Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit warnt vor Tanatos.b (alias Bugbear.b), einer neuen Variante von Tanatos. Diese Malware hat mehrere gefährliche Funktionen. So kann sie z.B. die ausführbaren Dateien vieler Programme auf der Festplatte infizieren sowie vertrauliche Daten, die auf infizierten Computern abgespeichert sind, verbreiten. Es sind bereits zahlreiche Meldungen von Infizierungen eingegangen.

Tanatos.b verbreitet sich als angehängte Datei von infizierten eMails. Solche eMails können unterschiedliche Betreffzeilen, Mail-Bodies und Namen der angehängten Dateien haben.Der Schädling wird bei einem Start der Wirtsdatei im Attachment aktiviert, infiziert dann den Computer und startet seine Verbreitungsroutine. Zum Starten der Wirtsdatei werden mehrere Möglichkeiten benutzt: Automatisch, über die Schwachstelle IFRAME im Sicherheitssystem des Internet Explorers, durch den User oder über lokale Netzwerke.

Bei der Installation kopiert sich der Wurm unter einem zufällig gewählten Namen in das Autostart-Verzeichnis, erstellt seine Dateien im Systemregister von Windows und kopiert sich in das Windows-Systemverzeichnis sowie in die Verzeichnisse von temporären Dateien.

Danach beginnt der Wurm seine Verbreitungsprozedur über eine eigene SMTP-Engine. Zum Verschicken über eMails sucht Tanatos.b in allen zugänglichen Laufwerken nach neuen Adressen in Dateien mit folgenden Erweiterungen: *.ODS, INBOX.*, *.MMF, *.NCH, *.MBX, *.EML, *.TBB, *.DBX.

Diese Wurm-Version verfügt über einige gefährliche Funktionen: So infiziert Tanatos.b die ausführbaren Windows-Dateien, sowie Dateien, die von Outlook Express, Internet Explorer, WinZip, dem P2P-Netzwerk KaZaA, ICQ und MSN-Messenger sowie von den Data-Transfer-Protocols FTP und CuteFTP u.a. ausführbar sind.

Außerdem ist in dieser Wurm-Version die Möglichkeit eines Backdoor-Programms angelegt, über welches der Viren-Autor Kontrolle über den infizierten Computer erhält. Um die Backdoor-Funktion umzusetzen, öffnet der Wurm auf dem infizierten Computer den Port 1080. Über diesen Port können folgende Handlungen durchgeführt werden:

• Informationen über den Inhalt der Laufwerke weiterleiten
• Dateien kopieren, starten und löschen
• Mitteilen, welche Anwendungen aktiv sind und diese schließen
• Dateien von entfernten Computern herunterladen und dem Viren-Autoren Informationen über Tastatureingaben vermitteln
• Einen HTTP-Server installieren

Die erste Version des I-Wurms Tanatos wurde im September 2002 entdeckt. Tanatos infizierte damals zahlreiche Computer rund um die Welt. Der Wurm verband seine Funktionen als I-Wurm mit einem Trojaner, was ihn ausgesprochen gefährlich machte und vertrauliche Daten in die falschen Hände geraten ließ.

Die neue Version des Schädlings ist eine ausführbare Windows-Datei mit einer Länge von 72 Kb (gepackt mit dem UPX-Utility) und in der Programmiersprache Microsoft Visual C++ geschrieben.

Detailliertere Informationen über die Tanatos.b finden Sie in der Kaspersky Virus Encyclopedia.

Schutzverfahren gegen diese Malware sind bereits der Antiviren-Datenbank von Kaspersky Anti-Virus hinzugefügt worden.