Mail-Wurm löscht Daten auf lokaler Festplatte

Wurm nutzt zwei Sicherheitslücken in Microsoft-Produkten

Anbieter von Antiviren-Software warnen vor dem neu entdeckten Mail-Wurm Winevar, der den eher harmlosen Virus Funlove in das befallene System einschleust, aber dennoch gehörigen Datenverlust beschert. Der Wurm deaktiviert zahlreiche Virenscanner und auch Firewall-Software auf dem System, um ungestört seiner Arbeit nachgehen zu können.

Artikel veröffentlicht am ,

Für eine effektive Verbreitung durchsucht der Wurm Winevar alle Dateien auf der lokalen Festplatte mit den Endungen .html und .dbx nach gültigen E-Mail-Adressen und versendet sich selbstständig an alle gefundenen Adressaten über eine eigene SMTP-Engine. Erstaunlicherweise ignoriert der Wurm alle E-Mail-Adressen, die ein "@microsoft.com" enthalten, um eine Verbreitung über die Microsoft-Mail-Server zu verhindern. Der betreffende Wurm-Code verbirgt sich im Mail-Anhang, der zwei Dateien enthält, die mit den Buchstaben "WIN" beginnen und die tatsächlichen Dateiendungen (.htm, .ceo) durch Doppelung verschleiern.

Stellenmarkt
  1. SAP Job - SAP BW / 4HANA Berater (m/w/x)
    über duerenhoff GmbH, München
  2. SAP Basis Administrator (m/w/x)
    über duerenhoff GmbH, Raum Karlsruhe, Remote
Detailsuche

Sobald der Wurm aktiv ist, trägt er sich so in die Registry ein, dass dieser bei jedem Rechnerstart automatisch geladen wird und beendet die Tasks von zahlreichen Virenscannern sowie Software-Firewalls. Dann durchforstet der Wurm alle Laufwerke nach den Begriffen antivirus, cillin, nlab sowie vacc und versucht, alle Dateien in den gefundenen Verzeichnissen zu löschen. Durch einen Programmfehler werden stattdessen aber alle Dateien auf der betreffenden Partition gelöscht. Außerdem ruft der Wurm bei bestehender Internet-Verbindung die Website www.symantec.com auf, um eine Denial-of-Service-Attacke auszuführen.

Auch beim Einsatz der Sicherheitslücken macht der Wurm einen Fehler, so dass nur das harmlosere Leck Verwendung findet. Durch ein über zwei Jahre altes Sicherheitsleck in der Java-Engine von Microsoft wird die Dateiendung .ceo als ausführbares Programm registriert, um einen der beiden Mail-Anhänge auszuführen. Wie schon zahlreiche Wurm-Varianten versucht auch der Winevar-Wurm, sich die Sicherheitslücke im Internet Explorer 5.0 und 5.5 zu Nutze zu machen, die Mail-Anhänge schon bei der Vorschau automatisch ausführt. Aber ein Programmfehler soll dafür sorgen, dass der Wurm hier versagt. Nichtsdestotrotz sollte man den Patch für den Internet Explorer 5.01 oder 5.5 installieren, falls noch nicht geschehen.

Die meisten Anbieter von Antiviren-Scannern bieten bereits aktualisiert Virensignaturen an, um den jüngst entdeckten Schädling bekämpfen zu können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Markus Bröker 20. Aug 2003

In meinem Netzwerk grassierte bis vor 2 Stunden der Sobig-F Virus und hat meine WD-Caviar...

Dirk M. 05. Dez 2002

Ist ja ein echt harter Brocken!

Harald 28. Nov 2002

wieso - kann der wurm lesen ? werd mal in ne Zoohandlung gehen und würmer kaufen.. wenn...

TechnoMagier 27. Nov 2002

...ja und? Linux hat wohl keine Sicherheitlöcher... *gg* ...nur in jeder Distribution...



Aktuell auf der Startseite von Golem.de
Superbase V
Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt

Vor dem Verkaufsstart über die eigene Webseite verkauft Zendure seine Superbase V über Kickstarter - mit teilweise fast 50 Prozent Rabatt.

Superbase V: Zendures Solarstation mit 6.400 Wh kommt mit hohem Rabatt
Artikel
  1. Tesla Optimus: Elon Musk zeigt Roboter-Prototyp
    Tesla Optimus
    Elon Musk zeigt Roboter-Prototyp

    Roboter könnten für Tesla aus Sicht von Elon Musk bedeutender werden als Elektroautos. Der Konzern zeigte seinen ersten Roboter-Prototypen.

  2. Microsofts E-Mail: Modern Auth in Exchange macht Admins Arbeit
    Microsofts E-Mail
    Modern Auth in Exchange macht Admins Arbeit

    Ab dem 1. Oktober 2022 müssen Exchange-Clients zwingend Microsofts moderne Authentifizierung nutzen. Das bedeutet Mehrarbeit.
    Eine Analyse von Oliver Nickel

  3. Google: Nutzer fordern Bluetooth-Freigabe für Stadia-Controller
    Google
    Nutzer fordern Bluetooth-Freigabe für Stadia-Controller

    Mit der Einstellung von Stadia können auch Tausende der speziellen Controller ohne ein Update nicht mehr drahtlos genutzt werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. LC-Power LC-M27-QHD-240-C-K 389€) und Damn-Deals (u. a. Kingston A400 240/480 GB 17,50€/32€, NZXT Kraken X73 139€) • Alternate: Weekend Sale • Razer Strider XXL 33,90€ • JBL Live Pro+ 49€ • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ • LG OLED65CS9LA 1.699€ [Werbung]
    •  /