Wurm "Bugbear" zielt auf Banken ab
Der vor kurzem aufgetauchte E-Mail-Wurm "Bugbear.B" dürfte weitaus aggressiver sein als bisher angenommen.
Alle Virenhersteller warnen vor dem sich rasant ausbreitenden Wurm mit einer weitaus schnelleren Verbreitung als Klez, der voriges Jahr die Virenliste anführte. Bugbear verbreitet sich dabei über E-Mail aber auch über gemeinsame Netzwerkressourcen.
Bisher konnte sich der Wurm in über 164 Ländern verbreiten und hat dabei auch schon Schaden angerichtet. Eines der prominentesten Opfer ist die Stanford Universität.
Nach der Infektion verschickte der Wurm hoch vertrauliche Dokumente der Universität, unter anderem Gehaltsdaten und persönliche Daten. Der E-Mail-Verkehr der Universität wurde aufgrund dessen sowie des hohen Traffics kurzerhand abgdreht, mittlerweile funktioniert er aber wieder.
Infos der Uni Stanford zu BugbearDomainnamen von Finanzinstituten
Neben dem Verschicken von Office-Dokumenten hat der Wurm noch weitere Taktiken auf Lager: So soll er Netzwerkdrucker zur Überfunktion mit sinnlosen Daten führen, versuchen Antivirenprogramme sowie Firewalls abzuschalten und einen Keylogger beinhalten, der vertrauliche Informationen aufzeichnen kann.
Laut Virensoftwarehersteller Symantec soll der Wurm zudem eine Liste von rund 500 Domainnamen von Finanzinstituten aus der ganzen Welt mit sich führen. Sollte der Virus sich innerhalb einer dieser Domains entfalten können, soll er versuchen mit dem Virenautor Kontakt aufzunehmen.
Dazu nutzt er eine Back-Door-Funktion. Sollte keine Netzwerverbindung vorhanden sein, soll der Wurm ein Modem suchen, dieses aktivieren und versuchen hinauszuwählen.
Aktiv ohne direkte Aktivierung
Der Virus verbreitet sich bereits über die Voransicht-Funktion
von Microsoft Outlook, also ohne dass der User das infizierte
Attachment ausführen muss. Für die Sicherheitslücke ist bereits seit
zwei Jahren ein Patch vorhanden. Daneben kann er aber auch über das
direkte Ausführen des infizierten Anhangs aktiviert werden.
"Bugbear" in neuer Version unterwegs"Soziale Taktik"
Laut Virensoftwarehersteller McAfee sind große Firmen von dieser Taktik voraussichtlich wenig betroffen, für kleinere Firmen in weniger technisierten Ländern könnte diese Funktion jedoch bedeutsam werden.
Der Wurm soll sich zudem eine besondere Taktik für die "Kommunikation" zunutze machen: Er "anwortet" auf gerade eingangene E-Mails mit einer infizierten Mail und nutzt damit die Erwartungshaltung des Empfängers aus, die nicht damit rechnen in dem Moment einen Virus geschickt zu bekommen.
Der Wurm sucht sich zudem wahllos E-Mail-Adressen aus befallenen Systemen aber auch aus dem Internet zusammen und nutzt diese sowohl als Ziel- als auch als Absenderadressen. Das kann dazu führen, dass auch Firmen und Personen von nicht infizierten Systemen als Absender eine Virenmails klassifiziert werden.