E-Mail-Wurm verschafft sich Administrator-Rechte
Zur Verbreitung versendet sich der Potok-Wurm, wie zahlreiche seiner Artgenossen, an die 50 ersten Einträge im Outlook-Adressbuch. Man erkennt den Wurm an der Betreffzeile "New Generation of drivers" und dem Mail-Anhang DRIVER.DOC.VBS. Auf einem infizierten System versucht der Wurm, einen Benutzer mit Administrator-Rechten für den Viren-Autor anzulegen. Dazu wird die Datei ODBC.INI im Windows-Verzeichnis angelegt.
Da der Wurm eine NTFS-spezifische Funktion verwendet, arbeitet seine Schadroutine nur auf Systemen mit Windows NT oder 2000. Er nutzt das File Stream von NTFS, wodurch eine Datei mehrere Streams enthalten kann. Die Wurm-Datei ODBC.INI besteht aus vier Streams, wovon der eine das Versenden der E-Mails übernimmt und die übrigen drei einen neuen Administrator-Zugang anlegen. Da das FAT-Dateisystem von Windows 9x solche Funktionen nicht kennt, kann der Wurm hier keinen Schaden anrichten.
Symantec verspricht, bereits aktualisierte Viren-Signaturen bereit gestellt zu haben, um den Wurm zu entfernen. In Kürze werden wohl auch die übrigen Hersteller von Anti-Viren-Software mit Aktualisierungen nachziehen. Ist der Wurm nach einer Infektion gelöscht, sollte man in der Benutzerverwaltung nachsehen, ob der Wurm dort einen Administrator-Zugang angelegt hat und diesen gegebenenfalls entfernen.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.