Der britische Security-Experte Sophos http://www.sophos.com warnt vor einem neuen
Massenmailing-Wurm, der einen Backdoor-Trojaner mit sich führt. Die
Trojaner-Komponente soll es Dritten ermöglichen, die Kontrolle über infizierte
Computer zu übernehmen.
"W32/Baba-C" verbreitet sich via E-Mail und verwendet dazu seine eigene
SMTP-Engine. Nach der Attacke sucht er in allen auffindbaren
Outlook-Adressbüchern nach neuen Adressen, an die er sich anschließend weiter
versendet. Nach der Infektion legt Baba-C einer Trojaner im Ordner C:/ des
infizierten Computers ab und fügt einen Registrierungseintrag hinzu. Dieser
Eintag startet die Komponente bei der Computeranmeldung. Weiters erzeugt er die
harmlose Textdatei "csrss.bin" im gleichen Ordner. Anschließend versucht der
Wurm E-Mail-Adressen in Dateien mit folgenden Erweiterungen aufzuspüren: ASP,
CGI, DAT, DBX, DOC, EML, HTM, HTML, MBX, PHP, RTF, TBB, TXT, WAB und
INBOX.
Die Betreffzeile der Mails lautet dabei immer: "Important! XXX
sites found on your computer! ". Das Attachement beinhaltet den Text: "quick
shortcut to evidence cleaner length %d bytes evidence-cleaner-system.com". Wobei
%d immer eine Dezimalzahl ist. Laut Sophos ist die Verbreitung des neuen Wurms
derzeit noch gering. Trotzdem empfehlen die Virenexperten alle vorhandenen
Virensignaturen zu aktualisieren. Unter http://www.sophos.ch/virusinfo/analyses/w32babac.html bietet
Sophos eine aktuelle Virenerkennungsdatei (IDE) zum Downloaden, mit der Sophos
Anti-Virus Baba-C erkennen und desinfizieren kann.