Presse

Lesen Sie unsere neuesten Meldungen

09 Nov 2004

Verbreitung des Bofra-Wurms - Sophos erläutert Infektionsmethoden

Seit Montag, dem 8. November, beobachtet Sophos eine zunehmende Aktivität der BofraWurmfamilie, die für ihre Verbreitung sowohl EMails als auch eine vor kurzem entdeckte MicrosoftSicherheitslücke ausnutzt.

Ein nicht infizierter Computer erhält eine EMail von einem Computer, der bereits mit einem der BofraWürmer infiziert ist.

1. Ein nicht infizierter Computer erhält eine EMail von einem Computer, der bereits mit einem der BofraWürmer infiziert ist. Die EMail kann eine Nachricht, die auf nicht jugendfreie WebcamAufnahmen anspielt, eine Nachricht bezüglich einer PayPalKreditkarte oder andere Inhalte enthalten.

Der Nutzer des nicht infizierten Computers öffnet die EMail und klickt auf den Link, der in der EMail enthalten ist.

2. Der Nutzer des nicht infizierten Computers öffnet die EMail und klickt auf den Link, der in der EMail enthalten ist. Der Webbrowser verbindet sich dadurch mit einem Webserver, der auf dem SenderComputer läuft.

Der Wurm infiziert den Computer mittels der IFRAME Schwachstelle im Microsoft Internet Explorer.

3. Der Webserver auf dem Sendercomputer enthält schädlichen Code, der die Microsoft Internet Explorer IFRAME Schwachstelle ausnutzt, und infiziert den PC, der den Webserver besucht, mit dem BofraWurm. Der Wurm erstellt einen Webserver auf dem neu infizierten Computer, durchsucht den PC nach EMailAdressen und sendet weitere EMails an andere Internetnutzer in der Hoffnung andere zu infiziereren.

Computernutzer, die diese EMails erhalten, klicken auf die Links und gelangen zu dem Webserver auf den neu infizierten Computer.

Sophos schützt vor den BofraWürmern

Sophos hat am 8. Novmer 2004 um 15.24 Uhr GMT einen Schutz vor dem W32/BofraA Wurm bereit gestellt. Kunden, die Enterprise Manager oder die Sophos Small Business Solutions im Einsatz haben, waren automatisch ab dem nächsten zeitgesteuerten Update geschützt. Kunden, die diese Produkte nutzen, waren ab dem 8. November 2004, 8.22 Uhr GMT auch vor den Varianten W32/BofraB und W32/BofraC des Wurms geschützt.

Sophos empfiehlt Unternehmen, ihre EMails mit einer profunden Lösung zu schützen, um die Bedrohung durch Viren und Spam zu reduzieren, und Desktops und Server mit automatisch aktualisiertem Virenschutz zu versehen.

Weitere Informationen über die Schwachstelle finden Sie auf CERT's Website. Diese Schwachstelle scheint nicht auf Computern aufzutreten, auf denen Microsoft Windows XP mit Service Pack 2 installiert ist.

MyDoom oder nicht?

Einige AntivirenHersteller haben Schutz vor den BofraWürmern bereit gestellt, diese aber als Varianten des MyDoomWurms bezeichnet. Experten bei Sophos haben herausgefunden, dass Bofra kein Mitglied der MyDoomWurmfamilie ist.

"Eine detaillierte Analyse der BofraWürmer hat ergeben, dass die Gemeinsamkeiten mit den Würmern aus der MyDoomFamilie von den Unterschieden überwogen werden", sagt Graham Cluley, Senior Technology Consultant bei Sophos. "Ein wesentlicher Unterschied ist, dass sich die BofraWürmer zwischen Nutzern völlig anders verbreiten als die MyDoomWürmer, die sich auf EMailAttachments verlassen haben."

Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern verlassen sich auf Sophos‘ Complete-Security-Lösungen als den besten Schutz vor komplexen IT-Bedrohungen und Datenverlust. Sophos bietet dafür preisgekrönte Verschlüsselungs-, Endpoint-Security-, Web-, Email-, Mobile- und Network Security-Lösungen an, die einfach zu verwalten, zu installieren und einzusetzen sind. Das Angebot wird von einem weltweiten Netzwerk eigener Analysezentren, den SophosLabs, unterstützt.

Sophos hat seinen Hauptsitz in Boston, USA, und Oxford, Großbritannien. In Deutschland hat das Unternehmen seinen Hauptsitz in Wiesbaden und ist in Österreich und der Schweiz je an einem Standort vertreten. Weitere Informationen unter www.sophos.de.