|
Neuer Trojaner-Wurm nutzt Windows-Sicherheitslücke
Trojaner-Wurm nutzt Windows-Sicherheitslücke
Bugbear späht Passwörter, Kreditkartennummern und weitere vertrauliche Daten aus Wie zahlreiche Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich seit vergangener Nacht ein Trojaner-Wurm namens Bugbear rasant im Internet. Der Wurm nutzt ein altes Sicherheitsleck im Internet Explorer, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente, die nach vertraulichen, sensitiven Daten auf dem befallenen System sucht. Der Bugbear-Wurm verbreitet sich per E-Mail, indem er nach passenden Adressen in lokalen Dateien mit den Endungen *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX und *.OCS sucht. Für den Mail-Versand besitzt der Wurm eine eigene SMTP-Engine. Außerdem kopiert sich der Wurm über ein Netzwerk in den Autostart-Ordner der angeschlossenen Rechner, um sich so innerhalb eines lokalen Netzwerkes zu verbreiten. Schließlich trägt sich der Wurm in die Registry ein, damit der Schädling bei jedem Systemstart aktviert wird. Der in Visual C geschriebene Wurm ist UPX-gepackt und versendet infizierte E-Mails mit wechselndem englischsprachigem Betreff, Nachrichtentext und Dateinamen-Anhang, was eine Identifizierung des Wurms erschwert. Der eigentliche Wurm-Code steckt in einem 50.688 Byte großen Dateianhang der E-Mail und besteht aus einer Datei mit doppelter Dateiendung, wobei der zweite Teil auf .EXE, .SCR oder .PIF endet. Zudem kann es passieren, dass sich der Wurm an eine vordefinierte E-Mail-Adresse versendet. Sobald der Wurm aktiviert wurde, öffnet er den TCP-Port 36794 und sucht ständig nach laufenden Virenscannern und Firewalls, um diese Prozesse zu beenden und ungestört seiner Arbeit nachzugehen. Der Wurm enthält eine Trojaner-Komponente, die als PWS-Hooker.dll identifiziert wurde und auf dem befallenen System sensitive Daten wie Kreditkartennummern, Passwörter und PINs abfängt. Die Öffnung des TCP-Ports 36794 erlaubt es einem Angreifer, beliebigen Programmcode auf dem befallenen System auszuführen und so die Kontrolle darüber zu erlangen. Wie schon viele andere Würmer macht sich auch der Bugbear-Wurm eine alte Sicherheitslücke im Internet Explorer 5.0 und 5.5 zu Nutze, die offenbar bei vielen Anwendern immer noch nicht geschlossen wurde, obwohl der entsprechende Patch seit 1,5 Jahren verfügbar ist. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender ausgeführt und der Rechner somit infiziert wird. Zahlreiche Hersteller von Antiviren-Software bieten bereits aktualisierte Virensignaturen an, die den Bugbear-Wurm erkennen und unschädlich machen können. Man sollte sich also zügig aktuelle Virensignaturen des eingesetzten Virenscanners besorgen. Der Wurm-Befall beschränkt sich auf Windows-Systeme; MacOS und Linux sind nicht davon betroffen. ich hoff es is kein HOAX ;) |
Na, da werden sich wieder einige wundern.
|
ich schalt mein pc einfach nima ein :D :D
|
Ist wohl etwas übertrieben :D. Aber mal ansehen, was da so per Mail herinkommt sollte man sich schon (und vielleicht kein Outlook verwenden).
