W32/Bugbear (inkl. Varianten)

Update vom 5. Juni 2003: Bugbear.B (siehe weiter unten)

Update vom 21. April 2004: Bubear.C (siehe weiter unten)

Eine Sicherheitslücke im Internet Explorer wirkt sich praktisch immer auch auf die Microsoft-Mailprogramme Outlook und Outlook Express aus. Seit eineinhalb Jahren (ca. März 2001) missbrauchen Viren und Würmer das selbe alte Sicherheitsleck, das jeder Benutzer ganz einfach stopfen könnte - und zwar mit dem Upgrade auf Internet Explorer Version 5.5 SP2 (Service Pack 2) oder höher.

Der Schädling W32/Bugbear ist nun wieder ein solcher Wurm, der sich auf die Update-Faulheit der Internet-Benutzer verlässt. Die infizierte Mail hat in der Regel einen wechselnden Betreff, der auf den ersten Blick stark nach Spam (unerwünschten Werbemails) aussieht. Eine Liste der möglichen Betreffzeilen finden Sie zum Beispiel bei TrendMicro [1].

In der Mail selber steht ein zufälliger Text, und der Dateiname der infizierten Beilage ist zufällig zusammengesetzt, etwa mit Worten wie card, docs, image, images, music, news, photo, pics, readme, resume, setup, song oder video; oft gefolgt von einer doppelten Dateiendung (z.B. setup.doc.pif).

Auf Windows-Systemen, deren Internet Explorer bzw. Outlook und Outlook Express nicht auf dem aktuellen Stand sind, führt sich die Mail-Beilage beim Lesen der Mail von selber aus. Wenn dies geschieht oder wenn der Benutzer die Mailbeilage leichtsinnigerweise manuell startet, kopiert sich der Wurm unter einem beliebigen Dateinamen in den Windows System-Ordner (z.B. in C:\Windows\System\) und trägt die abgelegte Datei in diesen Registry-Schlüssel ein:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Zusätzlich legt der Wurm eine Kopie von sich im Autostart-Ordner des Windows Startmenüs ab. Für die Verbreitung nutzt er nicht nur Freigaben im lokalen Netzwerk, sondern greift sich aus dem Adressbuch von Outlook Express (*.wab) und aus anderen Datenquellen Mail-Adressen, an die er sich selber mit den oben erwähnten Eigenschaften verschickt. Gemäss den Aussagen einiger Antivirus-Hersteller habe die Verbreitung des Wurms via Netzwerk bisweilen noch den Effekt, dass der Wurm seinen Code auch an Netzwerk-Drucker schickt, welche dann Zeichensalat ausdrucken.

Abgesehen von der Weiterverbreitung besteht sein Schadensteil darin, dass er einige Antivirus- oder Firewall-Programme beendet, die im Hintergrund laufen. Dies (oder überhaupt eine Infektion des PCs) gelingt dem Bugbear-Wurm jedoch nur, wenn ein frisch aktualisiertes Antivirus-Programm den Wurm nicht schon vorher entdeckt und blockiert hat.

Weitere unbequeme Eigenschaften dieses Wurms: Er legt ein bis zwei DLL-Dateien und ein bis zwei DAT-Dateien im Windows System-Ordner ab, welche den Zweck haben, Tastatur-Eingaben des Benutzers aufzuzeichnen und in der Internet-Verbindung des Benutzers eine Hintertüre zu öffnen, was einem Angreifer von aussen den Zugriff auf das System erlaubt.

Um eine Infektion Ihres PCs zu vermeiden, sollten Sie die Windows-Updates durchführen und sicherstellen, dass Sie mindestens den Internet Explorer 5.5 SP2 benutzen. Sorgen Sie auch für regelmässige Updates Ihres Virenscanners und führen Sie keine Mailbeilagen aus, deren Inhalt oder Zweck Sie nicht genau kennen.

Beseitigungs-Vorbereitung unter Windows XP und Windows ME:

Falls Sie Windows XP oder Windows ME benutzen, schalten Sie vor der Beseitigung des Wurms die Systemwiederherstellungs-Funktion aus, sonst stellt Windows den Schädling nach dem nächsten PC-Neustart wieder her.

Unter Windows ME geht das so:

Gehen Sie zu "Start/Einstellungen/Systemsteuerung/System" und klicken Sie auf das Register "Leistungsmerkmale". Klicken Sie auf "Dateisystem" und wechseln zu "Problembehandlung". Dann ein Klick auf "Systemwiederherstellung deaktivieren" und unten auf "Übernehmen". Beim nächsten Start sind die bisher gespeicherten Wiederherstellungspunkte verschwunden. Wenn Sie diese Restore-Funktion nun nach dem Entfernen des Schädlings wieder einschalten möchten, aktivieren Sie sie auf dem selben Weg.

Unter Windows XP:

Gehen Sie zu "Start/Alle Programme/Zubehör/Systemprogramme/Systemwiederherstellung" und verwenden Sie darin den Link "Systemwiederherstellungseinstellungen". Setzen Sie ein Häkchen bei "Systemwiederherstellung deaktivieren" bzw. bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" und bestätigen Sie die nächste Rückfrage mit "Ja". Nun werden die Wiederherstellungspunkte gelöscht.

