Proof of Concept für Windows 64 Virus

Der Virus wurde von Symantec in einer Mailing-Liste entdeckt und W64.Shruggle.1318 getauft. Bislang scheint er nur ein Proof-of-Concept (PoC) zu sein, also eine reine Demonstration, was machbar wäre. Selbst wenn sich der Virus über das Internet verbreiten würde, also "in the wild", besteht derzeit keine Gefahr, wie bei der Epidemie mit MS-Blaster oder Sasser. W64.Shruggle befällt keine 32-Bit-Systeme wie Windows 2000 oder XP, sondern nur die 64-Bit-Version für AMD64- und Intel EM64T-CPUs. Windows XP 64-Bit Edition befindet sich zurzeit noch in der frühen Betaphase und ist deswegen kaum verbreitet.

Wird der Virus ausgeführt, sucht er im gleichen Ordner und in Unterordnern nach ausführbaren 64-Bit-Dateien. Findet er diese, heftet er sich mitsamt den nötigen .dll-Dateien daran. Sonst richtet W64.Shruggle.1318 keinen Schaden an. Interessant ist, das der Virus bereits für ein System entwickelt wurde, dass noch nicht einmal offiziell erhältlich ist, so Alfred Huger, Symantecs Senior Director of Security. Der Virus scheint zudem den NX-Schutz gegen Viren zu umgehen, der in 64-Bit-Prozessoren wie dem AMD Opteron verbaut ist.

Das sperren des Stackbereichs gegen eine Ausführung von Code durch das NX-Flag verhindert lediglich Angriffe über Buffer Overflows. Der angepriesene Schutz vor Viren und Würmern erweist sich daher eher als Marketinggag, da sich die Schädlinge auch auf andere Art und Weise ausbreiten können.

Proof-of-Concepts sind oft nur auf das Austesten von Sicherheitslücken ausgelegt. Die Entwickler der Viren scheinen vorauszuplanen und neue Angriffsmöglichkeiten zu evaluieren. In dieses Bild passen auch die zuletzt aufgetauchten PoCs für die Betriebssysteme Symbian OS und Windows CE, die in aktuellen Handys Verwendung finden. (mja)