Kombiwurm öffnet Türen und mailt sich weiter

Eine neue Kombination aus Netzwerk- und Massenmail-Wurm attackiert Rechner überall auf der Welt. ‘Lebreat’ hat laut F-Secure eine Hintertür für Hacker, einen Trojaner sowie die Möglichkeit für eine DoS-Attacke auf die Webseite des Sicherheitsherstellers Symantec im Gepäck.

Die Betreffzeile hat klassische Inhalte wie ‘Hello’ oder ‘Mail Delivery System’ und der Text spricht den Adressaten beispielsweise auf seine Bankverbindung an oder freundschaftlich mit “Hallo, ich war in Eile und habe vergessen, ein wichtiges Dokument anzuhängen. Hier kommt es im Anhang”.

Die bei anderen Security-Experten auch ‘Breatle’ oder ‘Reatle’ genannte Malware wurde erstmals am 15. Juli entdeckt und nutzt einen Windows-Fehler im ‘Local Security Authority Subsystem Service’ kurz LSASS, aus. Der Sasser-Wurm habe diese Lücke auch ausgenutzt, heißt es. Wird die Mail ausgeführt, kopiert sich Lebreat in das Windows System-Verzeichnis CCAPP.EXE und macht darin zusätzlich eine Kopie von sich selbst mit dem Namen ATTACH.TMP – mit jeweils versteckten Attributen.

Bevor sich der Wurm weiterverschickt durchsucht er den Rechner nach Adressaten, auch in Text- oder html-Dateien. Er verschickt sich interessanterweise nicht an Adressen mit den Endungen von Sicherheitsfirmen wie F-Secure, McAfee, Norton, Panda, Sophos, Symantec oder Trendmicro. Presseberichten zufolge hat MessageLabs bis Freitag Vormittag bereits 5636 Lebreat-Mails gestoppt.