Wurm mit Backdoor-Trojaner-Komponente:
"Baba" versendet sich selbst via Outlook!

Der britische Security-Experte Sophos warnt vor einem neuen Massenmailing-Wurm, der einen Backdoor-Trojaner mit sich führt. Die Trojaner-Komponente soll es Dritten ermöglichen, die Kontrolle über infizierte Computer zu übernehmen. "W32/Baba-C" verbreitet sich via E-Mail und verwendet dazu seine eigene SMTP-Engine. Nach der Attacke sucht er in allen auffindbaren Outlook-Adressbüchern nach neuen Adressen, an die er sich anschließend weiter versendet.

Nach der Infektion legt Baba-C einer Trojaner im Ordner C:/ des infizierten Computers ab und fügt einen Registrierungseintrag hinzu. Dieser Eintrag startet die Komponente bei der Computeranmeldung. Weiters erzeugt er die harmlose Textdatei "csrss.bin" im gleichen Ordner. Anschließend versucht der Wurm E-Mail-Adressen in Dateien mit folgenden Erweiterungen aufzuspüren: ASP, CGI, DAT, DBX, DOC, EML, HTM, HTML, MBX, PHP, RTF, TBB, TXT, WAB und INBOX.

Die Betreffzeile der Mails lautet dabei immer: "Important! XXX sites found on your computer! ". Das Attachement beinhaltet den Text: "quick shortcut to evidence cleaner length %d bytes evidence-cleaner-system.com". Wobei %d immer eine Dezimalzahl ist. Laut Sophos ist die Verbreitung des neuen Wurms derzeit noch gering. Trotzdem empfehlen die Virenexperten alle vorhandenen Virensignaturen zu aktualisieren. Auf seiner Homepage bietet Sophos eine aktuelle Virenerkennungsdatei (IDE) zum Downloaden, mit der Sophos Anti-Virus Baba-C erkennen und desinfizieren kann. (pte)

Info-Link:
www.sophos.ch