Bagle.Q nutzt Sicherheitsloch

Viren

Die Viren Bagle.R und Bagle.Q kommen inzwischen ohne Dateianhänge aus. Wird die E-Mail direkt oder im Vorschaufenster von Outlook aufgerufen, lädt der HTML-Code in der E-Mail die Schadensroutine nach. Dies wird durch eine Sicherheitslücke im Internet Explorer, dessen Rendering-Engine auch Outlook verwendet, möglich.

In der nachgeladenen HTML-Datei steckt ein Visual-Basic-Skript Q.VBS, welches den eigentlichen Wurm (directs.exe) nachlädt — dazu sind annähernd 600 IP-Adressen voreingestellt. Von infizierten Systemen versendet sich der Wurm mit gefälschtem Absender an Empfängeradressen, die er in diversen Dateien gefunden hat, und verwendet dabei verschiedene englischsprachige Texte. Außerdem verbreitet er sich über Peer-to-Peer-Tauschbörsen. Über eine Schadroutine verfügt der Wurm nicht, eine Hintertür öffnet er nach derzeitigem Kenntnisstand nicht.

 

Einige Hersteller haben ihre Signaturen zum Erkennen des Wurms bereits aktualisiert. Trend Micro stuft das Risiko bereits als “medium” ein, bei NAI ist bislang nur Stufe “low” erreicht. Anwender sollten die HTML-Ansicht ihres E-Mails-Clients deaktivieren und zusätzlich das Nachladen von Inhalten abschalten. Auch sollte der Patch zum Stopfen der Lücke im Internet Explorer eingespielt werden, sofern nicht schon geschehen.

-

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

CAPTCHA eingeben * Das Zeitlimit ist erschöpft. Bitte CAPTCHA neu laden.