D
DDK
Guest
Bugbear reloaded: Neue Variante des Virus stark im Umlauf
Der Bugbear-B Virus (auch bekannt als W32/Bugbear-B) verbreitet sich durch automatisch ausgelöste E-Mails und kopiert sich von Netzwerk zu Netzwerk. Das neue Schadprogramm basiert auf dem ursprünglichen Bugbear Wurm ( W32/Bugbear-A), der im Vorjahr am zweit häufigsten gemeldet wurde. Die neue Version hat jedoch noch einen Trumpf mehr im Ärmel: Er ist polymorph, das heißt er ändert fortlaufend sein Erscheinungsbild, um nicht abgefangen zu werden. W32/Bugbear-B verbreitet sich, indem er e-mails mit Attachments versendet und indem er freigegebene Ressourcen in Ihrem Netzwerk aufspürt und sich dorthin kopiert.
Der Virus versucht, eine MIME- und eine IFRAME-Schwachstelle in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und des Internet Explorers auszunutzen. Durch diese Schwachstellen kann ein ausführbares Attachment automatisch gestartet werden, auch wenn der Anwender gar nicht auf das Attachment doppelt geklickt hat. Microsoft hat ein Patch zur Verfügung gestellt, das vor solchen Angriffen schützt. Das Patch kann vom Microsoft Security Bulletin MS01-027 heruntergeladen werden. (Diese Patch schließt auch andere Schwachstellen in Software von Microsoft, einschließlich der, die von diesem Virus ausgenutzt wird.)
Wenn der Virus aktiv ist, erscheinen mehrere neue Dateien auf dem Computer des Anwenders. Die Namen dieser Dateien bestehen aus Buchstaben des Alphabets, die zufällig von dem Virus ausgewählt werden. Der Virus verbreitet sich via E-Mail. Die E-Mails können wie normale E-Mails aussehen, können aber auch gar keinen Text enthalten und unterschiedlichste Betreffzeilen haben. Die Attachments haben doppelte Erweiterungen, wobei die zweite Erweiterung EXE, SCR oder PIF ist, und können denselben Dateinamen wie andere Dateien auf dem Computer des Opfers haben.
Bitte beachten Sie, dass der Virus die "Sender"- und "Antwort an"-Felder in den versendeten E-Mails fälschen kann. W32/Bugbear-B öffnet Port 1080 und wartet auf Befehle von einem Remote-Rechner. Je nach den gesendeten Anweisungen kann ein Remote-Benutzer folgendes auf dem Computer des Opfers versuchen:
Ausspionieren von Kennwörtern im Cache-Speicher in einer verschlüsselten Form, Download und Start einer Datei, Suchen/Löschen/Ausführen/Kopieren von Dateien, Schreiben in Dateien, Auflisten und Beenden von Prozessen, Ausspionieren von Informationen wie Benutzername, Prozessortyp, Windows Version, Speicherdaten (verwendete Größe, freier Speicherplatz etc.), Lauwerkinformationen (Typen der verfügbaren lokalen Laufwerke, Speicher auf diesen Laufwerken etc.).
Der Remote-Benutzer kann außerdem versuchen, Port 80 (HTTP) auf dem Computer des Opfers zu öffnen, sich dann mit dem Backdoor-Webserver (möglicherweise ein Apache 1.3.26-artiger Webserver) zu verbinden, der von W32/Bugbear-B zur Verfügung gestellt wurde und so einen gewissen Grad an Steuerung über den infizierten Computer zu erreichen.
lg,
Silvia und Arkti
Der Bugbear-B Virus (auch bekannt als W32/Bugbear-B) verbreitet sich durch automatisch ausgelöste E-Mails und kopiert sich von Netzwerk zu Netzwerk. Das neue Schadprogramm basiert auf dem ursprünglichen Bugbear Wurm ( W32/Bugbear-A), der im Vorjahr am zweit häufigsten gemeldet wurde. Die neue Version hat jedoch noch einen Trumpf mehr im Ärmel: Er ist polymorph, das heißt er ändert fortlaufend sein Erscheinungsbild, um nicht abgefangen zu werden. W32/Bugbear-B verbreitet sich, indem er e-mails mit Attachments versendet und indem er freigegebene Ressourcen in Ihrem Netzwerk aufspürt und sich dorthin kopiert.
Der Virus versucht, eine MIME- und eine IFRAME-Schwachstelle in einigen Versionen von Microsoft Outlook, Microsoft Outlook Express und des Internet Explorers auszunutzen. Durch diese Schwachstellen kann ein ausführbares Attachment automatisch gestartet werden, auch wenn der Anwender gar nicht auf das Attachment doppelt geklickt hat. Microsoft hat ein Patch zur Verfügung gestellt, das vor solchen Angriffen schützt. Das Patch kann vom Microsoft Security Bulletin MS01-027 heruntergeladen werden. (Diese Patch schließt auch andere Schwachstellen in Software von Microsoft, einschließlich der, die von diesem Virus ausgenutzt wird.)
Wenn der Virus aktiv ist, erscheinen mehrere neue Dateien auf dem Computer des Anwenders. Die Namen dieser Dateien bestehen aus Buchstaben des Alphabets, die zufällig von dem Virus ausgewählt werden. Der Virus verbreitet sich via E-Mail. Die E-Mails können wie normale E-Mails aussehen, können aber auch gar keinen Text enthalten und unterschiedlichste Betreffzeilen haben. Die Attachments haben doppelte Erweiterungen, wobei die zweite Erweiterung EXE, SCR oder PIF ist, und können denselben Dateinamen wie andere Dateien auf dem Computer des Opfers haben.
Bitte beachten Sie, dass der Virus die "Sender"- und "Antwort an"-Felder in den versendeten E-Mails fälschen kann. W32/Bugbear-B öffnet Port 1080 und wartet auf Befehle von einem Remote-Rechner. Je nach den gesendeten Anweisungen kann ein Remote-Benutzer folgendes auf dem Computer des Opfers versuchen:
Ausspionieren von Kennwörtern im Cache-Speicher in einer verschlüsselten Form, Download und Start einer Datei, Suchen/Löschen/Ausführen/Kopieren von Dateien, Schreiben in Dateien, Auflisten und Beenden von Prozessen, Ausspionieren von Informationen wie Benutzername, Prozessortyp, Windows Version, Speicherdaten (verwendete Größe, freier Speicherplatz etc.), Lauwerkinformationen (Typen der verfügbaren lokalen Laufwerke, Speicher auf diesen Laufwerken etc.).
Der Remote-Benutzer kann außerdem versuchen, Port 80 (HTTP) auf dem Computer des Opfers zu öffnen, sich dann mit dem Backdoor-Webserver (möglicherweise ein Apache 1.3.26-artiger Webserver) zu verbinden, der von W32/Bugbear-B zur Verfügung gestellt wurde und so einen gewissen Grad an Steuerung über den infizierten Computer zu erreichen.
lg,
Silvia und Arkti