| Alias-Namen: Tanat, Tanatos, Natosta.A, Worm_Natosta.A, W32.Bugbear@mm, I-Worm.Tanatos Virentyp: EXE-Wurm & Backdoor-Trojaner / Keylogger (Ursprung Malaysia) Verbreitung: via E-Mail mittels I-Frame bzw. Dateianhang (je nach Mailprogramm u. Konfiguration). Dateigröße: ca. 50 KB (Endungen .pif, .scr oder .pif möglich). Vorsicht ! Datei weist Doppelendungen auf ! Der Wurm kann sich auch unter gegebenen Voraussetzungen über das Netzwerk verbreiten.
Betreff/Subject: Der Wurm sucht sich Betreffzeilen und Mailtext aus vorhanden E-Mails zusammen und verschickt diese an Mailadressen aus verschiedenen Datenbanken, die er finden kann. Ist dieses nicht möglich werden aus einer internen Liste durch den Wurm diese generiert. Diese Liste hier zu veröffentlichen wäre etwas zu lang (siehe hierzu unter den Informations-Links, die fast alle entsprechende Listen veröffentlicht haben. Daher sind Betreffzeilen in allen Sprachen denkbar, auch deutsch.
Nachricht: gar keine oder unterschiedlich (siehe unter "Betreff/Subject) Erkennbare Anzeichen einer Infektion: Existenz der Dateien: iccyoa.dll, lgguqaa.dll, roomuaa.dll, okkqsa.dat, ussiwa.dat. Die Wurmdatei selber weicht bei jeder Infektion ab und kann als eindeutiges Erkennungszeichen hier nicht genannt werden.
Bekannte Schäden: Der Wurm nutzt eine längst bekannte Sicherheitslücke der Versionen 5.01 und 5.5 des Internet Explorer. Der Dateianhang wird somit unter gegebenen Umständen bereits beim öffnen der Mailnachricht mittels der Mailprogramme Outlook und Outlook Express ausgeführt. Die Firma Microsoft hält hierzu auch Sicherheitspatches bereit. Der Wurm kopiert sich in das Windows Autostartverzeichnis und versucht eine große Anzahl von Security Programmen (Viren- Trojanerscanner und Firewalls) zu beenden um unentdeckt zu bleiben. Bugbear verschickt sich selber über eine eigenen SMTP-Routine, nutzt somit keine vorliegenden Mailprogramme. Auch TXT-Dateien des infizierten Systems können diesen Mails beigefügt worden sein. Die Zieladressen sucht sich der Wurm aus dem Windows Adressbuch und anderen Dateien bestimmter Endungen. Der Wurm verfügt über einen kleinen eingebauten "Filter", tauchen bestimmte Strings in einer Zieladresse auf, so versendet Bugbear an diese keine Mail. Beispiel: Auch der String "trojan" ist darin zu finden, somit dürften z.B. Mailadressen von uns (trojaner-info.de) mit dem Empfang derartige Mails wahrscheinlich verschont bleiben. Warum das so ist, darüber kann nur spekuliert werden. Die Trojanerkomponente öffnet den Port 36794 und ermöglicht den Zugriff auf das infizierte System von anderen Rechnern aus. Der Wurm installiert desweiteren einen Keylogger zwecks Aufzeichnung von Tastatureingaben. Bugbear ist unter allen Windows-Systemen lauffähig.
Gegenmittel als kostenloses Removal Tool bei BitDefender erhältlich. Informationen Englisch: Symantec | F-Secure | Norman | McAfee | Kaspersky | CAI | GeCAD | BitDefender | Informationen Deutsch: TrendMicro | Sophos | BitDefender | H+BEDV | Ikarus | Kaspersky | |