achtung virus bzw wurm!
Verfasst: Fr 10.05.02 11:57
<center><img src="http://www.peugeotclubschwaben.de/logo2.gif"></center>
achtung bei e-mails die ihr von unbekannten absender empfangt - der "W32.Klez.H@mm"-wurm ist im umlauf
Klez.H verbreitet sich, wie seine Vorgänger, über das Windows-Adressbuch und Outlook-Mailclients. Dabei nutzt der Schädling eine längst bekannte Sicherheitslücke im Internet Explorer; auf ungepatchten Systemen wird der Wurm schon in der HTML-Vorschau von Outlook ausgeführt. Infizierte E-Mails kommen mit wechselndem Betreff und Mail-Text ins Haus, auch der Name des Attachments (meist .pif oder .bat) ist unterschiedlich.
Besonderen Wirbel macht die Schadfunktion von Klez: Der Wurm versucht gezielt, Antivirus-Software auszuhebeln. So löscht Klez Virensignaturen und sogar Programmdateien solcher Software. In einem kurzen Test mit einem (nicht aktualisierten) AntiVir bewies der Schädling, dass seine Schadroutine auch funktioniert: Sobald Klez aktiv ist, scheitert der Programmstart von AntiVir (die Programmdatei wurde gelöscht). Dies funktioniert aber natürlich nur, wenn der Virenscanner den Schädling nicht erkennt: Ansonsten würde er ja gar nicht erst zur Ausführung kommen. Und wird der Schädling nicht erkannt, ist das Löschen der Antivirus-Software für W32/Klez.H@MM eher sinnfrei -- zweifellos ist es aber ein zusätzliches Ärgernis für den Anwender.
Dass die neue Variante im Grunde aber nichts Neues ist, zeigte beispielsweise der McAfee-Scanner: Da für den Klez-Schädling bereits im Januar ein generischer Treiber in die Virensignaturen aufgenommen wurde, waren McAfee-Nutzer auch ohne Update vor der neuen Variante geschützt. (pab/c't)
quelle: heise online
achtung bei e-mails die ihr von unbekannten absender empfangt - der "W32.Klez.H@mm"-wurm ist im umlauf
Klez.H verbreitet sich, wie seine Vorgänger, über das Windows-Adressbuch und Outlook-Mailclients. Dabei nutzt der Schädling eine längst bekannte Sicherheitslücke im Internet Explorer; auf ungepatchten Systemen wird der Wurm schon in der HTML-Vorschau von Outlook ausgeführt. Infizierte E-Mails kommen mit wechselndem Betreff und Mail-Text ins Haus, auch der Name des Attachments (meist .pif oder .bat) ist unterschiedlich.
Besonderen Wirbel macht die Schadfunktion von Klez: Der Wurm versucht gezielt, Antivirus-Software auszuhebeln. So löscht Klez Virensignaturen und sogar Programmdateien solcher Software. In einem kurzen Test mit einem (nicht aktualisierten) AntiVir bewies der Schädling, dass seine Schadroutine auch funktioniert: Sobald Klez aktiv ist, scheitert der Programmstart von AntiVir (die Programmdatei wurde gelöscht). Dies funktioniert aber natürlich nur, wenn der Virenscanner den Schädling nicht erkennt: Ansonsten würde er ja gar nicht erst zur Ausführung kommen. Und wird der Schädling nicht erkannt, ist das Löschen der Antivirus-Software für W32/Klez.H@MM eher sinnfrei -- zweifellos ist es aber ein zusätzliches Ärgernis für den Anwender.
Dass die neue Variante im Grunde aber nichts Neues ist, zeigte beispielsweise der McAfee-Scanner: Da für den Klez-Schädling bereits im Januar ein generischer Treiber in die Virensignaturen aufgenommen wurde, waren McAfee-Nutzer auch ohne Update vor der neuen Variante geschützt. (pab/c't)
quelle: heise online