Vorsicht: Wurm löscht Daten
Sicherheitsexperten warnen vor einem neuen Mail-Wurm: "Winevar" schleust den als eher harmlos eingestuften Virus "Funlove" in das befallene System ein. Durch eine spezielle Programmierung droht aber dennoch ein massiver Datenverlust.
Verbreitung vorprogrammiert
Um eine möglichst große Verbreitung sicher zu stellen, durchsucht der Wurm die lokalen Festplatten nach eMail-Adressen und versendet sich selbstständig an alle gefundenen Adressaten. Erstaunlicherweise ignoriert der Wurm alle eMail-Adressen, die ein "@microsoft.com" enthalten, um eine Verbreitung über die Microsoft-Mail-Server zu verhindern. Der betreffende Wurm-Code verbirgt sich im Mail-Anhang, der zwei Dateien enthält, die mit den Buchstaben "WIN" beginnen und die tatsächlichen Dateiendungen (.htm, .ceo) durch Doppelung verschleiern.
Virensoftware im Visier
Sobald der Wurm aktiv ist, trägt er sich so in die Registry ein, dass dieser bei jedem Rechnerstart automatisch geladen wird. Zusätzlich beendet der Schädling die Tasks von zahlreichen Virenscannern und Desktop-Firewalls. Dann durchforstet der Wurm alle Laufwerke nach den Begriffen antivirus, cillin, nlab sowie vacc und versucht, alle Dateien in den gefundenen Verzeichnissen zu löschen. Durch einen Programmfehler werden stattdessen aber alle Dateien auf der betreffenden Partition gelöscht. Außerdem ruft der Wurm bei bestehender Internet-Verbindung die Website "www.symantec.com" auf, um eine Denial-of-Service-Attacke auszuführen.
Trotz Fehler gefährlich
Auch beim Gebrauch der bekannten Sicherheitslücken stellt der Wurm keine hohen Anforderungen, so dass nur das harmlosere Leck sein Interesse findet. Durch ein über zwei Jahre altes Loch in der Java-Engine von Microsoft wird die Dateiendung ".ceo" als ausführbares Programm registriert, um einen der beiden Mail-Anhänge auszuführen. Wie schon zahlreiche Wurm-Varianten zuvor versucht auch "Winevar", Windows-Systeme über Sicherheitslücken im Internet Explorer 5.0 und 5.5 zu infizieren. Aus diesem Grund sollten Internet-Nutzer den Patch für den Internet Explorer 5.01 oder 5.5 installieren, falls noch nicht geschehen.
http://computer.t-online.de/comp/sic...var-virus.html