[reiner]

http://www.it-news.de/0405/31490.html
Golem.de - 28.05.2004 / 11:10

Wenig überraschend wurde bereits ein erster Virus entdeckt, der nur auf 64-Bit-Windows-Systemen lauffähig ist. Der von Antiviren-Herstellern gefundene Schädling Rugrat hat sich bislang kaum verbreitet und gilt vielmehr als Machbarkeitsbeispiel und zeigt, dass man auch auf diesen Systemen nicht vor derartigen Attacken sicher ist.

Der in IA64-Assembler-Code geschriebene Virus infiziert 64-Bit-Applikationen, indem er sich an entsprechende ausführbare Dateien der Art Portable Executable (PE) anhängt. Wird eine mit Rugrat infizierte Datei ausgeführt, infiziert der Unhold alle Dateien in dem entsprechenden Ordner samt der darin enthaltenen Unterverzeichnisse.

Der Wurm befällt die für 64-Bit-Intel-Prozessoren optimierte Version von Windows XP Itanium, welche vorerst nur an OEM-Kunden geliefert wurde, sowie Windows 2003 Server Datacenter und Enterprise für Itanium-Systeme. Auf anderen Windows-Systemen ist der Wurm nicht lauffähig. Die Anbieter von Antiviren-Lösungen haben ihre Signaturdateien bereits aktualisiert oder planen dies.
**********************
http://www.heise.de/...r/meldung/47760
Heise.de - 28.05.2004 / 10:15

Die Hersteller von Antivirensoftware haben den ersten Virus entdeckt, der sich nur auf 64-Bit-Plattformen verbreiten kann : W64/Rugrat.
Rugrat infiziert nur sogenannte 64-Bit Portable Executables (PE), also .EXE-Dateien und andere ausführbare Dateien. Wie bei Viren üblich, hängt sich der Schädling, in dessen Code der Text "Shrug - roy g biv" enthalten ist, ans Ende einer Datei. Rugrat befällt nur Dateien im gleichen und darunter liegenden Verzeichnis. NAI will Parallelen zu der W32/Chiton-Virus-Familie entdeckt haben, http://securityresponse.symantec.com/avcen...chiton.gen.html
deren Mitglieder seinerzeit als erste besondere Techniken zum Ausführen von Code einsetzten, wie Thread-Local-Storage-Strukturen.
http://msdn.microsoft.com/library/default....cal_storage.asp

Zwar hat der Virus eher noch Proof-of-Concept-Charakter, trotzdem haben die Hersteller neue Signaturen für die Scanner geplant. Der Schädling ist in Assembler für Intels IA64 geschrieben und wäre damit auf der Windows-XP-Itanium-Version läuffähig,
http://www.microsoft.com/windowsxp/64bit/t...iew/default.asp
die derzeit allerdings nur an OEM-Kunden ausgeliefert wird und fast nur auf HP-Workstations zum Einsatz kommt. Auch Windows 2003 Server Datacenter und Enterprise
http://www.microsoft.com/windowsserver2003...reeditions.mspx
laufen unter dem Itanium und sind damit potenziell gefährdet.
Obwohl Windows 98, NT, 2000 und 32-Bit-XP nicht direkt bedroht sind, weisen die Virenforscher darauf hin, dass Rugrat auch in 64-Bit-Emulationssoftware lauffähig sei.

Siehe dazu auch:
==============
Virenbeschreibung von Symantec
http://securityresponse.symantec.com/avcen...ugrat.3344.html
Virenbeschreibung von NAI
http://vil.nai.com/v...nt/v_125990.htm

[Stulle]

Kam heute schon die News: Erster 64-Bit Windows Virus unterwegs

[EDragon]

Zitat (Stulle: 28.05.2004, 13:42)

Kam heute schon die News: Erster 64-Bit Windows Virus unterwegs

Dann ist das hier doch richtig (Bezug/Ergänzung zur aktuellen WF News)

[Stulle]

Stimmt.

Hier halt sehr viel ausführlicher.

........und deshalb eine ideale Ergänzung.

Dieser Beitrag wurde von Stulle bearbeitet: 28. Mai 2004 - 13:01