Gefährliche neue Virengeneration
Von seinem Zerstörungspotenzial her ist der in der Nacht auf Dienstag erstmals aufgetauchte, nach einer Episode der US-Sitcom "Seinfeld" benannte Wurm "BubbleBoy" zwar als relativ harmlos einzuschätzen, höchst gefährlich aber ist sein Konzept.
Während alle Viren, Würmer [Melissa] oder Trojaner [Back Orifice] bisher darauf angewiesen waren, dass ein Mail-Attachment angeklickt wurde, ist dies bei BubbleBoy in der verbreiteten Konstellation von Microsoft-Programmen, Outlook 98/Express/2000 mit Internet Explorer 5.0, nicht der Fall.
Was BubbleBoy tut
Das in ein HTML-Formular eingebettete Visual Basic Script kann
beim Öffnen der Mail [eigentlich schon im Modus: Voransicht] auf den
Windows Scripting Host zugreifen. BubbleBoy nutzt dieses zwar nur,
um sich weiterzuverbreiten, die Möglichkeiten für wirklich bösartige
Viren gleichen Typs, schwere Schäden anzurichten, sind aber
unbegrenzt.
McAfees BeschreibungDafür, dass es sich nur um eine Art "proof of concept" handelt, spricht, dass BubbleBoy noch nicht in freier Wildbahn ["in the wild"] gesichtet wurde, weil er offenbar nur an Entwickler von Anti-Virus-Software verschickt worden ist.
Zudem greift er NT nicht an, obwohl dies, so Virenfahnder Toralv Dirro von Network Associates [McAfee], sehr leicht möglich wäre.
Sicherheitstufe rauf
Als einzige, mögliche Maßnahme gegen diese gefährliche, neue Virenart empfiehlt Dirro in den allgemeinen Sicherheitseinstellungen von MS-Outlook/IE 5.0 auf die höchste Sicherheitsstufe zu gehen.
Andere Mailprogramme dürften nicht betroffen sein.
Laut AVP/Kaspersky Labs sind nur die englischen und spanischen Versionen von Outlook verwundbar.
Technische Details von AVP:
"Wenn ein Anwender die infizierte HTML-Nachricht öffnet und liest, wird
das darin enthaltene Script des Wurms automatisch aktiviert und von
MS Outlook ausgeführt. Diese Script erstellt [unter Ausnutzung der
Sicherheitslücke] eine Datei "UPDATE.HTA" im Verzeichnis
"C:\WINDOWS\START MENU\PROGRAMS\STARTUP". Die gleiche
Datei versucht der Wurm auch im Verzeichnis "C:\WINDOWS\MENU
INICIO\PROGRAMAS\INICIO\" [in der spanischen Windows-Version]
anzulegen."
Wird die Datei UPDATE.HTA ausgeführt, startet der BubbleBoy MS-
Outlook in einem versteckten Fenster. Dann erstellt der Wurm eine
neue Nachricht und sendet diese an alle eingetragenen e-Mail Adressen