[starbucks]

Antiviren-Hersteller warnen vor W32/Klez.H@MM -- der ist aber nichts weiter als eine neue Variante des bereits im Januar entdeckten Klez-Schädlings.

Klez.H verbreitet sich, wie seine Vorgänger, über das Windows-Adressbuch und Outlook-Mailclients. Dabei nutzt der Schädling eine längst bekannte Sicherheitslücke im Internet Explorer; auf ungepatchten Systemen wird der Wurm schon in der HTML-Vorschau von Outlook ausgeführt. Infizierte E-Mails kommen mit wechselndem Betreff und Mail-Text ins Haus, auch der Name des Attachments (meist .pif oder .bat) ist unterschiedlich.

Besonderen Wirbel macht die Schadfunktion von Klez: Der Wurm versucht gezielt, Antivirus-Software auszuhebeln. So löscht Klez Virensignaturen und sogar Programmdateien solcher Software. In einem kurzen Test mit einem (nicht aktualisierten) AntiVir bewies der Schädling, dass seine Schadroutine auch funktioniert: Sobald Klez aktiv ist, scheitert der Programmstart von AntiVir (die Programmdatei wurde gelöscht). Dies funktioniert aber natürlich nur, wenn der Virenscanner den Schädling nicht erkennt: Ansonsten würde er ja gar nicht erst zur Ausführung kommen. Und wird der Schädling nicht erkannt, ist das Löschen der Antivirus-Software für W32/Klez.H@MM eher sinnfrei -- zweifellos ist es aber ein zusätzliches Ärgernis für den Anwender.

Dass die neue Variante im Grunde aber nichts Neues ist, zeigte beispielsweise der McAfee-Scanner: Da für den Klez-Schädling bereits im Januar ein generischer Treiber in die Virensignaturen aufgenommen wurde, waren McAfee-Nutzer auch ohne Update vor der neuen Variante geschützt. (pab/c't)

starbucks

[Chopper]

Moin!

Zitat:

Zitat von starbucks

Der Wurm versucht gezielt, Antivirus-Software auszuhebeln. So löscht Klez Virensignaturen und sogar Programmdateien solcher Software. In einem kurzen Test mit einem (nicht aktualisierten) AntiVir bewies der Schädling, dass seine Schadroutine auch funktioniert: Sobald Klez aktiv ist, scheitert der Programmstart von AntiVir (die Programmdatei wurde gelöscht). Dies funktioniert aber natürlich nur, wenn der Virenscanner den Schädling nicht erkennt: Ansonsten würde er ja gar nicht erst zur Ausführung kommen. Und wird der Schädling nicht erkannt, ist das Löschen der Antivirus-Software für W32/Klez.H@MM eher sinnfrei -- zweifellos ist es aber ein zusätzliches Ärgernis für den Anwender.

"Sinn" macht das Aushebeln von Antivirensoftware bis zu einem gewissen Grad (zumindest aus der Sicht des "Verteilers") eben doch, nämlich dann, wenn auf dem befallenen Rechner noch keine Antivirensoftware installiert ist.

Das habe ich erst diese Woche erlebt.

Es war nicht möglich, auf dem befallenen Rechner unter Windows eine Antivirensoftware fehlerfrei zu installieren.

Habe dann aber doch eine Möglichkeit gefunden, diesen Effekt zu umgehen.

Die Antivirensoftware ließ sich nämlich im abgesicherten Modus von Windows installieren, da der Virus in diesem Modus nicht aktiv ist, bzw. sein volles Potential entfalten kann.

Also ließ ich mir die befallenen Dateien (15 Stück an der Zahl) anzeigen, löschen ließen sie sich aber per Antivirensoftware auch im abgesicherten Modus nicht.

Deshalb mußte ich die verseuchten Dateien letztendlich über die DOS - Ebene entsorgen.

Danach lief der Rechner wieder absolut reibungslos.

[starbucks]

klingt so als hättest du schon kontakt mit dem virus gehabt?

das aushebeln von anti-viren software macht immer sinn, das ist schon klar.

kurze geschichte am rande: rexe's rechner wurde in letzter zeit immer instabiler, dann ging garnichts mehr, deshalb ist sie auch zur zeit nie hier auf dem board.
nachdem sie am letzten wochenende mal ihre platte mitgebracht hat (um die noch benötigten daten runterzuziehen) und ich die dann in meinen rechner eingebaut hatte, fing mit einem mal mein virenscanner an zu brüllen!!!!!!!!
Ergebnis: ein virus (worm/HappyTime) hatte sich in sämtlichen .htm und .html dateien eingenistet, insgesamt 2458 auf der ganzen platte. jetzt hat sie versprochen immer einen virenscanner zu benutzen.

starbucks