ILOVEYOU: Versteckter Trojaner stiehlt Passwörter

Wie bereits gemeldet, versucht der E-Mail-Wurm eine ausführbare Datei von einem philippinischen Web-Server zu laden. In diesem inzwischen vom Server gelöschten Programm versteckt sich eine hinterhältige Routine, die Passwörter abfängt und versucht, sie an eine philippinische E-Mail-Adresse zu schicken.

Der US-amerikanische Hersteller von Antiviren-Software Network Associates (NAI) hat die Datei WIN-BUGSFIX.EXE auf seiner Webseite dokumentiert. Demnach liest das Programm aus dem unverschlüsselten Passwort-Cache von Windows den Anmeldenamen, den Anmeldeserver und die IP-Adresse des Opfers aus. Besonders brisant: Laut NAI soll der Trojaner auch das Passwort eines Remote Access Servers (RAS) auslesen.

Damit könnte sich der Angreifer leicht Zugang zu Firmennetzen verschaffen, sofern die RAS-Server nicht mit festgelegten Rückrufnummern arbeiten. Administratoren, die in ihrem Netz die Datei WIN-BUGSFIX.EXE entdecken, muss somit dringend empfohlen werden, den RAS-Zugang nur noch mit Rückruf zu erlauben. Dazu sollte bei Windows NT auch die Möglichkeit gesperrt werden, dass die Benutzer ihre Rückrufnummer selbst einrichten. Bei ISDN-Zugängen ist darüber hinaus eine Identifizierung der eingehenden Anrufe zu empfehlen.

Der Trojaner nennt sich selbst "Barok", ein Name, der auch schon im Quelltext des LoveLetter-Virus selbst auftaucht. Auch der Name "spyder", der mutmaßliche Urheber der Mail-Wurms, steckt im Quelltext der Mails, die der Trojaner verschickt. Das Programm versucht unter der Betreffzeile "Barok... email.passwords.sender.trojan" eine Mail mit den Passwörtern an die Adresse "mailme@super.net.ph" zu schicken. Durch die Länder-Domain ".ph", die für die Philippinen steht, erhärtet sich der Verdacht, dass LoveLetter von der Inselgruppe stammt.

Wie man nach einem Befall LoveLetter und auch den Trojaner wieder loswird, hat tecChannel bereits beschrieben. (nie)

Beachten Sie zum LoveLetter-Virus bitte auch unseren umfassenden Report:

ILOVEYOU: Hintergründe und Hilfen