Neuer Trojaner-Wurm nutzt Windows-Sicherheitslücke
 

Trojaner-Wurm nutzt Windows-Sicherheitslücke


Bugbear späht Passwörter, Kreditkartennummern und weitere vertrauliche Daten aus


Wie zahlreiche Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich seit vergangener Nacht ein Trojaner-Wurm namens Bugbear rasant im Internet. Der Wurm nutzt ein altes Sicherheitsleck im Internet Explorer, deaktiviert Virenscanner sowie Firewalls und enthält eine Trojaner-Komponente, die nach vertraulichen, sensitiven Daten auf dem befallenen System sucht.

Der Bugbear-Wurm verbreitet sich per E-Mail, indem er nach passenden Adressen in lokalen Dateien mit den Endungen *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX und *.OCS sucht. Für den Mail-Versand besitzt der Wurm eine eigene SMTP-Engine. Außerdem kopiert sich der Wurm über ein Netzwerk in den Autostart-Ordner der angeschlossenen Rechner, um sich so innerhalb eines lokalen Netzwerkes zu verbreiten. Schließlich trägt sich der Wurm in die Registry ein, damit der Schädling bei jedem Systemstart aktviert wird.

Der in Visual C geschriebene Wurm ist UPX-gepackt und versendet infizierte E-Mails mit wechselndem englischsprachigem Betreff, Nachrichtentext und Dateinamen-Anhang, was eine Identifizierung des Wurms erschwert. Der eigentliche Wurm-Code steckt in einem 50.688 Byte großen Dateianhang der E-Mail und besteht aus einer Datei mit doppelter Dateiendung, wobei der zweite Teil auf .EXE, .SCR oder .PIF endet. Zudem kann es passieren, dass sich der Wurm an eine vordefinierte E-Mail-Adresse versendet.

Sobald der Wurm aktiviert wurde, öffnet er den TCP-Port 36794 und sucht ständig nach laufenden Virenscannern und Firewalls, um diese Prozesse zu beenden und ungestört seiner Arbeit nachzugehen. Der Wurm enthält eine Trojaner-Komponente, die als PWS-Hooker.dll identifiziert wurde und auf dem befallenen System sensitive Daten wie Kreditkartennummern, Passwörter und PINs abfängt. Die Öffnung des TCP-Ports 36794 erlaubt es einem Angreifer, beliebigen Programmcode auf dem befallenen System auszuführen und so die Kontrolle darüber zu erlangen.

Wie schon viele andere Würmer macht sich auch der Bugbear-Wurm eine alte Sicherheitslücke im Internet Explorer 5.0 und 5.5 zu Nutze, die offenbar bei vielen Anwendern immer noch nicht geschlossen wurde, obwohl der entsprechende Patch seit 1,5 Jahren verfügbar ist. Viele E-Mail-Programme, wie etwa Outlook und Outlook Express, nutzen die Rendering Engine des Internet Explorer zur Ansicht von HTML-Mails. Wenn der Patch für den Internet Explorer 5.01 oder 5.5 nicht installiert ist, genügt bereits die Vorschau einer infizierten HTML-Mail, damit der Dateianhang unbemerkt vom Anwender ausgeführt und der Rechner somit infiziert wird.

Zahlreiche Hersteller von Antiviren-Software bieten bereits aktualisierte Virensignaturen an, die den Bugbear-Wurm erkennen und unschädlich machen können. Man sollte sich also zügig aktuelle Virensignaturen des eingesetzten Virenscanners besorgen. Der Wurm-Befall beschränkt sich auf Windows-Systeme; MacOS und Linux sind nicht davon betroffen.


ich hoff es is kein HOAX ;)

Na, da werden sich wieder einige wundern.

ich schalt mein pc einfach nima ein :D :D

Ist wohl etwas übertrieben :D. Aber mal ansehen, was da so per Mail herinkommt sollte man sich schon (und vielleicht kein Outlook verwenden).

