Original-URL des Artikels: https://www.golem.de/0308/26766.html    Veröffentlicht: 04.08.2003 10:17    Kurz-URL: https://glm.io/26766

Mimail-Wurm nutzt Sicherheitsleck in Outlook Express

Wurm gibt Informationen offener Applikationen weiter

Wie etliche Anbieter von Antiviren-Lösungen berichten, tauchte am Wochenende der Wurm Mimail auf, der sich zur Verbreitung eine Sicherheitslücke in Outlook Express zu Nutze macht und sich rasant verbreitet hat. Zudem gaukelt einem die Absenderadresse vor, dass es sich um eine Benachrichtigung vom Administrator handelt, damit der Anwender die angehängte Datei unbedarft öffnet und den Wurm somit aktiviert.

Der Wurm-Code befindet sich im Mail-Anhang in einer ZIP-Datei mit der Bezeichnung Message.zip. Öffnet der Anwender diese, findet er darin die HTML-Datei Message.htm, die den schadhaften Code enthält. Wird diese HTML-Datei geöffnet, macht sich der Wurm die im April dieses Jahres entdeckte Sicherheitslücke in Outlook Express zu Nutze und führt entsprechenden Programmcode (foo.exe) aus. Parallel mit der Bekanntgabe der Sicherheitslücke in Outlook Express wurde im April 2003 auch ein Patch von Microsoft bereitgestellt.

Die Absenderadresse des Wurms weist das Muster admin@eigene-domain auf und soll dem Anwender so in den Glauben versetzen, dass die betreffende E-Mail vom eigenen Administrator stammt. Die Betreffzeile beginnt mit "your account", gefolgt von einigen zufällig ausgewählten Buchstaben. Der Nachrichtentext ist ebenfalls immer identisch und sieht folgendermaßen aus:
 Hello there, I would like to inform you about important information regarding your email address. This email address will be expiring. Please read attachment for details. 
Diesem Textbaustein folgen - wie auch in der Betreffzeile - einige zufällig ausgewählte Buchstaben.

Für die Verbreitung durchforstet der Wurm etliche lokale Dateien nach passenden E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine. Daneben sammelt Mimail Informationen von offenen Applikationen und versendet diese Informationen an im Wurm-Code abgelegte E-Mail-Adressen. So können vertrauliche Informationen in fremde Hände gelangen. Mimail kopiert sich mit den Bezeichnungen exe.tmp, zip.tmp sowie videodrv.exe in das Windows-Verzeichnis und trägt sich mit videodrv.exe in die Registry ein, so dass der Wurm bei jedem Neustart des Rechners gestartet wird.

Die Hersteller von Antiviren-Software haben ihre Signaturdateien aktualisiert, so dass der Wurm damit erkannt und beseitigt werden kann.  (ip)


Verwandte Artikel:
Sammel-Patch für Outlook Express behebt Sicherheitsloch   
(24.04.2003, https://glm.io/25182 )
Explosionsartige Verbreitung eines weiteren Sobig-Wurms   
(26.06.2003, https://glm.io/26140 )
Neuer Bugbear-Wurm verbreitet sich explosionsartig (Update)   
(05.06.2003, https://glm.io/25825 )
Fizzer-Wurm verbreitet sich rasant im Internet   
(13.05.2003, https://glm.io/25463 )
Auch neue Variante des Sobig-Wurms verbreitet sich stark   
(02.06.2003, https://glm.io/25747 )

© 1997–2020 Golem.de, https://www.golem.de/