Bugbear alias W32/Bugbear@mm, Tanat, Tanatos, Natosta.A, Keywo

In nur einer Woche ließ Bugbear den Erreger Klez, der bis dahin als “Virus des Jahres 2002” galt, wie ein müdes Vorspiel aussehen. McAfee, Sophos und Symantec stuften den Erreger in ungewohnter Einigkeit als weit verbreitet und hochgefährlich ein. Den Namen Tanatos trägt er übrigens, weil im Binärcode der Textstring “Projekt Tanatos” zu finden ist.

Wie kriegt man ihn?

Wie üblich kommt der Wurm als E-Mail-Anhang ist Haus (getarnt mit dem Laufzeitpacker UPX, siehe dazu die Hinweise zur Tarnung von Würmern und Trojanern mit Laufzeitpackern). Er kann aber auch plötzlich in einem freigegebenen Verzeichnis liegen, da er diese sucht und sich hineinkopiert – irgendeiner wird ihn schon ausführen. Er kann auch als Download getarnt sein oder per Filesharing (P2P) auf die Festplatte kommen, wenn jemand ihn absichtlich verbreiten will.
Der Aufruf kann auf Systemen, die mit fehlerhaftem Windows arbeiten (hey, gibt’s auch andere? ;-), eine Sicherheitslücke ausnutzen. Der Wurm sorgt dabei über die IFRAME-Funktion (überflüssiges proprietäres Feature des Internet Explorer, das schon oft Probleme machte und dennoch in Redmond brav weitergepflegt wird) dafür, dass das Attachment automatisch ausgeführt wird – das gilt nur auf Mailprogrammen, die den Internet Explorer als HTML-Viewer benutzen. (Bei Eudora ist der Unfug abschaltbar, The Bat! hat ohnehin einen eigenen.)

Ist das Windows gesichert (durch Updates auf den neuesten Stand gebracht), kann aber auch ein unvorsichtiger Doppelklick auf das Attachment ihn aktivieren. Auch wer im Dateimanager Windows-Explorer auf eine unscheinbare Programmdatei klickt, die plötzlich irgendwo herumliegt, etwa in einem geteilten Verzeichnis (Windows-Share), kann sich infizieren.

Nach dem ersten Aufruf installiert sich der Wurm in Form einer EXE-Datei 1. ins Systemverzeichnis von Windows (C:\%System%\****.exe) und 2. auch ins Autostart-Verzeichnis und wählt dabei einen zufälligen Namen. Dies und ein Eintrag in der Registry sorgen dann dafür, dass der Trojaner-Teil beim Neustart des PCs in Aktion tritt.

Was kann er?

Bugbear nutzt alle E-Mail-Adressen aus den Mailprogrammen des befallenen Rechners, um sich rasch und effizient zu verbreiten. Das heißt, er nutzt nicht nur Outlook, sondern auch andere Mailprogramme, denn auch wenn er dort nicht automatisch startet, kann er beim Ausführen des Anhangs dennoch aktiv werden.

Er kommt zwar meist mit dem vom User benutzen E-Mail-Programm ins Haus, aber er verfügt über einen eigenen SMTP-Mailserver, so dass er sich nach Belieben versenden kann, auch wenn die E-Mail-Software gegen MAPI-Zugriffe gefeit ist (Eudora kann sich zum Beispiel dagegen wehren, das hilft hier aber nicht).

Zusätzlich sucht er nach Freigaben in lokalen Windows-Netzen, die bei Microsoft traditionell extrem ungeschützt sind (vor allem Windows 95 und 98).

Bugbear ändert Einstellungen Ihrer installierten Sicherheitssoftware und setzt dabei unter anderem einige Antivirenprogramme und Personal Firewalls außer Gefecht. Hierzu sucht Bugbear nach verschiedenen Prozessen und stoppt diese auf der Stelle. Zu den Opfern gehört die gesamte Antiviren-Prominenz, auch Antivir PE, McAfee, Norman, Symantec, Sophos, Trend Micro. (Eine Übersicht über alle betroffen Sicherheitsprogramme finden Sie auf den Bugbear-Seiten am Ende dieses Dokuments.) Auch Firewalls wie Sphinx und Outpost müssen dran glauben. Das Ausschalten der installierten Schutzsoftware ist besonders fatal (und teuflisch klug), denn:

Bugbear installiert einen Keylogger-Trojaner, für dessen Aufspürung normalerweise Personal Firewalls notwendig sind. Ein Keylogger-Trojaner ist ein Trojanisches Pferd beziehungsweise ein verborgener Hintergrundprozess, dessen Hauptarbeit darin besteht, heimlich Ihre Tastatur-Eingaben mitzuschneiden. Und das ist der wirklich gefährliche Teil, denn der Wurm kann damit zum Beispiel Ihre Passwörter oder Kreditkartennummern ausspionieren.

Die ausspionierten Daten verschickt Bugbear per E-Mail an die Adresse eines Hackers im Internet – möglicherweise der Autor des Virus, vielleicht aber auch eine Gruppe. Bugbear schickt seinen eigenen Code als Druckauftrag an alle Netzwerkdrucker, die er finden kann. Gedruckt wird wegen des verwendeten RAW-Formats nichts interessantes, es verschwendet nur Papier und zeigt dabei ganz nebenbei auch gleich eine völlig neue Dimensionen auf, wie man Firmen mit einem Wurm/Virus schädigen kann.

Über den Port 36794 bietet sich Bugbear als Backdoor-Trojaner an, um Dateien vom infiltrierten Rechner zu stehlen. Die Backdoor-Komponente ist nicht so umfangreich wie die typischer Backdoor-Trojaner, aber zum Kopieren von Dateien und zum Ausführen und Stoppen von Prozessen reicht’s allemal. Atemberaubend: Der Wurm bietet die Fernsteuerung über HTML an, indem er einen Webserver einrichtet, dessen Interface ganz simpel ist:

Die Schurken können sich nach Herzenslust durch den Opferrechner klicken und sich Mail-Konfigurationsdateien, die Registry mit den Passworteinträgen oder PGP-Schlüsselringe unter den Nagel reißen.

Wie erkennen Sie ihn?

Mail: Der Mailtext besteht oft aus weitergeleiteten Mails – diese sehen dann besonders echt aus. Der Inhalt kann alles mögliche sein, auch in deutscher Sprache, und der Trick mit den recycleten Mails gibt’s der Anschlags-Mail gelegentlich das Aussehen unschuldiger Irrläufer-Nachrichten, wie sie auch von Sex-Spammern immer häufiger eingesetzt werden. Besonders fatal ist, dass die Mails oft so nebulös sind, dass auch der abgebrühteste Virenprofi auf den Attach klicken möchte, nur um rauszukriegen, was zur Hölle die Mail bedeuten soll – und schnapp! ist’s passiert.

Betreffzeile: Sie erkennen Bugbear (mit etwas Glück) an Mails, die seltsame Betreffzeilen haben, die aber leider sehr plausibel klingen, vor allem, wenn Sie international arbeiten. Typische Betreffzeilen einer Mail sind “Lost & Found”, “Get a FREE gift!” und “Please Help…” (klar, das liest man), “Daily Email Reminder” oder “Just a Reminder” (das auch), Market Update Report, “Membership Confirmation” und “Your News Alert” (typischer Betreff vieler Newsletter). Allerdings hat Bugbear noch ein paar mehr Betreffzeilen drauf, also verlassen Sie sich nicht darauf. Weitere mögliche Betreffzeilen finden Sie auf den Infoseiten am Ende des Dokuments.

Anhang: Die Mail besitzt einen Anhang, und da ist der Wurm drin. Der Dateiname variiert und kann jedes Mal anders aussehen, allerdings kommen sehr häufig die Wortteile card, data, docs, image, music, photo, pics, readme, resume, song, video vor. Die Endung des Dateianhangs (EXE, PIF oder SCR) ist eine doppelte, zum Beispiel readme.doc.pif oder
data.xls.exe, um die wahre Natur des Dateianhangs zu verschleiern.

Wurmdateien: Der Größe der Wurmdatei (EXE-Datei im Autostart- und im System-Verzeichnis) beträgt derzeit stets 50.688 Byte und ist oft vier Zeichen lang, also fyom.exe, toyt.exe usw. (Das kann sich aber ändern, sobald jemand an Bugbear herumfummelt und neue Variationen in Umlauf bringt.) Der Dateianhang kann, muss aber nicht diese Größe haben. Zusätzlich existiert noch die DLL-Datei mit dem Keylogger-Trojaner, die leider ebenfalls einen zufälligen Namen hat und 5632 Byte lang ist.