|
hm.. hab nur outlook express :D
naja demnächst prack i ma eh lotus notes drauf... :) |
Re: Neuer Trojaner-Wurm nutzt Windows-Sicherheitslücke
Zitat:
W32/Bugbear (30.09.2002 - Abendstunden) Alias-Namen: Tanat, Tanatos, Natosta.A, Worm_Natosta.A, W32.Bugbear@mm, I-Worm.Tanatos Virentyp: EXE-Wurm & Backdoor-Trojaner / Keylogger (Ursprung Malaysia) Verbreitung: via E-Mail mittels I-Frame bzw. Dateianhang (je nach Mailprogramm u. Konfiguration). Dateigröße: ca. 50 KB (Endungen .pif, .scr oder .pif möglich). Vorsicht ! Datei weist Doppelendungen auf ! Der Wurm kann sich auch unter gegebenen Voraussetzungen über das Netzwerk verbreiten. Betreff/Subject: Die Betreffzeilen werden scheinbar aus einer Liste durch den Wurm generiert. Diese Liste an dieser Stelle zu veröffentlichen wäre etwas zu lang (siehe hierzu unter den Informations-Links, die fast alle entsprechende Listen veröffentlicht haben. Die Betreffzeilen sind jedoch stets in englischer Sprache verfasst. Die meisten dieser Mails enthalten keine Nachricht. Erkennbare Anzeichen einer Infektion: Existenz der Dateien: iccyoa.dll, lgguqaa.dll, roomuaa.dll, okkqsa.dat, ussiwa.dat. Die Wurmdatei selber weicht bei jeder Infektion ab und kann als eindeutiges Erkennungszeichen hier nicht genannt werden. Bekannte Schäden: Der Wurm nutzt eine längst bekannte Sicherheitslücke der Versionen 5.01 und 5.5 des Internet Explorer. Der Dateianhang wird somit unter gegebenen Umständen bereits beim öffnen der Mailnachricht mittels der Mailprogramme Outlook und Outlook Express ausgeführt. Die Firma Microsoft hält hierzu auch Sicherheitspatches bereit. Der Wurm kopiert sich in das Windows Autostartverzeichnis und versucht eine große Anzahl von Security Programmen (Viren- Trojanerscanner und Firewalls) zu beenden um unentdeckt zu bleiben. Bugbear verschickt sich selber über eine eigenen SMTP-Routine, nutzt somit keine vorliegenden Mailprogramme. Auch TXT-Dateien des infizierten Systems können diesen Mails beigefügt worden sein. Die Zieladressen sucht sich der Wurm aus dem Windows Adressbuch und anderen Dateien bestimmter Endungen. Der Wurm verfügt über einen kleinen eingebauten "Filter", tauchen bestimmte Strings in einer Zieladresse auf, so versendet Bugbear an diese keine Mail. Beispiel: Auch der String "trojan" ist darin zu finden, somit dürften z.B. Mailadressen von uns (trojaner-info.de) mit dem Empfang derartige Mails wahrscheinlich verschont bleiben. Warum das so ist, darüber kann nur spekuliert werden. Die Trojanerkomponente öffnet den Port 36794 und ermöglicht den Zugriff auf das infizierte System von anderen Rechnern aus. Der Wurm installiert desweiteren einen Keylogger zwecks Aufzeichnung von Tastatureingaben. Bugbear ist unter allen Windows-Systemen lauffähig. |
Das mit dem beenden ist ja das allerlustigste. Gerade wenn ich merke, dass meine FW und Virenscanner nicht mehr läuft werde ich misstrauisch.
|
Zitat:
|
wie spät der virus meine kreditkarten nummer aus?
kann der in meine brieftasche schauen? :D |
Ich weis auch nicht wie die gerade auf die Kreditkarte kommen. Der hat aber einen Keylogger drinnen, und vielleicht meinens, dass soviele im Internet mit der Kreditkarte zahlen.
|
Zitat:
|
Zitat:
|
einfach nicht Outlook verwenden, hilft ;)
|
Zitat:
ich zahl fast alles im Internet mit Kredikarte, fast den ganzen letzten Urlaub. allerdings hab' ich auch irgendein hotel in den USA einfach angerufen und irgenjemand meine K.nummer telefonisch durchgegeben. :D und auf jeder restaurant rechnung steht sie auch drauf, wozu also der aufwand, ist eher ein problem der kreditkartenfirmen. |
Zitat:
virenscanner rules ;) |
|
Jeder wurm nutzt die Windows Sicherheitslücken.
Denn wenns die nicht gäbe ,gäbe es auch keine Würmer. Daher nur Windows minimal Installieren,und externe Mailprogramme verwenden. |
Weiß das wer: Ich verwende Opera zum Surfen und auch das Mailprogramm. Kann dieser Wurm jetzt meinen Computer befallen oder nicht? NAV hab ich eh.
|
angeblich verbreitet sich das Würmchen nur über Outlook,no na.
Habe auch Opera,Zonealarm und zusätzlich Virenscan am Server. Aber noch nie Würmer,Viren od. andere diverse Zugriffe. |
ich verwende schon immer outlook, virus hatte ich noch keinen :p
und wenn jemand ein mail von einem unbekannten absender bekommt, den anhang öffnet, dann soll er nur einen virus bekommen... nav2002 funktioniert bei mir sehr gut, scanning incoming/outgoing mails... |
also bei mir hat NAV2002 eine warnung angezeigt, als ich ein bugbear-infiziertes mail
bekommen habe. war also kein problem. auch die reparatur des sender-pc's (mail kam von einem freund, er hat(te) kein virenprogramm installiert) war einfach. greetz zzr1210 |
Zitat:
habe selbe konfiguration (outlook + NAV2002) und auch noch nie etwas eingefangen oder ausgesendet. |
hab auch outlook und bis jetz no kane viren kriegt
PS: meine hauptemail adresse wird nur bei seriösen dingen angegeben bei anderen dingen geb ich meine uboot adresse an da bekomm ich jetz schon an die 100 spam mails in der woche :D |
Tja, das größte Sicherheitsrisiko ist immer noch der Benutzer ;).
