Viren: Warum Bugbear sich so schnell verbreitet hat

Nach Monaten ohne größere Virus-Attacken teilten die Antivirus-Unternehmen mit, dass man nach komplexen Viren wie Nimda Ausschau halten sollte. Aber stattdessen kam Bugbear des Weges, ein ziemlich tückisches Stück bösartiger Windows-Software, das sich innerhalb von wenigen Tagen an die Spitze der Charts setzte. Wie konnte dieser Virus derart schnell so weit kommen?

Zunächst einmal ist Bugbear hinterhältig: Infizierte E-Mails haben Spam-artige Betreffzeilen wie „Acht Ausgaben umsonst – kein Risiko“ und „Meine eBay Anzeigen“, damit sie sich unauffällig unter die andere Junk-Mail im Posteingang mischen. Und wie der Sircam-Wurm fälscht Bugbear die Absender-Adressen, so dass man nicht genau sagen kann, wer die infizierte Mail verschickt hat.

Die an die Mail angehängte Datei trägt ebenfalls eine gefälschte Dateierweiterung und lässt den Nutzer so denken, dass es sich um ein bestimmtes Dateiformat handelt, auch wenn es tatsächlich ein ganz anderes ist. So kann zum Beispiel eine Datei, die sich als .jpg ausgibt, tatsächlich eine .exe sein.

Internet Explorer öffnet die Tür
Selbst wenn die angehängte Datei nicht geöffnet wird, nutzt Bugbear eine bekannte Schwäche von Microsofts Internet Explorer, um den Computer zu infizieren. Da Outlook den Internet Explorer verwendet um HTML-Mail darzustellen, reicht es aus, eine Datei lediglich im Vorschaumodus zu betrachten, um den PC zu infizieren. Die Nutzer von Internet Explorer 6.0 können von Bugbear nicht angegriffen werden. Für Internet Explorer 5.01 und 5.5 hat Microsoft vor 18 Monaten den Patch MS01-020 herausgebracht. Der Virus Nimda machte sich vor fast einem Jahr dieselbe Schwäche zunutze.

Zweitens: Bugbear verbreitet sich schnell. Der Wurm braucht lediglich ein verwundbares System, um in einem Netzwerk Fuß zu fassen. Sobald er ein verwundbares System infiziert hat, kann er sich über offene NETBIOS File Shares auf Port 137 auf andere Computer und sogar Drucker ausbreiten. Da Nutzer häufig Dateien über vernetzte Systeme austauschen, ist der Wurm in der Lage, sich sehr schnell zu verbreiten. Wenn Bugbear versucht, sich über einen Netzwerkdrucker auszubreiten, spuckt dieser sinnloses Zeug aus, wie etwa eine über mehrere Seiten gedruckte Zeile. Der im letzten Jahr aktive Nimda-Virus hat sich ebenfalls auf Drucker ausgebreitet.

Drittens: Bugbear ist nur schwer zu bekämpfen. Wenn sich der Wurm erst einmal in einem Netzwerk ausgebreitet hat, ist es für IT-Techniker unmöglich, ihn zu isolieren, bis alle Spuren aus dem Netzwerk entfernt sind. Zahlreiche IT-Abteilungen melden, dass sie multiple Bugbear-Infektionen bekämpfen mussten – während der Virus auf der fünften Etage eingedämmt wird, läuft er auf der vierten oder in einer Außenstelle Amok.