elias Dinter

  3. Samsung: Komplettes Android läuft auf Außendisplay des Z Flip 3
    Samsung
    Komplettes Android läuft auf Außendisplay des Z Flip 3

    Das Außendisplay von Samsungs kompaktem Falt-Smartphone ist klein - dennoch hat ein Entwickler eine Android-Oberfläche darauf zum Laufen bekommen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Lenovo Laptops (u.a. 17,3" RTX3080 1.599€) • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /