Rubrik: Virenwarnung/Aktuelle Meldungen

Network Associates: AVERT warnt vor Wurm "W32/Bugbear.B@MM"

Durch auffällige *.exe-Dateien im Autostart-Ordner von Windows zu erkennen

(12.06.03) - AVERT (Anti Virus Emergency Response Team), das Virenforschungslabor von Network Associates (NYSE: NET), stuft den kürzlich entdeckten Internet-Wurm "W32/Bugbear.B@MM" als äußerst gefährlich ein. Es handelt sich um einen komplexen Wurm, der unterschiedliche Elemente wie Mass Mailer, Network Share Propagator und Keylogger sowie Remote Access Trojan, Polymorphic Parasitic File Infector und Security Software Terminator enthält. Zu erkennen ist der Wurm vor allem durch auffällige *.exe-Dateien im Autostart-Ordner von Windows sowie durch den geöffneten TCP Port 1080. Der Wurm verbreitet sich selbst per E-Mail an alle Adressen die auf dem lokalen System gespeichert sind. Dabei nutzt er die voreingestellte SMTP-Engine und versendet sich in unterschiedlichen E-Mail-Anhängen mit folgenden Datei-Endungen:

·         .DBX

·         .EML

·         .INBOX

·         .MBX

·         .MMF

·         .NCH

·         .ODS

·         .TBB

Der Virus Code enthält Zeichenfolgen für die Betreffzeile sowie Namen für Attachements, die wahllos durch Wörter, die er auf dem infizierten System findet, ersetzt.

Beispiele für auftretende Betreffzeilen sind:

·         Announcement

·         bad news

·         click on this!

·         Correction of errors

·         free shipping!

·         Get a FREE gift!

·         Greets!

·         Hi!

·         Just a reminder

·         Membership Confirmation

·         News

·         Please Help...

·         Re: $150 FREE Bonus!

·         SCAM alert!!!

·         Sponsors needed

·         Today Only

·         update

·         various

·         wow!

·         Your News Alert

Ebenso variiert der Inhalt des Haupttextes und kann Fragmente von Dateinamen des befallenen Systems enthalten. Die Namen der Attachements variieren ebenfalls.

Genaue Details sind unter http://vil.nai.com/vil/content/v_100358.htm zu finden.

Installation: Der Wurm kopiert sich in den Autostart-Ordner von Windows unter Benutzung eines per Zufall generierten Datei-Namens.

Beseitigung des Wurms: Network Associates bietet zur Beseitigung des Wurm bereits ein neues DAT-File namens EXTRA.DAT (4270) an, welches in das Verzeichnis des Viren-Scanners kopiert werden muss. (ma)

Network Associates

Ansprechpartnerin: Isabell Unseld

Tel. (089) 3707-1535, Fax (089) 3707-1199

E-Mail: isabell_unseld@nai.com

Web: www.nai.com