Kaspersky Labs warnt die User vor dem neuen Internet-Wurm Winevar (alias "Koreanischer Wurm"). Diese Malware wurde letzte Woche entdeckt und rechtzeitig der Kaspersky Antiviren-Datenbank hinzugefügt. Doch erst heute sind tatsächliche Fälle von Infizierungen gemeldet worden: Bis sind bei den Antiviren-Experten von Kaspersky Labs Fälle von Infizierungen durch Winevar aus Südkorea, Russland und den baltischen Staaten eingegangen.

Winevar verbreitet sich über eMails. Infizierte Mails können unterschiedliche Betreffzeilen, Bodies und Namen angehängter Dateien haben. Z.B.:

Wenn der Wurm in der Mail-Box eines potentiellen Opfers eintrifft, versucht er unbemerkt auf den Computer vorzudringen. Er benutzt dabei folgende Schwachstellen im Sicherheitssystem des Internet Explorers:

• Microsoft VM ActiveX-Komponente
• IFRAME Vulnerability

Wenn der Wurm ins System eingedrungen ist, modifiziert er zur Aktivierung bei einem Neustart des Systems die Boot-Dateien von Windows und initiiert die Verbreitungsprozedur. Dafür scannt er auf dem Computer alle Dateien der Formate HTM und DBX durch und entnimmt ihnen eMail-Adressen. An diese Adressen schickt Winevar dann Kopien von sich, wobei er dafür einen Direktanschluss zum SMTP-Mail-Server benutzt.

Winevar verfügt über eine Reihe ausgesprochen gefährlicher Payloads, die für den Besitzer des PCs zu einem unwiederbringlichen Verlust der Daten führen können.
Erstens entfernt der Wurm im Speicher und auf den Laufwerken Antiviren-Programme, Debugger und Firewalls. In einigen Fällen entfernt Winevar außerdem alle übrigen Dateien auf dem Computer. Zweitens infiziert der Wurm den Computer mit dem Virus Win32.Funlove. Drittens führt Winevar eine DoS-Attacke auf die Homepage der Firma Symantec aus, indem er ein ständiges Verschicken von Meldungen an diese startet.

Wegen der raschen Verbreitung des Wurms in immer mehr Ländern, empfiehlt Kaspersky Labs den Usern:

• Installieren Sie unverzüglich die letzten Updates für Ihr Antiviren-Programm.
• Lassen Sie im Umgang mit eingehenden eMails größte Vorsicht walten.
• Installieren Sie die Patches für die oben genannten Schwachstellen im Sicherheitssystem des Internet Explorers.

• Beschreibung von Winevar: Kaspersky Virus Encyclopedia
• Schwachstelle Microsoft VM ActiveX Component: Informationen; Patch; Schwachstelle IFRAME Vulnerability: Informationen; Patch.
  27.11.2002