BSI-Forum

Viren-Verbreitung – mit und ohne Mausklick

Von Frank W. Felzmann, BSI

Wieder einmal hat ein Computer-Virus beziehungsweise -Wurm es geschafft, sich massenhaft zu verbreiten: W32.Frethem.K@mm, kurz: FRETHEM. Warum war dies trotz aller Sicherheits-Empfehlungen und -Warnungen möglich?

Mitte Juli 2002 war es wieder so weit: Ein Computer-Wurm hatte es geschafft, sich massenhaft zu verbreiten. Name in Langform: W32.Frethem.K@mm. Dabei bedeutet das "W32", dass Windows-32-Bit-Systeme betroffen waren, "Frethem" ist der Name des Wurms, ".K" die Varianten-Nummer, also die 10. Variante (bei "A" beginnt die Zählung), und "@mm", dass es sich um einen Mass Mailer handelt, also einen Schädling, der massenhaft über E-Mail verbreitet wird.

Die E-Mail

Die Nachricht im HTML-Format hat als Betreff "Re: Your password!", der Text lautet "ATTENTION! You can access very important information by this password DO NOT SAVE password to disk use your mind now press cancel" (siehe Abbildung). Als Anlage sind zwei Dateien beigefügt: "Decrypt-password.exe" und "Password.txt". Die EXE-Datei enthält das Schadprogramm, die TXT-Datei lediglich den Text "Your password is W8dqwq8q918213".

Mail-Text: ATTENTION! You can access very important information by this password - DO NOT SAVE password to disk use your mind - now press cancel

Die englischsprachige E-Mail spiegelt also vor, die Antwort auf eine E-Mail zu sein, die mit dem Betreff "Ihr Passwort" verschickt wurde. Im Text wird darauf hingewiesen, dass man sehr wichtige Informationen durch dieses Passwort erhalten kann und es daher nicht auf der Festplatte abspeichern, sondern sich nur merken soll. Es gibt aber keinerlei Hinweis darauf, für was dieses ominöse Passwort denn nun gut ist und wo man es einsetzen soll. Eigentlich ist daher die E-Mail von ihrem Informationsgehalt gesehen völlig unbrauchbar. Aber dies hielt Tausende von Nutzern nicht davon ab, auf die EXE-Datei zu klicken – mit entsprechenden Folgen.

Verbreitung mit Mausklick

Auch hier hat Frethem sich nichts Neues einfallen lassen, sondern einfach nur das Vorgehen von anderen Mass-Mailern kopiert: Nach dem üblichen Kopieren des Schadprogramms – hier als TASKBAR.EXE – in das Windows-Verzeichnis, werden noch Einträge in der Registry verändert, um dafür zu sorgen, dass das Programm bei jedem Rechnerstart wieder aktiviert wird. Zum gleichen Zweck wird nach einigen Stunden auch eine Kopie unter dem Namen SETUP.EXE in das Windows-Verzeichnis mit dem Start-Menü abgelegt. Betroffen waren übrigens nur Rechner mit den Betriebssystemen Windows 98/ME, Windows NT/2000 und Windows XP, nicht betroffen dagegen Windows 3.x, Windows 95, Macintosh, Unix und Linux.

Anschließend wird das Windows-Adressbuch durchsucht, um entsprechend viele Adressen für eine Weiterversendung einzusammeln. Dies genügt für eine "richtige" Massenversendung jedoch nicht. Daher werden zusätzlich Datenbank- und E-Mail-Dateien mit der Datei-Erweiterung *.DBX, *.WAB, *.MBX, *.EML und *.MDB durchsucht, dort gefundene Adressen extrahiert und ebenfalls für die Weiterversendung aufgenommen. Dies ist eine Variante gegenüber anderen Mass-Mailern, die HTML-Dateien für solche Zwecke ausgewertet hatten (z. B. der Badtrans-Wurm). Abgesehen von der massenhaften Versendung von E-Mails, die zu einer erheblichen Beeinträchtigung des elektronischen Postverkehrs führen kann, ist keine explizite Schadensfunktion (z. B. Löschen von Dateien) vorhanden.

Aktivierung ohne Mausklick

Sehr viele Anwender haben jedoch den Frethem-Wurm schon aktiviert, ohne auf die Datei "Decrypt-password.exe" geklickt zu haben. Sie hatten dabei entweder die Vorschau-Funktion von Outlook eingeschaltet oder einfach nur die E-Mail gelesen. Dass Frethem trotzdem aktiviert wurde, lag am Fehlen eines Sicherheitspatches. Ermöglicht wurde die Verbreitung ohne Mausklick durch die Kombination von HTML-Mail und zwei relativ alte Sicherheitslücken (bekannt seit März 2001) des Internet Explorers in der Version 5.01 und 5.5 ohne Servicepack 2. Dabei treten Fehler auf in der Behandlung von IFRAMES und des MIME-Headers.

Wer das von Microsoft bereitgestellte Sicherheitsupdate aus dem Jahre 2001 nicht installiert hat, kann sich folglich schon dadurch infizieren, dass er sich HTML-E-Mails im Vorschaufenster anzeigen lässt oder aber eine Nachricht liest. Auch in diesem Fall erweist es sich als sicherheitskritisch, dass Outlook beim Lesen von E-Mails im HTML-Format auf den Internet Explorer (IE) zurückgreift. Sicherheitsfehler im IE können sich dann im Outlook-Programm mit durchschlagendem "Erfolg" bemerkbar machen.

Der Anwender kann Outlook zwar so einstellen, dass ausgehende E-Mails nur im TXT-Format (reiner Text, ohne Formatauszeichnungen wie Größe, Farbe etc.) und nicht im sicherheitskritischen HTML-Format erstellt und versendet werden. Äußerst problematisch ist jedoch, dass diese Option bei eingehender E-Mail nicht existiert: HTML-Mail wird entsprechend formatiert über die IE-Schnittstelle angezeigt, ob der Anwender es will oder nicht. Die im Microsoft Security Bulletin MS01-020 (Incorrect MIME Header Can Cause IE to Execute E-Mail Attachment) vom 29. März 2001 beschriebene Schwachstelle wird übrigens nicht nur vom Frethem-Wurm, sondern unter anderem auch von den Massenmail-Würmern Aliz, Badtrans und Klez ausgenutzt.

Generelle Hinweise

Wenn Hersteller von E-Mail-Programmen etwas mehr Augenmerk auf Sicherheit und nicht nur auf Funktionalität richten würden, und wenn Benutzer sich an die nachfolgenden Empfehlungen für den Umgang mit E-Mail-Nachrichten halten würden, hätten Schadprogramme wesentlich größere Probleme bei der Verbreitung. Daher nochmals:

Fazit

Solange Anwender ohne weiteres Nachdenken auf E-Mails klicken, die als Betreff irgendetwas Interessantes versprechen (hier: ein Passwort), und solange Microsoft es zulässt, dass E-Mails im HTML-Format unter Outlook auf den Internet Explorer zur Anzeige der Nachricht zugreifen, wodurch Sicherheitslücken vom Internet Explorer auf Outlook durchschlagen können, solange wird es immer wieder einem Computer-Wurm gelingen, die E-Mail-Postfächer zu verstopfen – und vielleicht auch mal schlimmeren Schaden in den Daten der Anwender anzurichten.

Internet-Links

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/5, Seite 39