Warnung vor Mail-Wurm "Winevar"
Symantec warnt vor dem Mail-Wurm "Winevar", der den Virus "Funlove" in das System einschleust. Der Wurm deaktiviert zahlreiche Virenscanner und die Firewall-Software des befallenen Systems und kann größere Datenmengen zerstören.
Insgesamt ist die Malware durch mehrere Programmfehler aber als "eher harmlos" einzustufen.
Der Wurm versendet sich über eine eigene SMTP-Engine selbstständig an alle in der Mailbox gespeicherten Adressen, wobei er Adressen, die mit "microsoft.com" enden, ignoriert.
Aktualisierte Virensignaturen gegen die Malware werden bereits von mehreren Anbietern zur Verfügung gestellt.
Symantec-WarnungRoutine
Wird der infizierte Mail-Anhang geöffnet, trägt sich "Winevar" so in die Registry ein, dass er bei jedem Neustart von Windows automatisch aktiviert wird. Über das Aufrufen der Symantec-Homepage überprüft die Malware, ob eine Internet-Verbindung vorhanden ist.
Findet er keine aktive Internet-Verbindung, legt er eine Kopie von W32.Funlove.4099 ab. Nach seiner Aktivierung macht sich der Wurm über ein Pop-up-Fenster mit dem Satz "What a foolish thing you have done!" bemerkbar.
Die Laufwerke werden nach den Begriffen "antivirus", "cillin", "nlab" sowie " vacc" durchsucht. Wird der Wurm fündig, versucht er die entsprechenden Verzeichnisse vollständig zu löschen, was ihm allerdings durch einen Programmfehler nicht möglich ist.
Gelöscht werden stattdessen alle Dateien der betreffenden Partition. Der Wurm versucht, eine Sicherheitslücke im IE 5.0 und 5.5 zu nutzen, die Attachments automatisch ausführt. Hier scheitert "Winevar" aber an einem weiteren Programmfehler.