W32.Bugbear: Neue Version unterwegs

Laut Symantec, die derzeit dabei sind, die neue Version zu untersuchen, beendet der Wurm nach der Infektion eine ganze Reihe von Firewall- und Antivirenprozessen. Verbreitung findet Bugbear über eine eigene SMTP-Engine, die nötigen Daten sucht er in der Registry des befallenen Rechners. Die Absenderadresse bezieht der hochgradig wandlungsfähige Wurm ebenfalls vom lokalen Rechner und tarnt sich damit. Die Betreffzeile wird zufällig aus einer reichlichen Auswahl generiert, die der Wurm nach Erkenntnis von Symantec wohl mitbringt. Der Dateiname des Anhangs ist wieder vom befallenen Rechner entwendet. Bugbear kann sich nach bisherigen Erkenntnissen auch über Netzwerk-Shares verbreiten.

Sicherheitsexperte MessageLabs hat nach eigenen Angaben über 300 Mails mit Bugbear abgefangen. Die erste davon stammte aus den USA. Dort soll - Kanada inklusive - derzeit auch die meiste Verbreitung stattfinden. MessageLabs berichtet von Aktivitäten in insgesamt 20 Ländern. Wie Symantec hat auch MessageLabs festgestellt, dass der Wurm wechselnde Taktiken einschlägt. So wurden Kopien entdeckt, die eine bekannte Lücke des Internet Explorer nutzen, was den Browser veranlasst, den Anhang ohne weitere Benutzeraktion zu öffnen (siehe Bulletin MS01-020). Die aktuellen Signaturen der Antivirenhersteller sollten den Wurm entfernen. Die Erläuterungen von Symantec zu Bugbear.B lesen Sie hier. Die erste Version von Bugbear ist wiederum hier ausführlich beschrieben.

Informationen über Sicherheitslücken von Soft- und Hardware bietet Ihnen unser kostenloser tecCHANNEL Security Newsletter. Er liefert per E-Mail in deutscher Sprache aus über 200 Quellen kompilierte, von Spezialisten evaluierte und erläuterte Advisories frei Haus. Die Vulnerabilities der letzten sieben Tage führt zudem unser Security-Report-Überblick auf. (uba)