Port: Die Trojanerkomponente öffnet auf dem Windows des Opfers den TCP/IP-Port 36794. Wenn Sie sich selbst von außen scannen lassen (im Buch steht, wie das geht), dann müsste ein infizierter PC hier einen offenen Port zeigen.

Registry: In der Registrierungsdatei verweist ein Eintrag in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce auf die Wurmdatei, um dafür zu sorgen, dass Windows bei jedem Neustart ordentlich mit Würmern um sich schießt.

Wie schützen Sie sich?

Öffnen Sie keinen, keinen, keinen Dateianhang egal welcher Art, es sei denn, sie wissen ganz gewiss, dass ganz bestimmt diese eine Datei von dieser einen, Ihnen wirklich bekannten Person heute, jetzt und hier wirklich an Sie geschickt werden sollte. Rufen Sie zur Not an und fragen Sie nach.

Vermeiden Sie es vor allem in Firmennetzen, mit Windows-Freigaben (Shares) zu arbeiten. Schon gemeinsame Verzeichnisse auf dem Server sind eine Brutstätte, Windows-Shares machen sie unkontrollierbar.

Vermeiden Sie es, Programme über Filesharing-Systeme / Peer-to-Peer-Netzwerke zu tauschen. Mit Programmen Kazaa, Edonkey, Emule, Overnet und so weiter öffnen Sie Ihren Rechner für den gesamten Abschaum in Internet. Programmfehler und strukturelle Schwächen können Exploits mit sich bringen, die von Hackern und Virenprogrammierern schamlos ausgenutzt werden. Würmer werden nicht selten in Umlauf gebracht, indem man sie als angeblich interessante Software unters Volk streut, P2P-Netze bieten sich dazu vermehrt an. Erhöhte Vorsicht ist geboten! Und Firewalls können Sie nicht schützen, wenn sie angewiesen sind, der Filesharing-Software freie Hand zu lassen!

Deaktivieren Sie in Outlook und Outlook Express die Vorschau. Deaktivieren Sie wie im Buch beschrieben den Empfang von Attachments (ab Outlook Express 6 möglich), updaten Sie bei Bedarf Outlook Express 4.x und 5.x auf Outlook Express 6.x und spielen Sie jeweils die neusten Patches ein. Besser noch: Verwenden Sie kein Outlook und auf gar keinen Fall Outlook Express, sondern die im Buch beschriebenen Alternativen.

Updaten Sie Windows, Outlook und Ihr Antivirenprogramm.

Kleine Outlook-Wurmkur: Wenn Sie Zugriff auf die Installationsdateien haben (= CD-ROM von Office zur Hand), dann und nur dann gehen auf die Office-Update-Seite bei MS und updaten Sie Ihr Outlook. Gehe Sie nach Installation und Neustart ins Menü Extras / Optionen. Wähle Sie den Reiter Sicherheit. In der Mitte kann man die Zone einstellen, wählen Sie Eingeschränkte Sites. Konfigurieren Sie die Zoneneinstellungen für Eingeschränkte Sites im Internet Explorer, Extras / Optionen, Reiter Sicherheit, Icon Eingeschränkte Sites, klicken auf Stufe anpassen. Deaktivieren Sie alles, ActiveX, Script, Java oder sonst wie ausführbar riecht. (Aber: Das alles hilft nichts, wenn Sie kein Update installiert haben.)

Tools und Infos zur manuellen Entfernung:

Andreas Winterer

Andreas Winterer ist Journalist, Buchautor und Blogger und beschäftigt sich seit 1992 mit Sicherheitsthemen. Auf unsicherheitsblog.de will er digitale Aufklärung zu Sicherheitsthemen bieten – auf dem Niveau 'normaler Nutzer' und ohne falsche Paranoia. Auf der Nachbarseite passwortbibel.de geht's um Passwörter. Bitte kaufen Sie eines seiner Bücher.

Das könnte Dich auch interessieren …