Intelligenter Windows NT Virus entdeckt
Unter dem Namen Remote Explorer ist nun ein auf Windows NT spezialisierter Virus bekannt geworden, den die Antiviren-Experten von Network Associates am 17. Dezember entdeckt haben wollen.
Das Virus wird laut Network Associates beim Systemstart mitgeladen, nistet sich im Speicher ein und verschlüsselt EXE, TXT und HTML-Dateien. Die Verbreitung erfolgt über eine infizierte Datei, das Virus installiert sich ins NT Treiber Verzeichnis und richtet sich und eine DLL als Service mit dem Namen "Remote Explorer" ein.
Nach dem "Stehlen" der Zugriffsrechte des Administrators kann sich der Remote Explorer dann unbehelligt in LAN und WAN NT-Netzwerken verbreiten. Linux und Novell Netzwerke bleiben davon jedoch ebenso unbeeindruckt wie Windows 3.1, 95 oder 98 Systeme.
Im Gegensatz zu den sonst recht genügsamen und dadurch unauffälligeren Viren, ist der Remote Explorer satte 125KB groß. Dafür geht er aber auch etwas subtiler vor, er verschiebt und versendet Dateien selbstständig, ohne erst auf Benutzeraktionen zu warten. Per Zufall werden Dateien infiziert und nicht infizierbare Dateien, also z.B. HTML-Seiten und Texte, verschlüsselt und somit untauglich gemacht. Besonders betroffen sind infizierte Systeme jeweils von Freitag ab 15 Uhr bis Samstag um 6 Uhr morgens, da das Virus so programmiert wurde, daß es zu diesem Zeitpunkt intensiver aktiv ist.
Laut Network Associates gibt es derzeit noch keine Möglichkeit den Virus aus einem laufenden NT-System zu entfernen, da dieser sich immer wieder neu installiert. Abhilfe schafft derzeit nur ein Kommandozeilen Virenscanner an. Eine Entfernung des Virus aus einem laufendem System sowie die Entschlüsselung und Wiederherstellung von betroffenen Dateien ist derzeit in Arbeit und soll noch vor Weihnachten fertig sein.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed





