Wurmangriff: Bugbear und Opaserv schlagen zu

Zwei Windows32-Würmer verbreiten sich derzeit rasant im Netz: Bugbear - alias Tanatos - und Opaserv, auch als Scrup bekannt. Beide befallen von der infizierten Maschine aus auch Netzwerk-Shares.

Bugbear, ein klassischer Massmailer-Wurm kommt als UPX-gepacktes Mail-Attachment mit 50 KByte Länge. Wie sein Vetter Klez nutzt er die IFRAME-Vulnerability des MS Internet Explorer 5.x, um sich beim Preview oder Öffnen der Mail mit MS Outlook zu starten.

Der Wurm kopiert sich als .exe mit einem dreibuchstabigen, zufallsgenerierten Namen (etwa cuu.exe oder cti.exe) in den lokalen Startup-Folder. So wird er bei jedem Neustart wieder ausgeführt. Kann er über Netzwerk-Shares die Startup-Verzeichnisse anderer Rechner erreichen, nistet er sich dort ebenfalls ein.

Nach dem Start legt Bugbear drei DLLs im %system%-Directory sowie zwei .dat-Files im %windir%-Verzeichnis an. Diese nicht selbst virulenten Dateien tragen exotische Namen wie lgguqqa.dll oder okkqsa.dat und müssen, da AV-Scanner sie nicht direkt erkennen können, manuell entfernt werden.

Der Wurm sucht alle Mail-Files auf dem befallenen Rechner nach Adressen ab und versendet sich dann an diese weiter. Dazu nutzt er seine eigene, integrierte SMTP-Engine und verwendet als Relay den in HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Internet Account Manager\\Accounts eingetragenen Server.

Damit nicht genug: Findet Bugbear im Speicher einen Antiviren-Scanner-Prozess, terminiert er diesen. Davon betroffen sind die Produkte aller gängigen AV-Hersteller. Zudem öffnet der Wurm auf dem Rechner auch noch eine Backdoor, die sich über den TCP-Port 36794 erreichen lässt.

Der Opaserv-Wurm, über dessen Erstinfektionsweg bis jetzt bei keinem AV-Hersteller Informationen verfügbar sind, verbreitet sich wie Bugbear über freigegebene Netzwerkverzeichnisse. Er kopiert sich selbst als scrsvr.exe auf den Remote-Rechner. Anschließend versucht er, von der Site www.opasoft.com ein Update ("scrupd.exe") nachzuladen.

Um bei jedem Booten erneut geladen zu werden, trägt sich Opaserv in den Schlüssel HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run der Registry ein. Dort kann er unter verschiedenen Namen auftauchen, die jedoch alle den Namensbestandteil "scrsrv" gemeinsam haben. Zudem legt er im Rootverzeichnis des Laufwerks C: die Datei tmp.ini an. Anschließend modifiziert er die reguläre win.ini so, dass sie über tmp.ini ebenfalls zum Start des Wurms dienen kann.

Eine von außen erfolgte Infektion mit Opaserv lässt sich entsprechend am Vorhandensein dieser Datei erkennen. Wurde der Wurm lokal bereits ausgeführt, finden sich zudem die Files scrsin.dat und scrsout.dat im Wurzelverzeichnis des C:-Laufwerks.

Alle größeren Antiviren-Hersteller bietet bereits Signaturen an, mit deren Hilfe sich Bugbear und Opaserv identifizieren und unschädlich machen lassen. Es empfiehlt sich dringend, die entsprechenden Updates schnellsten einzuspielen. (jlu)