Demo-Virus in Windows PowerShell
Ein angeblicher PowerShell-Wurm enthüllt wenig Überraschendes: In der Skriptsprache von Windows-Vista lassen sich Dateien überschreiben.
Die "Ready Rangers Liberation Front" (RRLF) hat es wieder getan und sorgt mit einem angeblichen PowerShell-Virus für Aufsehen. Bereits vor recht genau einem Jahr schafften sie es mit dem angeblich ersten Virus für Vista in die Schlagzeilen. Bei näherem Hinsehen entpuppte sich das Ganze als triviale Shell-Skripte eines Programmieranfängers für die neue Microsoft Command Shell.
Die Microsoft Command Shell wurde mittlerweile in Windows PowerShell umbenannt und RRLF-Mitglied sk0r veröffentlicht in der siebten Ausgabe des RRLF-Magazins prompt den "ersten PowerShell Wurm, der seine Variablennamen ändert". Der Wurm enthält dabei nichts, was das Niveau der einführenden Kapitel eines Handbuchs übersteigt und in jeder anderen modernen Skriptsprache nicht ebenfalls möglich wäre: Er überschreibt Dateien mit sich selbst, legt Registry-Einträge an und ersetzt in einem Array Variablennamen durch zufällige Zeichenketten. Eine Verbreitung übers Netz sollen Dateien wie "Microsoft Windows Vista Cd-Key.txt.msh" im Shared-Verzeichnis des Kazaa-Clients ermöglichen. Und schließlich zeigt bei einem Start nach 17:00 Uhr eine Popup-Meldung eine Nachricht des Autors an.
Siehe dazu auch: (ju)
- MSH/Cibyz!p2p Beschreibung von McAfee
