PresseBox
Pressemitteilung BoxID: 7615 (MessageLabs GmbH)
  • MessageLabs GmbH
  • Konrad-Zuse-Platz 2-5
  • 81829 München
  • http://www.messagelabs.com

Neuer Virus-Alert: W32/Bugbear.B-mm

Neues E-Mail-Virus verteilt sich selbst durch Massen-Mailings

(PresseBox) (München/Gloucester, ) MessageLabs, weltweit führender Managed Service Provider, der sich auf Sicherheitsdienstleistungen im E-Mail-Bereich spezialisiert hat, hat vor zwei Tagen Kopien eines neuen E-Mail-Viruses mit dem Namen W32/Bugbear.B-mm abgefangen. Die ersten betroffenen Mails stammten aus den USA.

Name: W32/Bugbear.B-mm
Aliases: W32/Kijmo-mm, W32/Shamur-mm
Bisher abgefangene Kopien: 5000+
Uhrzeit& Datum des ersten Zwischenfalls: 4. Juni 2003, 11:59GMT
Ursprungsland der ersten infizierten E-Mail: United States Anzahl der bis dato betroffenen Länder: 20 (derzeit hauptsächlich USA und Australien)

Charakteristika betroffener E-mails (entsprechend der bis dato abgefangenen Exemplare) Form:

(Der Absender kann unter Umständen “gespoofed” sein, d.h. er entspricht nicht der eigentlichen Absender-Adresse. Das Virus scheint in der Lage zu sein, einige verschiedene Domains zu „spoofen“. Dies muss noch durch weitere Analysen verifiziert werden.)

Betreff:

(Die bisher abgefangenen E-Mails haben unterschiedliche Betreffzeilen, die jedoch scheinbar alle in irgendeinem Zusammenhang mit Dokumenten und Daten stehen, die sich im Speicher des infizierten Rechners befinden.)

Nachrichtentext:

(Der Nachrichtentext ist ebenfalls variabel und scheint aus Dokumenten der infizierten Rechner zu stamen.)

Attachment:

(Das Attachment ist komprimiert in ein modifiziertes UPX-Format. Die Dateigröße beträgt in etwa 72.192 Bytes. Die Namen der Attachments sind variabel und basieren vermutlich ebenfalls auf Dateinamen, die sich auf den infizierten Rechnern wieder finden, mit den Erweiterungen .scr, .pif oder .exe

Zum Beispiel:

Crimbo.exe.scr, Lotto.mbd.pif, 052003.ptx.exe, My Money Backup.mbf.scr, Captletterhead.doc.scr)

Verhalten des Virus
Erste Analysen legen die Vermutung nahe, dass das Virus ein sogenannter “Mass Mailer” ist. Es scheint sehr vielfältige Formen annehmen zu können, ist aber meist mittels einer UPX-Variante komprimiert. Jedoch scheint das Virus in der Lage zu sein, sich mit jeder „Teilung“ zu modifizieren und neu zu packen, was vermutlich einfache Anti-Viren-Technologien wie Signaturen und Fingerprints wirkungslos machen soll.

In einigen infizierten E-Mails, die MessageLabs stoppen konnte, wurde das MS01-020 Auto-Open-Exploit gefunden. Auf jedem nicht-gepatchten Windows-Rechner wird damit durch das bloße Lesen der infizierten E-Mail das Attachment ausgeführt.

Virus Payload
Erste Analysen lassen vermuten, dass dieses Virus auch lokal installierte Security-Software, wie beispielsweise Anti-Viren-Programme oder Firewalls, außer Kraft setzen kann. Außerdem besteht die Möglichkeit, dass sich das Virus über Network Shares verteilt, wie das bereits vor einiger Zeit bei dem Bugbear.A.-Ausbruch der Fall war. Selbst die Installation eines Trojaners in Key-Logging-Komponenten kann nicht ausgeschlossen werden. Hacker hätten dann die Kontrolle über den infizierten Rechner und könnten den Download einer Datei initialisieren, die die Keystrokes des Benutzers – inklusive auf Websites eingegebene Informationen wie Passwörter oder Kredit-Karten-Nummer – enthält.

Kommentar
Das Virus kann verschiedene Domains “spoofen”, darunter auch einige der größten internationalen Banken, Finanzinstitute und Regierungsbehörden.

„Hier zeichnet sich ein alarmierender Trend ab“, so Paul Wood, Chief Information Analyst bei MessageLabs. „Immer mehr neue Viren lassen sich nur schwer als solche identifizieren, weil sie dem User vertraute Formulierungen verwenden.”

Besonders beunruhigend sei dabei, dass Bugbear nicht nur vertrauliche Informationen vom infizierten Rechner ziehen könne. Auch Hacker könnten mit Hilfe des Virus weitreichende Kontrolle über die Maschinen erhalten. Dem Missbrauch von Passwörtern, Kreditkarten-Informationen und vielem mehr sei somit letztendlich Tür und Tor geöffnet.

„Das Verbreitungsmuster der bis heute Vormittag von uns abgefangenen Bugbear.B-Mails legt die Vermutung nahe, dass es sich hier innerhalb kürzester Zeit erneut um einen hochgradig ernstzunehmenden Viren-Ausbruch handeln könnte“, befürchtet Paul Wood weiter. „Besonders kritisch könnte es werden, sobald US-User ihre Online-Aktivitäten aufnehmen.”

Virus-Detection MessageLabs hat alle Stränge dieses Virus mit Hilfe seiner patentierten heuristischen Technologie Skeptic proaktiv erkannt und abgefangen. Weitere Informationen finden Sie unter www.messagelabs.com

MessageLabs GmbH

MessageLabs ist ein führender Anbieter von integrierten Messaging- und Web- Sicherheits-Services, mit über 18.000 Kunden aus 86 Ländern - angefangen von kleinen bis hin zu Fortune-500-Unternehmen. MessageLabs bietet eine Vielzahl an Managed Security Services, um die Kommunikationskanäle E-Mail, Web und Instant Messaging zu schützen, zu kontrollieren, zu verschlüsseln und zu archivieren.
Die Services werden über eine weltweit verteilte Infrastruktur bereitgestellt, Sicherheitsexperten leisten 24/7 Support. Dies gewährleistet einen komfortablen und kosteneffizienten Ansatz, Risiken zu minimieren und beim Austausch von geschäftlichen Informationen für Gewissheit zu sorgen.
Weitere Informationen finden Sie unter http://www.messagelabs.com.