Network Associates AVERT meldet: VBS/Bubbleboy und FunLove.4099 / Informationen vom Anti-Virus Emergency Response Team (AVERT), einer Abteilung der NAI Labs

Unterschleißheim (ots) - Zu zwei neuen Viren hat sich das AVERT geäußert. Während es sich beim VBS/Bubbleboy aller Wahrscheinlichkeit nach um einen Wurm handelt, der ein neues Verbreitungsprinzip testen soll und dessen Risiko als "niedrig" eingestuft wird, muss der W32/FunLove.4099 als "mittleres Risiko, unter Beobachtung" angesehen werden.

VBS/Bubbleboy
Dies ist der erste Internet-/E-Mail-Worm, der sich schon durch bloßes Öffnen der infizierten Mail im HTML-Format ausbreitet (Das Anschauen der Mail im Vorschaufenster aktiviert den Wurm nicht). Dazu Toralv Dirro, Anti-Virus-Experte bei NAI/McAfee in Deutschland:

"Der Virus ist eine Mail im HTML-Format ohne Attachments; wird sie geöffnet, werden Script-Bestandteile ausgeführt - entsprechend der Einstellung für die Browser-Zone und deren Konfiguration. Anscheinend nutzt der Virus eine kürzlich diskutierte Sicherheitslücke im Microsoft Internet Explorer 5, um eine Datei namens UPDATE.HTA zu erzeugen, die beim nächsten Systemstart ausgeführt wird. Ermöglicht werden solche Viren durch ein meiner Meinung nach sinnlose Features des Mail-Clients in Kombination mit einem sicherheits-relevanten Bug."

Die Datei UPDATE.HTA bewirkt folgendes: Der aktuelle Besitzer in der Windows-Registrierung wird in "BubbleBoy" geändert, die Organisation des Besitzers in "Vandelay Industries"; dann wird der Virus in eine E-Mail an alle Adressen in allen Outlook-Adressbüchern verschickt; diese E-Mail sieht wie folgt aus:

Von: (derjenige, der den Wurm unwissentlich schickt)
Betreff: BubbleBoy is back!
Nachricht: The BubbleBoy incident, pictures and sounds
http://www.towns.com/dorms/tom/bblboy.htm

Die angegebene Adresse ist ungültig.
Nach dem derzeitigen Informationsstand funktioniert der Wurm nur in den englischen und spanischen Versionen von Windows 98 und Windows 2000, weil dort bestimmte Dateipfade fest eingestellt sind, möglicherweise aber auch alle Versionen, wenn der Windows Scripting Host (WHS) installiert ist. Der VBS/Bubbleboy befällt, so der aktuelle Kenntnisstand, Windows-NT-Systeme, den IE4 und Outlook 97 nicht.

Zur generellen Vorbeugung gegen Viren dieser Art empfiehlt Toralv Dirro folgendes:

1. Am besten Mail-Programme verwenden, die HTML nicht interpretieren

2. Sicherheits-relevante Einstellungen im Mail-Programm und im Browser so verändern, dass auf die Zone für eingeschränkte Sites umgestellt wird (z.B. im IE5: Menü <Extras><Internetoptionen...>; Register <Sicherheit>; Zone "Eingeschränkte Sites"; Schaltfläche <Stufe anpassen...>; dort alles deaktivieren)

McAfee VirusScan kann auf den Virus angesetzt werden, indem HT? zur Liste der Dateierweiterungen beim Scannen hinzugefügt wird.

Weitere Informationen finden sich auf den angegebenen Websites von NAI und McAfee.

Infos zur Diskussion über die Sicherheitslücke in IE5 unter www.microsoft.com/Security/Bulletins/ms99-032.asp.

W32/FunLove.4099
Dieser Virus wurde vom AVERT am 9. November entdeckt und mittlerweile in die Risikoklasse "mittel, unter Beobachtung" hochgestuft. Die Experten des AVERT sind inzwischen sehr besorgt, weil sie gesehen haben, wie rasant sich der Virus ausbreitet und sowohl Einzelplatzsysteme, als auch Netzwerkserver befällt.

