Intelligenter Windows NT Virus entdeckt

Artikel veröffentlicht am ,

Unter dem Namen Remote Explorer ist nun ein auf Windows NT spezialisierter Virus bekannt geworden, den die Antiviren-Experten von Network Associates am 17. Dezember entdeckt haben wollen.

Das Virus wird laut Network Associates beim Systemstart mitgeladen, nistet sich im Speicher ein und verschlüsselt EXE, TXT und HTML-Dateien. Die Verbreitung erfolgt über eine infizierte Datei, das Virus installiert sich ins NT Treiber Verzeichnis und richtet sich und eine DLL als Service mit dem Namen "Remote Explorer" ein.

Nach dem "Stehlen" der Zugriffsrechte des Administrators kann sich der Remote Explorer dann unbehelligt in LAN und WAN NT-Netzwerken verbreiten. Linux und Novell Netzwerke bleiben davon jedoch ebenso unbeeindruckt wie Windows 3.1, 95 oder 98 Systeme.

Im Gegensatz zu den sonst recht genügsamen und dadurch unauffälligeren Viren, ist der Remote Explorer satte 125KB groß. Dafür geht er aber auch etwas subtiler vor, er verschiebt und versendet Dateien selbstständig, ohne erst auf Benutzeraktionen zu warten. Per Zufall werden Dateien infiziert und nicht infizierbare Dateien, also z.B. HTML-Seiten und Texte, verschlüsselt und somit untauglich gemacht. Besonders betroffen sind infizierte Systeme jeweils von Freitag ab 15 Uhr bis Samstag um 6 Uhr morgens, da das Virus so programmiert wurde, daß es zu diesem Zeitpunkt intensiver aktiv ist.

Laut Network Associates gibt es derzeit noch keine Möglichkeit den Virus aus einem laufenden NT-System zu entfernen, da dieser sich immer wieder neu installiert. Abhilfe schafft derzeit nur ein Kommandozeilen Virenscanner an. Eine Entfernung des Virus aus einem laufendem System sowie die Entschlüsselung und Wiederherstellung von betroffenen Dateien ist derzeit in Arbeit und soll noch vor Weihnachten fertig sein.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Verkaufsverbot
Huawei will 50-Cent-Lizenzgebühr pro AVM-Fritzbox

Huawei hat gerichtlich ein gültiges Verkaufsverbot von Fritzboxen mit Wi-Fi 6 und Wi-Fi 7 durchgesetzt. Es geht um Huaweis Patente für den Standard.

Verkaufsverbot: Huawei will 50-Cent-Lizenzgebühr pro AVM-Fritzbox
Artikel
  1. Elektro-SUV: Porsche macht den Macan deutlich aerodynamischer
    Elektro-SUV
    Porsche macht den Macan deutlich aerodynamischer

    Der vollelektrische Porsche Macan soll "in Kürze" in die Produktion gehen. Dazu hat der Sportwagenhersteller neue Details zu dem SUV genannt.

  2. The Lost Crown im Test: Prince of Persia als super spaßiger Sidescroller
    The Lost Crown im Test
    Prince of Persia als super spaßiger Sidescroller

    Kein Prinz als Held, aber sonst königlich: Prince of Persia - The Lost Crown entpuppt sich im Test als rundherum gut gemachtes Abenteuer.
    Von Peter Steinlechner

  3. Future Racing Cable: Modulares USB-Kabel lädt 240 Watt und überträgt 40 GBit/s
    Future Racing Cable
    Modulares USB-Kabel lädt 240 Watt und überträgt 40 GBit/s

    Auf Indiegogo verspricht der Hersteller, dass kein anderes USB-Kabel mehr gebraucht wird. Schließlich sei das Future Racing Cable vielseitig.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • PS5 + Spider-Man 2 569€ • AMD Ryzen 9 5950X 379€ • Switch-Controller 17,84€ • AOC 27" QHD 165Hz 229€ • MindStar: Gigabyte RTX 4070 Ti 819€ • Google -47% • Steelseries -64% • Corsair -39% • Bose -36% • 3 Spiele für 49€ • Gigabyte 27" QHD 240 Hz 399€ • EA-Spiele -66% [Werbung]
    •  /