Bugbear lauert im Posteingang

Um einen Angriff abzuwehren, sollten Sie den Microsoft-Patch installieren. Die betreffende Schwachstelle wurde erstmals im Microsoft Security Bulletin MS01-020 vom 29. März 2001 erwähnt. Der in dieser Bekanntmachung enthaltene Patch wurde dann durch die im MS01-027 veröffentlichten IE 5.01- und IE 5.5-Patches ersetzt, weshalb Sie vor der Installation eines Patches zunächst beide Bekanntmachungen in Betracht ziehen sollten. Es gibt auch Patch-Pakete für dieses Problem.

Eine weitere Option ist ein Upgrade auf IE 6 oder höher.

Um ein infiziertes System zu reparieren, sollten Sie zunächst den Virus mithilfe eines Antivirus-Programms entfernen und dann den Patch installieren.

Details
Beim Öffnen des Anhangs ermittelt Bugbear die Version des Betriebssystems und erstellt Kopien bösartiger Programme in verschiedenen Verzeichnissen, je nach Betriebssystem. Mit einer Antivirus-Software lassen sich im Allgemeinen alle bösartigen Dateien entfernen, doch Bugbear erstellt noch weitere Dateien, die manuell entfernt werden müssen. Diese Dateien sind in ausführlicheren Beschreibungen zu diesem Virus zu finden, beispielsweise auf der Website von Symantec. Die Beschreibung von Symantec zu diesem Virus führt außerdem ca. 100 Programme auf (darunter Antivirus-Anwendungen und Firewalls), die der Wurm lokalisiert und alle paar Sekunden zu deaktivieren versucht.

Listing A enthält mögliche Betreffszeilen für diese E-Mail-Attacke.

Wie Sie sehen, erscheinen einige dieser Betreffszeilen harmlos genug, um die Benutzer zum Öffnen der E-Mail zu bringen. Außerdem scheinen die E-Mails jeweils von einem bekannten Absender zu stammen, da der Wurm sich über die Adressen im Posteingang von Benutzern oder aus gebräuchlichen Datenbankdateien mit E-Mail-Adressen verbreitet.

Mitre führt diese MIME-Schwachstelle unter CVE 2001-0154 auf, die Nummer der BugTraq-Liste lautet 20010330: „Falscher MIME-Header kann die Ausführung eines E-Mail-Anhangs durch den IE verursachen.“ Mehr Informationen über diesen Virus finden Sie im ZDNet News Special und in den Kommentaren unter Geek.com.

Fazit
Es liegt auf der Hand, welche Lehren aus Bugbear zu ziehen sind. Man kann Microsoft mangelnde Sicherheit vorwerfen, und häufig ist diese Kritik auch durchaus angebracht, doch diesmal liegt die Schuld vor allem bei den IT-Fachleuten, wenn der Wurm Systeme in deren Verantwortungsbereich infiziert. Microsoft hatte diese Schwachstelle bereits vor 18 Monaten erkannt, weshalb die Verantwortlichen von Systemen, in denen kritische Patches ständig vernachlässigt werden, dringend ihre Verfahrensweisen überdenken sollten.