Virus beseitigen:

Win95/98/ME/2000/XP:

Nun laden Sie von der McAfee-Webseite das Beseitigungs-Werkzeug namens "Stinger" [2] herunter. Achtung: Dieses Hilfsprogramm ist kein Virenschutz, sondern lediglich ein Beseitigungs-Werkzeug für ganze bestimmte Viren (z.B. Bugbear, Klez und Elkern). Führen Sie die Datei nach dem Download aus. Standardmässig wird Laufwerk C: zum Scannen vorgeschlagen. Möchten Sie noch weitere Laufwerke überprüfen, fügen Sie diese über die Schaltfläche "Add" hinzu. Klicken Sie anschliessend auf "Scan Now". Dies wird den Virus entfernen.

Starten Sie den PC erneut und führen Sie das Stinger-Programm nochmals aus. Scannen Sie Ihre Laufwerke nun noch mit einem richtigen, frisch aktualisierten Virenscanner. Sollte ein solcher fehlen, weichen Sie allenfalls auf TrendMicro Housecall [3] aus. Ist jetzt kein Schädling mehr zu finden, können Sie die Systemwiederherstellung wieder einschalten, sofern Sie diese (bei Windows XP oder Windows ME) vorher ausgeschaltet haben.

Führen Sie im Internet Explorer via "Extras/Windows Update" alle verfügbaren Sicherheitsupdates durch und stellen Sie sicher, dass Ihr Virenscanner jetzt wieder funktioniert und aktualisieren Sie diesen ebenfalls.

Weitere Beschreibungen über den Bugbear-Wurm finden Sie zum Beispiel auch bei Sophos [4], NAI (McAfee) [5], Symantec (Norton) [6] oder F-Secure [7] (dort als Tanatos-Wurm geführt).

Update vom 5. Juni 2003:

Mehrere Antivirus-Hersteller melden, dass eine neue Variante des Bugbear-Virus aufgetaucht sei. Diese verbreitet sich mit verschiedenen Mail-Texten und Beilagennamen und meist mit einer gefälschten Absenderadresse. Der Virus versucht auch PCs im lokalen Netzwerk anzustecken. Analysen und Screenshots zu Bugbear.B finden Sie beispielsweise bei F-Secure [8] und Sophos [9].

Update vom 21. April 2004:

Eine im April 2004 entdeckte neue Variante (Bugbear.C [10]) missbraucht eine weitere Sicherheitslücke [11], die auf ungepatchten Windows-PCs dafür sorgen kann, dass der schädliche Wurmcode beim Lesen der infizierten Mail automatisch ausgeführt wird.

Diese Bugbear-Variante legt eine Datei mit beliebigem Namen und Endung EXE im Windows System-Ordner ab (je nach Windows-Version z.B. in C:\Windows\System32, C:\Winnt\System32 oder C:\Windows\System). Diese Datei wird vom Wurm in diesen Registry-Schlüssel eingetragen, um sicherzustellen, dass der Schädling bei jedem Windows-Start geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Im selben System-Ordner werden auch drei Dateien mit Endung DLL erstellt. Eine dieser Dateien ist ein Trojaner, der z.B. von Symantec als PWS.Hooker.Trojan erkannt wird. Die anderen zwei DLLs sind harmlos.

Zusätzlich erstellt Bugbear.C noch diesen Registry-Eintrag:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\EnableAutodial

Wie schon viele Würmer zuvor, versucht Bugbear.C die Programmprozesse von Virenscannern und sonstiger Sicherheitsprogramme abzuschiessen. Dies verhindert das Ausführen eines Virenscanners.

Bei der Verbreitung verschickt sich der Wurm mit gefälschten Absenderadressen und mit zufällig gewähltem Betreff an Adressen, die er in verschiedenen Dateien auf dem infizierten PC gesammelt hat. Die Beilage trägt den Namen einer auf dem PC gefundenen Datei, jedoch mit Endung EXE, SCR, PIF, ZIP oder HTM.

Bugbear.C trägt bei anderen Antivirusherstellern (z.B. F-Secure [12]) den Namen Bugbear.E. Für die Beseitigung der neuen Bugbear-Variante gehen Sie so vor:

Schalten Sie unter Windows ME und XP zuerst die Systemwiederherstellung aus (siehe oben). Entfernen Sie den Registry-Eintrag des Wurms in diesem Zweig:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Starten Sie danach den PC neu; nun können Sie Ihren Virenscanner wieder ausführen und via Internet aktualisieren. Scannen Sie den PC komplett nach Viren und lassen Sie die gefundenen Bugbear-Dateien entfernen. Führen Sie auch ein Windows-Update durch, damit die Sicherheitslücke geschlossen wird.

Da der Trojaner-Teil dieses Wurms versucht, persönliche Informationen (z.B. Cookies, eingetippte Passwörter) an verschiedene E-Mail-Adressen zu schicken, wäre es klug, anschliessend die Passwörter zu wechseln.