Brid: Massmailer-Wurm nutzt Uralt-Loch

Sicherheit scheint für viele Microsoft-User ein absolutes Fremdwort zu sein: Wieder einmal breitet sich ein Massmailer-Wurm rapide über die seit 19 Monaten bekannte Incorrect MIME Header Vulnerability des IE5 aus.

Die seit März 2001 bekannte und behebbare Sicherheitslücke im Internet Explorer 5.x erlaubt dem je nach AV-Hersteller als Brid oder Braid geführten Wurm, sich schon bei der Vorschau einer Mail in Outlook zu starten. Als Schadlast führt Brid eine leicht modifizierte Variante des seit 1999 sattsam bekannten Funlove-Virus mit sich.

Bei Ausführung schleust der Wurm zunächst einige Dateien in diverse Verzeichnisse ein, modifiziert anschließend die Registry, startet dann den mitgeführten Virus und versucht, sich schließlich über eine eigene SMTP-Engine an alle Kontakte aus dem Outlook-Adressbuch zu versenden.

Bei befallenen Systemen finden sich auf dem Desktop die Dateien help.eml (Mailfile mit Wurmkopie) und explorer.exe (der Wurm selbst). Zudem legt Brid im Systemverzeichnis die Files bride.exe, msconfig.exe sowie regedit.exe an. Die beiden ersten enthalten den mitgeführten Virus, Letzterer eine Kopie des Wurms. Diese trägt Brid in der Registry unter der Run-Gruppe des HKLM-Root-Key ein, um eine Ausführung des Wurms bei jedem Neustart zu erzwingen.

Trotz der für IT-Verhältnisse geradezu antiken Infiltrationsmethode verbreitet sich der gestern aufgetauchte Brid derzeit rapide im Netz. Anscheinend konnten weder Klez noch Bugbear - beide schleichen sich ebenfalls über die Incorrect MIME Header Vulnerability auf den Rechner - den durchschnittlichen Microsoft-Anwender von der Notwendigkeit simpler Sicherheitsmaßnahmen überzeugen.

Dabei wäre eine finale Abhilfe gegen diesen Schädlingstyp leicht zu treffen: Es genügt ein Upgrade auf die SP2-Varianten von IE 5.01 respektive 5.5 oder ein Umstieg auf Internet Explorer 6. Alle drei Versionen stopfen das von den derzeit gängigen Massmailer-Würmern genutzte Sicherheitsloch ein für alle Mal. (jlu)