Sie sind nicht angemeldet.

  • Anmelden

[SECURITY] Bagle.Q instaliert sich beim Ansehen von eMails...

Lieber Besucher, herzlich willkommen bei: Community-of-Darkness. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

z3ck3

unregistriert

1

Donnerstag, 18. März 2004, 13:22

[SECURITY] Bagle.Q instaliert sich beim Ansehen von eMails...

Neuer Windows-Wurm Bagle.Q nutzt Lücke im Internet Explorer aus

Bei der neuen Q-Variante des Bagle-Wurms[1] reicht es bereits aus, eine Mail zu lesen, um sich zu infizieren. Anders als bisherige Bagle-Versionen versendet sich der Wurm nicht als Anhang einer Mail, sondern lädt sich über einen Link in der Mail selbst nach. Ist beispielsweise unter Outlook die HTML-Ansicht von Mails aktiviert, so lädt die Mail über einen versteckten Link eine HTML-Datei aus dem Internet nach. Um den PC eines Anwenders ohne dessen Interaktion zu infizieren, macht sich der Wurm eine seit längerem bekannte Lücke (MS03-040[2]) im Internet Explorer zu Nutze: Die Object-Tag-Schwachstelle[3] ermöglicht es Angreifern, ausführbare Dateien auf den PC eines Opfers zu laden und und in dessen Kontext auszuführen.

In der nachgeladenen HTML-Datei steckt ein Visual-Basic-Skript Q.VBS, welches den eigentlichen Wurm (directs.exe) nachlädt -- dazu sind annähernd 600 IP-Adressen voreingestellt. Von infizierten Systemen versendet sich der Wurm mit gefälschtem Absender an Empfängeradressen, die er in diversen Dateien gefunden hat, und verwendet dabei verschiedene englischsprachige Texte. Außerdem verbreitet er sich über Peer-to-Peer-Tauschbörsen. Über eine Schadroutine verfügt der Wurm nicht, eine Hintertür öffnet er nach derzeitigem Kenntnisstand nicht.

Einige Hersteller haben ihre Signaturen zum Erkennen des Wurms bereits aktualisiert. Trend Micro stuft das Risiko bereits als "medium" ein, bei NAI ist bislang nur Stufe "low" erreicht. Anwender sollten die HTML-Ansicht ihres E-Mails-Clients deaktivieren und zusätzlich das Nachladen von Inhalten abschalten. Auch sollte der Patch zum Stopfen[4] der Lücke im Internet Explorer eingespielt werden, sofern nicht schon geschehen. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten[5] von heise Security.

Siehe dazu auch:


Virenwarnung[6] von Trend Micro
Virenwarnung[7] von NAI
Virenwarnung[8] von F-Secure

(dab[9]/c't) (dab/c't)



--------------------------------------------------------------------------------

URL dieses Artikels:
http://www.heise.de/newsticker/meldung/45716

Links in diesem Artikel:
[1] http://www.heise.de/security/news/meldung/43768
[2] http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-040.htm
[3] http://www.heise.de/security/news/meldung/40119
[4] http://www.microsoft.com/windows/ie/downloads/critical/828750/download.asp
[5] http://www.heise.de/security/dienste/antivirus/
[6] http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=PE_BAGLE.Q
[7] http://vil.nai.com/vil/content/v_101108.htm
[8] http://www.f-secure.com/v-descs/bagle_q.shtml
[9] mailto:dab@ct.heise.de



  • Zum Seitenanfang