Neuer Wurm bringt Mail-Engine gleich mit

CloudEnterpriseServer

W32.Bugbear@mm macht die Runde

Die Antiviren-Spezialisten Sophos und Symantec warnen vor einem neuen Mailwurm, der sich in den vergangenen Stunden mit besonders großer Geschwindigkeit verbreitet. Im Gegensatz zu bisherigen per Mail verbreiteten Viren befällt der Win32-Wurm Bugbear A nicht nur den Microsoft-Client Outlook.

Der Schädling ist mit einer eigenen Mail-Engine ausgerüstet und versucht, über die Windows-Registry sich die Daten des verwendeten Mailservers anzueignen. Dann kann sich der Wurm auf eigene Faust über SMTP weiterverbreiten, nutzt aber offenbar auch sonstige verfügbare Netzwerkverbindungen zu anderen Rechnern.

Gefahr droht den Experten zufolge aber vor allem durch Bugbears aggressive Eigenschaften: Zum einen wurde festgestellt, dass der Wurm bekannte Antivirenprogramme und Firewalls ausschalten kann, zum anderen installiert er einen Key Logger, der alle Eingaben über die Tastatur mitprotokolliert und so auch Benutzernamen und Passworte nach außen in Klartext weitergeben kann.

Über den Port 36794 schließlich werde eine Backdoor installiert, über die sich Hacker Zugriff auf das System verschaffen könnten. Bugbear stellt darüber hinaus sicher, dass seine ausführbare Datei bei jedem Hochfahren des Systems erneut gestartet wird.

Patches für die jeweiligen Applikationen sind von allen Herstellern verfügbar. Bugbear taucht dort aber auch unter den Bezeichnungen Tanat oder Tanatos auf.