Web

 

Würmer: Netsky unter falscher Flagge, Bugbear vs. Firewall

07.04.2004

"Netsky.S" und "Netsky.T" sind auf den ersten Blick lediglich zwei neue Varianten des im Februar 2004 erstmals aufgetauchten Wurms "Netsky" (Computerwoche.de berichtete). Wie ihre Vorgänger und viele andere Schädlinge verbreiten sie sich via E-Mail und versuchen, Anwender durch gefälschte Absenderadressen und entsprechende Nachrichtentexte zum Klick auf anscheinend harmlose Dateianhänge zu bewegen.

Und das offensichtlich mit Erfolg, woran auch schuld sein dürfte, dass den Empfängern solcher infizierter E-Mails eben viele der aus Adressbüchern gesammelten Absender bekannt sind. Warnungen, Mails unbekannter Herkunft und deren Attachments keinesfalls zu öffnen, gehen also ins Leere.

Erstaunlich ist jedoch, dass die neuen Varianten auftauchen, obwohl der Urheber des Wurms bereits im Sourcecode der Variante "K" erklärte, keine weiteren Versionen mehr zu verbreiten (Computerwoche.de berichtete). Zwar ist die Verbreitung von Schadroutinen an sich verwerflich, dennoch halten sich Virenschreiber in der Regel an ihre Ankündigungen.

Experten zufolge unterscheidet sich der Code der jetzt aufgetauchten Exemplare erheblich von den früheren Netsky-Varianten. So verhält sich der Wurm anders als die Vorgänger, öffnet eine Hintertür über den TCP-Port (Transmission Control Protocol) 6789 und wartet auf weitere Instruktionen, sagte Craig Schmugar, Virenexperte bei McAfee. Bislang habe sich Netsky immer darauf beschränkt, eventuell vorhandene Installationen des Schädlings "Bagle" zu löschen und sich automatisiert weiterzuverbreiten. Vom Netsky-Autor finden sich Kommentare wie "Wir wollen das Geschäft der Virenautoren von Bagle und MyDoom zerstören, nicht PC-Systeme" in den Quellcodes diverser Wurmvarianten (Computerwoche.de berichtete).

Ob hinter Netsky-S und Netsky.T noch der gleiche Urheber steckt wie hinter der Urvariante sei deshalb fraglich. In jedem Fall ist aber der Einsatz einer Firewall sinnvoll. Anwender sollten ihre Rechner zudem mit Antivirensoftware schützen, so Schmugar.

Bugbear.E nutzt bekannte Sicherheitslücke

Virenexperten warnen außerdem vor "Bugbear.E". Die Schadroutine wird wie bei Netsky über einen E-Mail-Anhang verbreitet, nutzt jedoch ein seit langem bekanntes Sicherheitsloch im Microsoft-Browser Internet Explorer (Versionen 5.01, 5.5) aus, bei dem im Header von manipulierten HTML-Mails versteckter Code direkt ausgeführt wird. Der IE 6 ist nicht betroffen, für ältere Versionen gibt es seit März 2001 einen Patch. Infizierte Systeme sind schwer zu erkennen, da sich der Wurm unter einem zufällig gewählten Dateinamen in das Systemverzeichnis von Windows kopiert. Spuren finden sich auch in der Registry, in der ein Schlüssel mit der Bezeichnung

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\EnableAutodial

angelegt wird, in dem die zufällig angelegte Datei als Wert hinterlegt ist.

Bugbear.E ist außerdem, darauf ausgerichtet, die Autostart-Werte von Antivirensoftware und Desktop-Firewalls wie zum Beispiel "Fprot" und "Zonealarm" zu löschen, so dass der Rechner nach einem Neustart nicht mehr geschützt ist.

Infizierte E-Mails können anhand ihrer Betreffzeile nicht eindeutig identifiziert werden, da diese, wie bei vielen Würmern üblich, automatisch generiert wird und zum Beispiel "Payment notices", "Just a reminder", "Correction of errors", "history screen", "Announcement", "various", "Introduction", "Interesting..." oder "I need help about script!!!" lauten kann, um eine kleine Auswahl zu nennen. Stutzig werden sollte in solchen Fällen zumindest, wer normalerweise elektronische Post von deutschsprachigen Partnern und Freunden bekommt. (lex)