hm.. hab nur outlook express :D
naja demnächst prack i ma eh lotus notes drauf... :)

Re: Neuer Trojaner-Wurm nutzt Windows-Sicherheitslücke
 

nein ist es keiner ;)

W32/Bugbear (30.09.2002 - Abendstunden)
Alias-Namen: Tanat, Tanatos, Natosta.A, Worm_Natosta.A, W32.Bugbear@mm, I-Worm.Tanatos

Virentyp: EXE-Wurm & Backdoor-Trojaner / Keylogger (Ursprung Malaysia)

Verbreitung: via E-Mail mittels I-Frame bzw. Dateianhang (je nach Mailprogramm u. Konfiguration). Dateigröße: ca. 50 KB (Endungen .pif, .scr oder .pif möglich). Vorsicht ! Datei weist Doppelendungen auf ! Der Wurm kann sich auch unter gegebenen Voraussetzungen über das Netzwerk verbreiten.
Betreff/Subject: Die Betreffzeilen werden scheinbar aus einer Liste durch den Wurm generiert. Diese Liste an dieser Stelle zu veröffentlichen wäre etwas zu lang (siehe hierzu unter den Informations-Links, die fast alle entsprechende Listen veröffentlicht haben. Die Betreffzeilen sind jedoch stets in englischer Sprache verfasst. Die meisten dieser Mails enthalten keine Nachricht.

Erkennbare Anzeichen einer Infektion: Existenz der Dateien: iccyoa.dll, lgguqaa.dll, roomuaa.dll, okkqsa.dat, ussiwa.dat. Die Wurmdatei selber weicht bei jeder Infektion ab und kann als eindeutiges Erkennungszeichen hier nicht genannt werden.
Bekannte Schäden: Der Wurm nutzt eine längst bekannte Sicherheitslücke der Versionen 5.01 und 5.5 des Internet Explorer. Der Dateianhang wird somit unter gegebenen Umständen bereits beim öffnen der Mailnachricht mittels der Mailprogramme Outlook und Outlook Express ausgeführt. Die Firma Microsoft hält hierzu auch Sicherheitspatches bereit. Der Wurm kopiert sich in das Windows Autostartverzeichnis und versucht eine große Anzahl von Security Programmen (Viren- Trojanerscanner und Firewalls) zu beenden um unentdeckt zu bleiben. Bugbear verschickt sich selber über eine eigenen SMTP-Routine, nutzt somit keine vorliegenden Mailprogramme. Auch TXT-Dateien des infizierten Systems können diesen Mails beigefügt worden sein. Die Zieladressen sucht sich der Wurm aus dem Windows Adressbuch und anderen Dateien bestimmter Endungen. Der Wurm verfügt über einen kleinen eingebauten "Filter", tauchen bestimmte Strings in einer Zieladresse auf, so versendet Bugbear an diese keine Mail. Beispiel: Auch der String "trojan" ist darin zu finden, somit dürften z.B. Mailadressen von uns (trojaner-info.de) mit dem Empfang derartige Mails wahrscheinlich verschont bleiben. Warum das so ist, darüber kann nur spekuliert werden. Die Trojanerkomponente öffnet den Port 36794 und ermöglicht den Zugriff auf das infizierte System von anderen Rechnern aus. Der Wurm installiert desweiteren einen Keylogger zwecks Aufzeichnung von Tastatureingaben. Bugbear ist unter allen Windows-Systemen lauffähig.

Das mit dem beenden ist ja das allerlustigste. Gerade wenn ich merke, dass meine FW und Virenscanner nicht mehr läuft werde ich misstrauisch.

joooo, vorallem wennst ein dashbord hast des aufeinmal vom desktop verschwindet ;)

wie spät der virus meine kreditkarten nummer aus?

kann der in meine brieftasche schauen? :D

Ich weis auch nicht wie die gerade auf die Kreditkarte kommen. Der hat aber einen Keylogger drinnen, und vielleicht meinens, dass soviele im Internet mit der Kreditkarte zahlen.