Die Symptome des FunLove.4099 sind äußerst subtil. Der Virus legt eine Datei namens FLCSS.EXE in den Systemordner. Der Inhalt wird zum residenten Teil des Virus. Bei der Verbreitung von FunLove vergrößert dieser Teil die infizierten Dateien um 4.099 Bytes (bei Windows 95 und 98, bei Windows NT ist es mehr), indem er die Datei FLCSS.EXE ans Ende der Datei anhängt. Wird FLCSS.EXE unter DOS geöffnet, gibt sie die Meldung "-Fun Loving Criminal-" aus und führt einen Reset des PC durch, sodass Windows gestartet wird.

W32/FunLOve.4099 ist ein parasitärer Win32PE-Datei-Infizierer, der sich über Attachments an E-Mails und Disketten verbreitet. Hat die Infektion stattgefunden, kann er sich quer durch jedes Netzwerk verbreiten, mit dem der befallene Rechner verbunden ist. Der Virus infiziert dann direkt alle EXE-, SCR- und OCX-Dateien in den Ordnern "Programme" und "WINDOWS /WINNT", einschließlich aller Unterordner. Der Virus nimmt die Rechte des Anwenders an und führt sich automatisch jedes Mal aus, wenn der Rechner oder der Server neu gestartet wird.

Eine umfassende Beschreibung des Virus und die aktuellen Schutzmöglichkeiten finden sich auf der Website von Network Associates (NAI) unter:

http://vil.nai.com/vil/vpe10419.asp

Kurzprofil Network Associates (NAI)
Network Associates Inc. (NAI) ist eines der zehn größten Softwareunternehmen weltweit und führender Anbieter von unternehmensweiten Lösungen im Bereich Netzwerk-Sicherheit und -Management. Das Unternehmen mit dem Hauptsitz Santa Clara, Kalifornien, USA, wird an der Nasdaq unter dem Kürzel NETA geführt; in Deutschland hat NAI seinen Sitz in Unterschleißheim bei München. NAI hat heute weltweit über 2.500 Mitarbeiter und hat 1998 insgesamt 972 Millionen US-Dollar umgesetzt.

Entstanden ist das Unternehmen aus der Fusion von Network General und McAfee Associates im Oktober 1997. Seitdem wurden insgesamt sechs Unternehmen akquiriert (u.a. Dr Solomon's, CyberMedia, PGP Pretty Good Privacy, Secure Networks, TIS Trusted Information Systems, Magic Solutions), deren Produkte und Entwicklungskompetenzen die Position von NAI im Markt weiter gestärkt haben.

McAfee ist die Software Division von Network Associates für Einzelplatzprodukte. Alle McAfee-Produkte werden im Hinblick darauf entwickelt, Anwendern im neuen Jahrtausend mehr Sicherheit, Schutz und Leistung für ihre PCs zu bringen. Die weltweit anerkannten und vielfach preisgekrönten McAfee-Technologien decken die Bereiche Virenschutz, Verschlüsselung und Systemoptimierung ab.

ots Originaltext: Network Associates GmbH (NAI)
Im Internet recherchierbar: http://www.newsaktuell.de

Postanschrift:
Network Associates GmbH (NAI)
Ohmstraße 1
85716 Unterschleißheim
Webadressen: www.nai.com
www.nai.com/international/germany
www.mcafee.com
www.mcafee.de

Pressekontakt:
Network Associates GmbH Trimedia Reporter

Communications GmbH
Betina Weckerle Rainer Bartel
PR Managerin Etat-Direktor
Tel.: 089/3707-1103 Tel.: 0211/96485-19
Fax: 089/3707-1199 Fax: 0211/96485-45
E-Mail: Betina_Weckerle@nai.com E-Mail: rainerbartel@dus.trimedia.de

Network Associates GmbH Trimedia Reporter

Communications GmbH
Alexander Wegner Christiane Schorn
Marketing Manager McAfee Beraterin
Tel.: 089/3707-1522 Tel.: 0211/96485-29
Fax: 089/3707-1199 Fax: 0211/96485-45
E-Mail: Alexander Wegner@nai.com

E-Mail: christianeschorn@dus.trimedia.de

*** OTS-ORIGINALTEXT UNTER AUSSCHLIESSLICHER INHALTLICHER

VERANTWORTUNG DES AUSSENDERS ***

OTS-ORIGINALTEXT PRESSEAUSSENDUNG UNTER AUSSCHLIESSLICHER INHALTLICHER VERANTWORTUNG DES AUSSENDERS | EUN/OTS