Erste 64-bit-Viren entdeckt

Viren

Der kalifornische Security-Spezialist Trend Micro http://www.trendmicro.com hat in seinem Viren-Report für den Monat August die Entdeckung der ersten Viren für 64-bit-Betriebssysteme gemeldet. W64_RUGRAT.A infiziert 64-bit-Dateien auf IA64-Prozessoren (Intel Itanium) sowie PE-Dateien (Portable Executable) auf 64-bit-Systemen von AMD. W64_SHRUGGLE.A greift hingegen gezielt Windows 64-bit-PE-Dateien an.

 Da sich die beiden Malicious-Codes sowohl in ihrem Verhalten als auch in der Informationstechnik ähneln, ist es laut Trend Micro wahrscheinlich, dass beide Viren vom selben Programmierer stammen, der sich „roy g biv“ nennt. Beide Viren infizieren Dateien direkt und verwenden Thread-Local-Storage (TLS) als Auslöser. Nach dem Start suchen sie nach Zieldateien im aktuellen Ordner und den entsprechenden Unterordnern. Jede gefundene 64-bit-PE-Datei wird infiziert. Danach legen die Viren verschiedene Filter-Kriterien an und hängen sich an den letzen Abschnitt der infizierten Datei. Dieser Abschnitt wird zur „Executable“ modifiziert.

Um sich vor Entdeckung zu schützen, fügen die Viren das Wort „Garbage“ am Ende des eigenen Codes ein. 32-bit-Dateien und 32-bit-Prozessoren ohne Software für die Unterstützung von 64-bit-Programmen (AMD) sind laut Sicherheits-Spezialisten nicht von den Malicious-Codes betroffen. Bei den 64-bit-Schädlingen handelt es sich um so genannte Proof-of-Concept-Viren, mit denen die grundsätzliche Verwundbarkeit neuer Plattformen demonstriert werden soll.

Insgesamt gingen Trend Micro im Monat August 3.300 neue Malicious-Codes ins Netz. Zu den drei häufigsten Schädlingen  gehörten Trojaner, Backdoors (53 Prozent) und Würmer (21 Prozent). Neben der Nummer „Eins“, dem Wurm Sasser.b, waren vor allem Veteranen wie Bagle, Mydoom und Netsky in den Viren-Top-Ten für den Monat August vertreten.

Vorheriger Artikel Nächster Artikel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Time limit is exhausted. Please reload CAPTCHA.