54256

Vorsicht vor dem Panda-Virus

19.01.2007 | 08:45 Uhr |

Der Antivirus-Hersteller McAfee warnt von einem Schädling, der in diversen Varianten seit November 2006 im Umlauf ist. Der Virus infiziert auch HTML-Dateien und schaltet Sicherheitsprogramme aus.

Der Panda gilt allgemein als sympathisches Tier. Wenn jedoch auf Ihrem Rechner Programmdateien mit einem Panda, der Räucherstäbchen in den Pfoten hält, als Symbol auftauchen, sollten Sie ihm die Tür weisen. Der Antivirus-Hersteller McAfee warnt von einem Schädling namens "W32/Fujocks", der seit November 2006 in vielen unterschiedlichen Varianten beobachtet wird.

Im Weblog der McAfee-Virenforscher wird berichtet, die ersten Versionen seien als Wurm verbreitet worden, der sich über nur mit schwachen Passwörtern gesicherte Netzwerkfreigaben weiter ausgebreitet habe. Der Wurm betätigt sich auch als Virus, das heißt er infiziert ausführbare Dateien, in einigen Versionen auch HTML-Dateien. Wird eine solche HTML-Datei im Browser geöffnet, lädt diese eine weitere Variante des Schädlings aus dem Internet herunter.

W32/Fujocks versucht verschiedene Antivirus-Programme abzuschalten, darunter die von McAfee, Symantec und Kaspersky. Auch den Rootkit-Detektor "IceSword" hat er auf der Abschussliste. Er löscht Registry-Einträge und ändert die Einstellungen des Windows Explorers zum Anzeigen versteckter Dateien. Er legt auf allen schreibbaren Laufwerken die Dateien "autorun.inf" und "setup.exe" an und kopiert sich zum Beispiel als "spoclsv.exe" in das Verzeichnis \Windows\System32\drivers. Diese Datei wird in die Registry eingetragen, damit der Schädling bei jedem Windows-Start geladen wird:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"svcshare" = "%SYSTEM%\drivers\spoclsv.exe"

Da W32/Fujacks beliebige EXE-dateien infiziert, sind auch schon Dateien von mehreren Megabyte Größe gesichtet worden, die einen Panda als Symbol tragen. Bei den meisten anderen Antivirus-Herstellern wird diese Malware-Familie ebenfalls unter dem Namen "Fujack" oder Fujacks" geführt, Panda Antivirus nennt ihn jedoch "W32/Radoppan".

0 Kommentare zu diesem Artikel
54256