Netsky.V und Bagle.Q nutzen Lücke im Internet Explorer aus

#0
18.03.2004, 16:30
Member

Beiträge: 1095
#1 Neuer Wurm unterwegs

Bei der neuen Q-Variante des Bagle-Wurms reicht es bereits aus, eine Mail zu lesen, um sich zu infizieren. Anders als bisherige Bagle-Versionen versendet sich der Wurm nicht als Anhang einer Mail, sondern lädt sich über einen Link in der Mail selbst nach. Ist beispielsweise unter Outlook die HTML-Ansicht von Mails aktiviert, so lädt die Mail über einen versteckten Link eine HTML-Datei aus dem Internet nach. Um den PC eines Anwenders ohne dessen Interaktion zu infizieren, macht sich der Wurm eine seit längerem bekannte Lücke (MS03-040) im Internet Explorer zu Nutze: Die Object-Tag-Schwachstelle ermöglicht es Angreifern, ausführbare Dateien auf den PC eines Opfers zu laden und in dessen Kontext auszuführen.


In der nachgeladenen HTML-Datei steckt ein Visual-Basic-Skript Q.VBS, welches den eigentlichen Wurm (directs.exe) nachlädt -- dazu sind annähernd 600 IP-Adressen voreingestellt. Von infizierten Systemen versendet sich der Wurm mit gefälschtem Absender an Empfängeradressen, die er in diversen Dateien gefunden hat, und verwendet dabei verschiedene englischsprachige Texte. Außerdem verbreitet er sich über Peer-to-Peer-Tauschbörsen. Über eine Schadroutine verfügt der Wurm nicht, eine Hintertür öffnet er nach derzeitigem Kenntnisstand nicht.

Einige Hersteller haben ihre Signaturen zum Erkennen des Wurms bereits aktualisiert. Trend Micro stuft das Risiko bereits als "medium" ein, bei NAI ist bislang nur Stufe "low" erreicht. Anwender sollten die HTML-Ansicht ihres E-Mails-Clients deaktivieren und zusätzlich das Nachladen von Inhalten abschalten. Auch sollte der Patch zum Stopfen der Lücke im Internet Explorer eingespielt werden, sofern nicht schon geschehen. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security.

Siehe dazu auch:

Virenwarnung von Trend Micro
http://de.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=PE_BAGLE.Q

Virenwarnung von NAI
http://vil.nai.com/vil/content/v_101108.htm

Virenwarnung von F-Secure
http://www.f-secure.com/v-descs/bagle_q.shtml


Text von Heise.de
http://www.heise.de/newsticker/meldung/45716
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
16.04.2004, 21:45
Moderator
Avatar joschi

Beiträge: 6466
#2 Auch der Mail-Wurm Netsky.V nutz diese Lücke nun aus.

Zitat

Der Mail-Wurm Netsky.V nutzt eine Lücke im Internet Explorer aus, um Windows-Systeme zu infizieren. Anders als simpel gestrickte Mass-Mailing-Würmer versteckt er sich nicht im Anhang einer E-Mail, sondern lädt den Schädlingscode von anderen infizierten Rechnern aus dem Internet nach. Ist beispielsweise unter Outlook die HTML-Ansicht von Mails aktiviert, so reicht dazu das Ansehen der Mail aus.


Um den PC eines Anwenders ohne dessen Interaktion zu infizieren, macht sich der Wurm eine seit längerem bekannte Lücke (MS03-040) im Internet Explorer zu Nutze: Die Object-Tag-Schwachstelle ermöglicht es Angreifern, ausführbare Dateien auf den PC eines Opfers zu laden und in dessen Kontext auszuführen. Bereits Bagle.Q griff auf diesen Trick zurück. Der Patch von Microsoft, um diese Lücke zu stopfen, steht seit Anfang Oktober 2003 zur Verfügung.

Auf befallenen Systemen installiert der Wurm einen HTTP-Server, der auf Port 5556 auf eingehende Verbindungen horcht sowie auf Port 5557 einen FTP-Server. Ruft ein System, auf dem gerade eine Netsky.V-Mail geöffnet ist, über einen versteckten Link (http://IP-Adresse-infizierter-PC:5557/index.html) die index.html ab, so sendet der HTTP-Server eine Seite mit manipuliertem Code, der den Windows-FTP-Client startet. Der lädt dann vom FTP-Server den eigentlichen Schädlingscode.

Zwischen dem 22. und 29. April startet der Wurm eine Denial-of-Service-Attacke gegen www.keyg*hier nicht*.us, www.E m u l e.net, www.kazaa.com, www.E m u l e.de und www.Cra*hier nicht!*.am. Schon die letzte DoS-Attacke von Netsky.Q gegen einige dieser Seiten zeigte ihre Wirkung.

Obwohl der Wurm bislang noch keine starke Verbreitung gefunden hat, sollten Anwender den erwähnten Patch einspielen. Die Hersteller von Antivirensoftware haben aktualisierte Signaturen bereitgestellt. Weitere Hinweise zu Viren und Würmern finden Sie auf den Antiviren-Seiten von heise Security
Quelle: http://www.heise.de/security/news/meldung/46563
Patch ist seit Oktober 2003 verfügbar.
Näheres unter: http://www.microsoft.com/germany/ms/technetservicedesk/bulletin/bulletinms03-040.htm
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende