Extra-Blatt

I-Worm.BubbleBoy (VBS/BubbleBoy)

Eine neue Art E-Mail-Wurm und viel Hype um warme Luft

Teil 2: Die technischen Details

Was ist neu an VBS/BubbleBoy?
Erstmals kann ein Virus aktiv werden, ohne dass der Empfänger der E-Mail ein Attachment öffnen, d.h. ausführen muss. Mehr noch: Bereits die Vorschau von Outlook Express auf eine noch nicht vom Empfänger geöffnete Mail kann das Virus aktivieren.

Wer ist betroffen?

Betroffen sind Anwender von englischen und spanischen Versionen von Windows 98 und Windows 2000, die Outlook oder Outlook Express sowie den Internet Explorer 5.0 (IE 5) sowie den Windows Scripting Host (WSH) installiert haben. Anwender von Windows NT sind nicht betroffen, auch wenn der Windows Scripting Host nachträglich installiert wurde. Das liegt daran, das dieser Wurm davon ausgeht, dass das Windows-Verzeichnis C:\WINDOWS ist, NT wird auf Systemen mit nur einer Festplattenpartition standardmäßig in C:\WINNT installiert. Anwender von Windows 95, die den WSH nachträglich installiert haben (er gehört nicht zum Lieferumfang von Windows 95), können gefährdet sein, wenn sie den Internet Explorer 5 einsetzen sowie eines der genannten E-Mail-Programme.
Möglicherweise sind auch Anwender von Lotus Notes und MS Exchange gefährdet.

VBS/BubbleBoy besteht aus einer HTML-Mail, in die der Viruscode als Visual Basic Script (VBS) eingebettet ist. Durch eine Sicherheitslücke im Internet Explorer 5, für die es schon seit Ende August Abhilfe in Form eines Updates gibt, kann dieser Code beim Öffnen der Mail in Outlook oder im Falle von Outlook Express sogar schon in der Vorschau (Preview Pane) ohne Sicherheitsabfrage ausgeführt werden. Es wird dabei eine Datei UPDATE.HTA angelegt, die im Autostart-Ordner plaziert wird. Dieser neue Dateityp (HTA: HyperText Application) wurde mit IE 5 eingeführt. Die einzige bislang bekannte Version von BubbleBoy kennt jedoch nur englische und spanische Versionen von Windows und versucht daher, die UPDATE.HTA in den Autostart-Ordnern dieser Versionen anzulegen. Diese heissen:

  C:\WINDOWS\START MENU\PROGRAMS\STARTUP\   bzw.
  C:\WINDOWS\MENU INICIO\PROGRAMAS\INICIO\

Beim nächsten Start von Windows wird dadurch die UPDATE.HTA aufgerufen. Sie öffnet das Windows-Adressbuch und generiert eine Mail an alle, die in diesem Adressbuch stehen. Dies geschieht in ähnlicher Weise wie bei W97M.Melissa und davon inspirierten anderen Würmern.
Die erzeugte Mail trägt den Betreff (Subject, Title) 'BubbleBoy is back!' und die Nachricht lautet:

Diese URL ist ungültig.

Ferner erzeugt BubbleBoy einen Eintrag in der Registry:

  HKEY_LOCAL_MACHINE\Software\OUTLOOK.BubbleBoy
mit dem Wert:
  OUTLOOK.BubbleBoy 1.0 by Zulu

Nach dem Versenden der Mail wird eine Meldung angezeigt:

  System error, delete "UPDATE.HTA" from the
  startup folder to solve this problem.

Dieser wohlmeinende Rat kommt nur leider zu spät...

Das Versenden dieser E-Mails erfolgt nur einmal auf jedem System. Dies wird über den o.g. Registry-Eintrag gesteuert.

Abhilfe

Schalten Sie in Outlook Express den Vorschau-Modus aus, installieren Sie das Update von Microsoft für den Internet Explorer 5. Löschen Sie die Verknüpfung des Dateityps .HTA mit Hilfe des Windows Explorers:
  Ansicht/Optionen/Dateitypen

Verwenden Sie eine aktuelle Version eines Antivirusprogramms. Stellen Sie darin die zu prüfenden Dateitypen auf 'alle Dateien' statt 'nur Programme' (sinngemäß) oder erweitern Sie zumindest die Dateitypen bei 'nur Programme' um '.HT?' bzw. 'HT*'.

Es sei nochmals betont, dass VBS/BubbleBoy noch nicht in freier Wildbahn gesichtet wurde. Es besteht also z.Z. keine reale Bedrohung.
Es ist aber zu erwarten, dass in absehbarer Zeit Varianten auftauchen bzw. andere Viren/Würmer, die sich dieser Technik bedienen werden. Es liegt an Ihnen, dann vorbereitet zu sein.

Updates für Ihre Antivirus-Software dürften inzwischen verfügbar sein.

• AVP Virus Encyclopedia (engl.)
• Network Associates (engl.)
• Symantec (engl.)
• Microsoft über BubbleBoy (engl.)
• Microsoft Security Bulletin (engl.)