Update: Bugbear.b/Tanatos ist polymorph und fies

Eine gute und eine schlechte Nachricht

Zum neuesten Schädling gibt es eine gute und eine schlechte Nachricht für die Nutzer in Deutschland. Die gute: Der Abruf von Bugbear soll laut Sophos vor allem in Nordamerika umgehen. Das große Aber: Das World Wide Web wird seinem Namen meist schnell gerecht und verbreitet eben auch Viren weltweit.

Die schlechte Nachricht lautet: Er ist polymorph, das heißt er ändert fortlaufend sein Erscheinungsbild, um nicht abgefangen zu werden. Der Bugbear-B Virus (W32/Bugbear-B) verbreitet sich durch automatisch ausgelöste E-Mails und kopiert sich von Netzwerk zu Netzwerk. Das neue Schadprogramm basiert auf dem ursprünglichen Bugbear Wurm (W32/Bugbear-A), der im Vorjahr am zweit häufigsten gemeldet wurde.

Virenjäger Sophos geht davon aus, dass sich der Virus stärker verbreiten wird, je mehr Computeranwender in Nordamerika ihre E-Mails abrufen werden. Aufgrund der extrem schnellen Verbreitungsgeschwindigkeit haben die Symantec-Virenschutzexperten den Wurm in die Kategorie 4 von 5 Gefahrenstufen eingestuft. Sie sprechen von einer stündlichen Verdoppelung von Vireneinsendungen.

Außerdem wurde festgestellt, dass der Wurm eine Liste von mehr als 1000 Domain-Namen von Banken weltweit enthält, was auf einen verstärkten Versuch zur Ausspionierung von Passwörtern hindeuten könnte.

Gernot Hacker, Senior Technical Consultant bei Sophos, sagt zum Verbreitungsweg: “E-Mail-fähige Viren folgen sprichwörtlich der Sonne.” Sobald von Zeitzone zu Zeitzone der Tag anbreche, steige die Gefahr, dass PC-User ihre E-Mails bearbeiten und dabei auch verseuchte E-Mail-Anhänge öffnen. “Es ist deshalb dringend notwendig, dass die Virenschutz- und Sicherheitsprogramme aktiviert und aktualisiert sind, um das Tagesgeschäft im Unternehmen ungestört am Laufen zu halten”, sagt er. Sophos hat ebenfalls ein Update seiner Anti-Virus-Produkte verfügbar gemacht.

AVERT (Anti Virus Emergency Response Team), das Virenforschungslabor von Network Associates (NA), stuft den Internet-Wurm ebenfalls als äußerst gefährlich ein. W32/Bugbear.B@MM ist demnach ein komplexer Wurm der unterschiedliche Elemente wie Massmailer, Network Share Propagator und Keylogger sowie Remote Access Trojan, Polymorphic Parasitic File Infector und Security Software Terminator enthält.

Zu erkennen ist der Wurm vor allem durch auffällige *.exe-Dateien im Autostart-Ordner von Windows sowie durch den geöffneten TCP Port 1080. NA spricht davon, dass der Wurm bereits in Europa lokalisiert worden sei. Der Wurm verbreitet sich selbst per E-Mail an alle Adressen die auf dem lokalen System gespeichert sind. Dabei nutzt er die voreingestellte SMTP-Engine und versendet sich in unterschiedlichen E-Mail-Anhängen mit verschiedenen Datei-Endungen.

Der Virus Code enthält Zeichenfolgen für die Betreffzeile sowie Namen für Attachements die wahllos durch Wörter, die er auf dem infizierten System findet, ersetzt. Beispiele für auftretende Betreffzeilen sind: Announcement, bad news, click on this!, Correction of errors, free shipping!, Get a FREE gift!, Greets!, Hi!, Just a reminder, Membership Confirmation, News, Please Help…, Re: 0 FREE Bonus!, SCAM alert!!!, Sponsors needed, Today Only, update, various, wow!, Your News Alert

Ebenso variiert der Inhalt des Haupttextes und kann Fragmente von Dateinamen des befallenen Systems enthalten. Die Namen der Attachements variieren ebenfalls.

Der Wurm kopiert sich in den Autostart-Ordner von Windows unter Benutzung eines per Zufall generierten Datei-Namens. Auch NA bietet zur Beseitigung des Wurmes bereits ein neues DAT-File namens EXTRA.DAT (4270) an, welches in das Verzeichnis des Viren-Scanners kopiert werden muss.

Einstweilen warnt die russische Virenschutz-Firma Kaspersky Labs davor, dass der auch Tanatos.b genannte Wurm eine neue Variante von Tanatos sei. Diese Malware hat mehrere gefährliche Funktionen. So kann sie die ausführbaren Dateien vieler Programme auf der Festplatte infizieren sowie vertrauliche Daten, die auf infizierten Computern abgespeichert sind, verbreiten. Es sind bereits zahlreiche Meldungen von Infizierungen eingegangen.

Der Schädling wird bei einem Start der Wirtsdatei im Attachment aktiviert, infiziert dann den Computer und startet seine Verbreitungsroutine. Zum Starten der Wirtsdatei werden mehrere Möglichkeiten benutzt: Automatisch, über die Schwachstelle IFRAME im Sicherheitssystem des Internet Explorers, durch den User oder über lokale Netzwerke.

Bei der Installation kopiert sich der Wurm unter einem zufällig gewählten Namen in das Autostart-Verzeichnis, erstellt seine Dateien im Systemregister von Windows und kopiert sich in das Windows-Systemverzeichnis sowie in die Verzeichnisse von temporären Dateien.

Danach beginnt der Wurm seine Verbreitungsprozedur über eine eigene SMTP-Engine. Zum Verschicken über E-Mails sucht Tanatos.b in allen zugänglichen Laufwerken nach neuen Adressen in Dateien mit folgenden Erweiterungen: *.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX.

Diese Wurm-Version verfügt über einige gefährliche Funktionen: So infiziert Tanatos.b die ausführbaren Windows-Dateien, sowie Dateien, die von Outlook Express, Internet Explorer, WinZip, dem P2P-Netzwerk KaZaA, ICQ und MSN-Messenger sowie von den Data-Transfer-Protocols FTP und CuteFTP u.a. ausführbar sind.

Außerdem ist in dieser Wurm-Version die Möglichkeit eines Backdoor-Programms angelegt, über welches der Viren-Autor Kontrolle über den infizierten Computer erhält. Um die Backdoor-Funktion umzusetzen, öffnet der Wurm auf dem infizierten Computer den Port 1080. Über diesen Port können folgende Handlungen durchgeführt werden:

Die erste Version des I-Wurms Tanatos wurde im September 2002 entdeckt. Tanatos infizierte damals zahlreiche Computer rund um die Welt. Der Wurm verband seine Funktionen als I-Wurm mit einem Trojaner, was ihn ausgesprochen gefährlich machte und vertrauliche Daten in die falschen Hände geraten ließ.

Die neue Version des Schädlings ist eine ausführbare Windows-Datei mit einer Länge von 72 Kbyte (gepackt mit dem UPX-Utility) und in der Programmiersprache Microsoft Visual C++ geschrieben.

Auch hier sind bereits Schutzverfahren gegen diese Malware der Antiviren-Datenbank von Kaspersky Anti-Virus hinzugefügt worden.