Sicherheitsbug bei Norton AntiVirus 2001 unter Windows ME
Der von Symantec gerade erst veröffentlichte Virenscanner Norton AntiVirus 2001 weist unter Windows Millennium eine gravierende Sicherheitslücke auf.
Der von Symantec gerade erst veröffentlichte Virenscanner Norton AntiVirus 2001 weist unter Windows Millennium eine gravierende Sicherheitslücke auf. Das mit dem Slogan "ME too" beworbene Programm kommt offensichtlich mit den bei Windows ME auf jedem Laufwerk vorhandenen Restore-Ordnern nicht klar.
In diesen Ordnern sammelt ME wichtige Backup-Daten. Ein Virus, der sich in diesem Ordner einnistet, findet Norton AntiVirus standardmäßig nicht, weil die Restore-Ordner von jeglicher Überprüfung durch den Virenscanner ausgenommen sind. Doch auch wenn Norton AntiVirus angewiesen wird, diesen Ordner zu prüfen, findet das Programm einen Virus zwar, kann die infizierte Datei aber weder isolieren noch reparieren oder löschen. Offensichtlich hat die Software keinen Zugriff auf den Restore-Ordner.
Das Problem ist Symantec bekannt, ein von der Symantec-KnowledgeBase beschriebener Lösungsweg funktionierte auf unserem Testsystem jedoch nicht. Auch nach dem Deaktivieren der Systemwiederherstellung in der Systemsteuerung unter Eigenschaften von System\Leistungsmerkmale\Dateisystem\Problembehandlung konnte Norton AntiVirus 2001 im Gegensatz zum Anwender vor dem Bildschirm nicht auf den Restore-Ordner zugreifen. Ein Kommentar von Symantec steht bisher noch aus.
Norton AntiVirus 2001 ist als Einzelversion erhältlich, aber auch als Bestandteil von Norton SystemWorks 2001 und Norton InternetSecurity 2001. Um eine vom Norton AntiVirus gefundene infizierte Datei im Restore-Ordner von Hand zu löschen, muss mit einer Startdiskette auf DOS-Ebene booten. Die Anweisung attrib -s -h c:\_restore – der Laufwerksbuchstabe ist natürlich entsprechend anzupassen – macht den Ordner sichtbar und entfernt das System-Attribut. Der Befehl del c:\_restore\Virus.vbs löscht die infizierte Datei – der Name ist durch den Namen der infizierten Datei mitsamt der Datei-Endung zu ersetzen. Ein abschließendes attrib +s +h c:\_restore verwandelt den Ordner wieder in seinen Ursprungszustand zurück. Windows kann nun wieder starten. (axv)
