Rubrik: Virenwarnung/Aktuelle Meldungen

MessageLabs: "LovSan" inspiriert Trittbrettfahrer: Neuer Trojaner verspricht Patch

Variante des "Backdoor-ARR"-Trojaners versteckt sich in Spam-Mails

(24.08.03) - MessageLabs, Managed Service Provider, der sich auf Sicherheitsdienstleistungen im E-Mail-Bereich spezialisiert hat, hat erste Kopien einer neuen Spielart des Spam-Trojaners "Backdoor-ARR" abgefangen. Die E-Mail, an der sich der Trojaner als Attachment befindet, tarnt den Schädling als Patch für den seit kurzem im Umlauf befindlichen Wurm "LovSan", auch unter dem Namen "MSBlast" bekannt.

Details:

·         Name: Troj/Backdoor-ARR

·         Alias: Troj/GrayBird.A

·         Bisher abgefangene Kopien: 4

·         Uhrzeit und Datum des ersten Zwischenfalls: 15. August 2003, 17:35 GMT

·         Ursprungsland der ersten infizierten E-Mail: China

Charakteristika:

·         Die neue Variante des Trojaners Backdoor-ARR kommt als Attachment einer Spam-Mail und ermöglicht Hackern via Internet Zugriff auf und Kontrolle über den infizierten Rechner. So kommt es ungehindert zum Diebstahl von Passwörtern oder Versenden von E-Mails. Ferner können die Tastenanschläge des Benutzers aufgezeichnet werden. Die E-Mail, die den Trojaner Backdoor-ARR enthält, kann zusätzliche folgende Eigenschaften aufweisen:

·         Absender: webmaster@microsoft.com (Die Absenderadresse ist gespooft und gibt nicht die wahre Identität des Senders wieder.)

·         Betreff: updated

Nachrichtentext:

·         […] Microsoft began investigating a worm reported by Microsoft Product Support Services (PSS). A new worm commonly known as W32.Blaster.Worm has been identified that exploits the vulnerability that was addressed by Microsoft Security Bulletin MS03-026.

·         Download the attached update program. […]

Attachment:

03-26updated.exe (319.670 bytes)

LovSan

Der seit letzter Woche im Umlauf befindliche Wurm LovSan verbreitet sich nicht via E-Mail, weshalb MessageLabs als Experte für E-Mail-Sicherheit nicht unmittelbar mit dem Schädling in Berührung kommt. LovSan nutzt die Windows-Sicherheitslücke MS03-026 aus, die die Kommunikation zwischen den RPC- und DCOM-Handlern über einen Buffer Overflow angreifbar macht. Besonders alarmierend hierbei ist die kurze Zeitspanne zwischen dem Bekanntwerden der Sicherheitslücke und dem ersten gezielten Angriff: Während sonst in ähnlichen Fällen erst nach drei bis sechs Monaten Virus-Attacken zu beobachten waren, nahm LovSan bereits nach weniger als einem Monat seine Aktivitäten auf. (ma)

MessageLabs

Office UK:

Tel: (0044-1452) 627627, Fax (0044-1452) 627628

Sales:

E-Mail: salesquery@messagelabs.com

General:

E-Mail: info@messagelabs.com

Web: www.messagelabs.com