Bugbear breitet sich schnell aus

Das Schreckgespenst geister immer öfters durchs Web: Der Virus „Bugbear“ (zu deutsch: „Schreckgespenst“) hat innerhalb weniger Tage Millionen Windows-Computer rund um den Globus befallen und breitet sich nach Einschätzung von Experten rasend schnell aus. Der erstmals am Sonntag gemeldete Wurm sei bereits in ganz Westeuropa, den USA, Australien, Indien und Brasilien aufgetreten, warnten die Anti-Viren-Experten von Network Associates am Freitag in München.

„Bugbear“ gilt als sehr aggressiv, kann aber mit Hilfe der neuesten Versionen der Antiviren-Programme entdeckt und gelöscht werden. Innerhalb weniger Tage erhielt Network-Associates-Konkurrent Symantec australischen Angaben zufolge mehr Meldungen über infizierte Computer als beim mächtigen „Klez“-Virus im Februar.

Die Virenschutz-Firmen versahen den offenbar aus Malaysia stammenden „Bugbear“ (Schreckgespenst), der auch unter dem Namen „Tanatos“ herumgeistert, nun mit der höchsten Risikostufe. „Bugbear“ versucht, Sicherheitsprogramme und Firewalls auszuschalten und sich selbstständig an andere Rechner in lokalen Netzwerken sowie sämtliche E-Mail-Partner aus dem Adressbuch eines Nutzers zu verschicken.

Dabei wird unter anderem die E-Mail-Adresse des angegriffenen Rechners als angeblicher Absender eingesetzt. Zudem probiert das Programm, vertrauliche Informationen wie Passwörter und Kreditkarten-Nummern auszuspionieren. Netzwerk-Drucker können durch „Bugbear“ mit Datenmüll überschwemmt und so lahmgelegt werden.

Angaben australischer Experten zufolge kommt der zuerst in Sydney gesichtete „Bugbear“ als Anhang einer vermeintlich von Freunden oder Bekannten geschickten E-Mail über die Microsoft-Programme Outlook und Outlook Express. Die „Betreff“-Zeile kann Dutzende verschiedener Botschaften tragen, etwa „Greets!“, „Get 8 FREE issues – no risk!“, „Hi“ oder „Re:“. Der so genannte Massmailer-Wurm greift laut Symantec nur Rechner mit Windows-Betriebsystemen an, Computer mit Macintosh, Unix oder Linux sind demnach nicht gefährdet.

Wie die E-Mail-Betreffzeile kann auch das 50.688 Byte große Virus verschiedene Namen tragen, die eine doppelte Datei-Endung besitzen, also etwa „.doc.pif“. Der Name endet auf .exe, .scr oder .pif. Der Wurm nutzt eine seit längerem bekannte Sicherheitslücke in den Microsoft-Browsern Internet Explorer der Versionen 5.01 und 5.5 aus, solange diese Programme nicht per Update auf den neuesten Stand gebracht worden sind.

ZDNet informiert in einem Spezial über die aktuelle Virenlawine von Bugbear und Opasoft – dort finden sich neben wertvollen Hintergrund-Infos auch Links zu Removal-Tools. Ein kostenloser Live-Viren-Check steht außerdem bereit. Der Online Scanner durchforstet ihr System nach diversen Schädlingen.