tomy unregistriert
|
|
Wurm „Winvar“ löscht Partitionen |
|
Der Schädling nutzt zwei alte Sicherheitslücken in Microsoft-Produkten. Wer regelmäßig Patches installiert, ist auf de sicheren Seite.
Der neue Wurm Winevar, vor dem mehrere Sicherheitsunternehmen warnen, trägt den harmlosen Virus „Funlove“ huckepack mit sich, um die Antiviren-Programme zu verunsichern. Funlove löscht zahlreiche Virenscan-Programme und Firewalls, um dann einzelne Dateien zu entfernen.
Der Wurm Winevar durchsucht derweil alle HTML- und PHP-Datenbank-Dateien nach E-Mail-Adressen und versendet sich dann über eine eigene SMTP-Funktion an diese Adressen. Der Wurm ignoriert jedoch alle Adressen, die „@microsoft.com“ enthalten. Die Security-Firmen gehen davon aus, dass der Programmierer des Wurms damit verhindern wollte, den Wurm über Microsoft-Mail-Server zu verbreiten. Das legt nahe, dass er selbst mit einem solchen arbeitet.
Wie fast alle Windows-Würmer trägt sich auch der neue Schädling in die Windows-Registry so ein, dass er bei jedem Windows-Start automatisch ausgeführt wird. Einmal gestartet, deaktiviert er laufende Virenscanner und Firewalls und löscht diese umgehend. Der Programmierer des Digitalfieslings mußte sich aber vertippt haben, denn statt die Dateien der Antivirenprogramme zu löschen, löscht er alle Partitionen, auf denen die Antivirenprogramme liegen – und damit vielleicht sogar sich selbst. Der Wurm ist so programmiert, dass er zudem auf www.symantec.com
zugreift, um eine Denial-of-Service-Attacke auf Symantec auszuführen.
So wie viele andere Würmer und Viren nutzt Winevar mehrere alte Sicherheitslöcher aus: Ein zwei Jahre altes Sicherheitsloch in der Java-Engine führt .ceo-Programme ohne Sicherheitscheck aus. Ein anderes ebenso altes Leck im Internet Explorer erlaubt dem Schädling, alleine durch den Blick auf die Mail-Vorschau zu starten. Für beide Löcher gibt es schon lange Sicherheitspatches von Microsoft. Wer deren Installation versäumt hat, kann mit aktuellen Virensignaturen aller bekannten Antiviren-Unternehmen vorlieb nehmen – auch das ist sicher.
(vnunet)
greets,tomy
|
|
26.11.2002 16:48 |
|
|