Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SouveränitätSecurityKIEnergie

Mail-Wurm löscht Daten auf lokaler Festplatte

Wurm nutzt zwei Sicherheitslücken in Microsoft-Produkten. Anbieter von Antiviren-Software warnen vor dem neu entdeckten Mail-Wurm Winevar, der den eher harmlosen Virus Funlove in das befallene System einschleust, aber dennoch gehörigen Datenverlust beschert. Der Wurm deaktiviert zahlreiche Virenscanner und auch Firewall-Software auf dem System, um ungestört seiner Arbeit nachgehen zu können.
/ Ingo Pakalski
Kommentare News folgen (öffnet im neuen Fenster)

Für eine effektive Verbreitung durchsucht der Wurm Winevar alle Dateien auf der lokalen Festplatte mit den Endungen .html und .dbx nach gültigen E-Mail-Adressen und versendet sich selbstständig an alle gefundenen Adressaten über eine eigene SMTP-Engine. Erstaunlicherweise ignoriert der Wurm alle E-Mail-Adressen, die ein "@microsoft.com" enthalten, um eine Verbreitung über die Microsoft-Mail-Server zu verhindern. Der betreffende Wurm-Code verbirgt sich im Mail-Anhang, der zwei Dateien enthält, die mit den Buchstaben "WIN" beginnen und die tatsächlichen Dateiendungen (.htm, .ceo) durch Doppelung verschleiern.

Sobald der Wurm aktiv ist, trägt er sich so in die Registry ein, dass dieser bei jedem Rechnerstart automatisch geladen wird und beendet die Tasks von zahlreichen Virenscannern sowie Software-Firewalls. Dann durchforstet der Wurm alle Laufwerke nach den Begriffen antivirus, cillin, nlab sowie vacc und versucht, alle Dateien in den gefundenen Verzeichnissen zu löschen. Durch einen Programmfehler werden stattdessen aber alle Dateien auf der betreffenden Partition gelöscht. Außerdem ruft der Wurm bei bestehender Internet-Verbindung die Website www.symantec.com auf, um eine Denial-of-Service-Attacke auszuführen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
AI Software Engineer (f/m/d) with Focus on Administrative AI Technologies Universität Potsdam, Potsdam,Homeoffice (öffnet im neuen Fenster)
KI-Architekt/in für die Digitalisierung der niedersächsischen Justiz (w/m/d) Zentraler IT-Betrieb Niedersächsische Justiz, Hannover (öffnet im neuen Fenster)
IT-Support/Servicedesk (w/m/d) Kassenzahnärztliche Vereinigung Niedersachsen, Hannover (öffnet im neuen Fenster)
Administrator/in für den Betrieb von KI-Anwendungen in der Justiz (w/m/d) Zentraler IT-Betrieb Niedersächsische Justiz, Hannover (öffnet im neuen Fenster)
W2-Professur (m/w/d) Qualitätssicherung KI-gestützt (Schwerpunkt: Pharma) Hochschule Albstadt-Sigmaringen, Sigmaringen (öffnet im neuen Fenster)
Referent Informationssicherheit und Datenschutz (m/w/d) Kreissparkasse Ostalb, Aalen (öffnet im neuen Fenster)
IT-Softwareentwickler (m/w/d) Franz Ziel GmbH, Billerbeck (öffnet im neuen Fenster)
Partnermanager (m/w/d) Schwerpunkt Public Sector TRIOLOGY GmbH, Braunschweig (öffnet im neuen Fenster)

Auch beim Einsatz der Sicherheitslücken macht der Wurm einen Fehler, so dass nur das harmlosere Leck Verwendung findet. Durch ein über zwei Jahre altes Sicherheitsleck(öffnet im neuen Fenster) in der Java-Engine von Microsoft wird die Dateiendung .ceo als ausführbares Programm registriert, um einen der beiden Mail-Anhänge auszuführen. Wie schon zahlreiche Wurm-Varianten versucht auch der Winevar-Wurm, sich die Sicherheitslücke im Internet Explorer 5.0 und 5.5 zu Nutze zu machen, die Mail-Anhänge schon bei der Vorschau automatisch ausführt. Aber ein Programmfehler soll dafür sorgen, dass der Wurm hier versagt. Nichtsdestotrotz sollte man den Patch(öffnet im neuen Fenster) für den Internet Explorer 5.01 oder 5.5 installieren, falls noch nicht geschehen.

Die meisten Anbieter von Antiviren-Scannern bieten bereits aktualisiert Virensignaturen an, um den jüngst entdeckten Schädling bekämpfen zu können.

Zur Startseite Kommentare

Relevante Themen

SoftwareToolsSecuritySicherheitslückeDatensicherheitVirusAnti-Virus