Ich hatte noch nie probleme mit einen Virus, Trojaner oder Dialer. Verstehe also die ganze Aufregung nicht. Man darf halt nicht jeden Anhang öffnen, und wer einen Anhang mit doppelter Endung öffnet ist selber schuld. Genauso derjenige der ohne Virenscanner und Firewall surft. |
Es gibt doch auch angeblich E-Mail-Viren , die schon beim Lesen den Rechner infizieren, ohne , dass man einen Anhang öffnet. Und da kann man dann nicht mehr sagen, selbst schuld.
|
Zitat:
doch, denn zuerst "liest" das Antivirenprogramm deine mails |
Zitat:
|
die ganze Virenproblematik betrifft doch immer Microsoft.
Da könnte doch einem der Gedanke kommen,einer aus den Reihen dieser Firma entwickelt stets neue Viren,um dann alle zum Patchen der eigenen Software zu zwingen. Denn der erste Tipp lautet immer,"Spielen Sie immer den neuesten Patch rauf". |
@Al Dente, es könnte natürlich auch sein, dass Outlook von sehr vielen Usern benützt wird und dadurch ein lohnendes Ziel für Virenprogrammierer ist ;)
|
Zitat:
Nur teilweise richtig, es weist von Haus aus einige Designschwächen auf. Ausserdem benutzen es die meisten nicht weil es gut ist sondern "weil es halt da war"..... Ciao, Steve |
Nichts desto trotz wird es sehr häufig verwendet und bietet, wie du schon gesagt hast, einige "Hilfsmittel" die sich sehr gut zu allen möglichen nutzen lassen.
naja, Unbelehrbare gibt es immer wieder ;) |
Der Hauptgrund für die Anfälligkeit von Outlook schätze ich genauso wie enjoy2 auf die große Verbreitung ein. Auch andere Programme haben Sicherheitslücken, nur was nutzt es jemanden wenn die nur von 5% verwendet werden. Mit Outlook verbreitet sich der Virus sicher am schnellsten.
Ist genauso wie Österreich im Schillingzeitalter für Geldfälscher relativ uninteressant war. |
angebliche Trefferquote in Österreich:
4000/min. |
also: ich habe auch Outlook XP & NAV2002 bzw jetzt 2003 drauf - hatte damit noch nie irgendwelche Probleme mit Viren oder Trojanern...
Alternativ versuchte ich diverse mailprogramme, etc... ABER: Wenn jemand Termine verwalten muss, emails vielleicht wegen der Transparenz auch noch direkt im Terminkalender abzulegen hat, von seiner Sekretärin Termine direkt in den Outlook-Kalender gemailt bekommt o.ä., der kommt halt ums grosse Outlook nicht herum - das ist diesbezüglich Weltspitze!!! Da mögen die Leute auf Microsoft schimpfen, aber ich möchte dieses Programm nicht missen! |
Zitat:
ad 1.) Bullshit, du hast dir scheinbar Lotus Notes oder Evolution noch nicht angesehen..... ad 2.) Wenn du zufrieden bist ist das schön, dennoch ist dieses Programm eine einzige Sicherheitslücke (was mir als GNU/Linuxuser egal sein kann) und vergewaltigt viele Mailstandards (DAS ist mir als Empfänger wiederum nicht wurscht). Es gibt ein Leben jenseits des Monopolisten...... Ciao, Steve |
@Lotussteve:
gibt es von Notes irgendwo eine (einigermassen voll) funktionsfähige Testversion zu saugen - ich würde mich gerne überzeugen lassen, da ich persönlich notes wirklich nicht kenne, aber wie es ja so schön heisst: "das Bessere ist des Guten Feind"! danke! |
Zitat:
Die Lotus Notes 5 Personal Edition ist sogar voll funktionsfähig, so voll sie halt ohne im Hintergrund arbeitenden Domino Server sein kann (etwas: Outlook ohne Exchangeserver). Ich weiss nicht ob es die noch bei Lotus zum laden gibt, war lange Zeit auf allen Computermagazin-CDs dabei, da hatte ich meine auch her..... HTH, Ciao, Steve |
Notes R5 Personal hab ich vor über einem Jahr beim Libro um ATS(!) 150,-- gekauft! Frag mal telefonisch bei den grossen Ketten nach...
|
wir haben einen Lotus Notes R5 Client in der firma.
eine größeres dreckssoftware gibt's gar nicht mehr :mad: outlook rules :) |
Zitat:
Nur einen Client oder auch die entsprechenden Backendinfrastruktur? Bei uns in der Firma läuft alles via Notes, das Datenbanktemplatesystem ist ein Wahnsinn :) Aber _m3 kann da sicher mehr dazu erzählen :) . Ciao, Steve |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 07:29 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag