Cupertino - Das
Computersicherheits-Unternehmen Symantec http://www.symantec.com warnt
vor dem Mail-Wurm Winevar, der den Virus Funlove in das System
einschleust. Der Wurm deaktiviert zahlreiche Virenscanner und die
Firewall-Software des befallenen Systems und kann größere Datenmengen
zerstören. Insgesamt ist die Malware durch mehrere Programmfehler aber
als eher harmlos einzustufen. Der Wurm versendet sich über eine eigene
SMTP-Engine selbstständig an alle in der Mailbox gespeicherten Adressen,
wobei er Adressen, die mit "microsoft.com" enden, ignoriert.
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.winevar.html
Wird der infizierte Mail-Anhang geöffnet, trägt sich Winevar so in die
Registry ein, dass er bei jedem Neustart von Windows automatisch
aktiviert wird. Über das Aufrufen der Symantec-Homepage überprüft die
Malware, ob eine Internetverbindung vorhanden ist. Findet er keine aktive
Internetverbindung legt er eine Kopie von W32.Funlove.4099 ab. Nach
seiner Aktivierung macht sich der Wurm über ein Pop-Up-Fenster mit dem
Satz "What a foolish thing you have done!" bemerkbar.
Die Laufwerke werden nach den Begriffen "antivirus", "cillin", "nlab"
sowie " vacc" durchsucht. Wird der Wurm fündig, versucht er die
entsprechenden Verzeichnisse vollständig zu löschen, was ihm allerdings
durch einen Programmfehler nicht möglich ist. Gelöscht werden stattdessen
alle Dateien der betreffenden Partition. Der Wurm versucht, eine
Sicherheitslücke im IE 5.0 und 5.5 zu nutzen, die Attachments automatisch
ausführt. Hier scheitert Winevar aber an einem weiteren Programmfehler.
Aktualisierte Virensignaturen gegen die Malware werden bereits von
mehreren Anbietern zur Verfügung gestellt.
