13.Jun.1999
Martina Jacobs per eMail
|
Viruswarnung für PC/Mac-Emu-User
Diese Viruswarnung könnte für die von Interesse sein,
die eine PC/MacEmu nutzen.
---------------------------------------------------------------
Viruswarnung: Mischung aus CIH&Melissa-Virus aufgetaucht
---------------------------------------------------------------
Dem Viruserfinder ist es gelungen einen Virus zu basteln, der
sich wie Melissa drastisch per eMail vermehrt und solch einen
Schaden anrichtet, wie es der CIH-Virus getan hat.
Der Virus mit dem Namen "Worm.Explore.Zip" verbreitet sich,
indem er sich selbst an eMail-Adressen des Adressbuches und an
die Absender, von denen bereits eine eMail empfangen hat,
verschickt.
Er benötigt dazu eMail-Programme, die auf Messaging
Application Programming Interface (MAPI) beruhen, wie z.b.
Microsoft Outlook, Outlook Express, Exchange, Netscape Mail.
In der eMail steht folgendes: "I received your email and I
shall send you a reply ASAP. Till then, take a look at the
attached zipped docs." Der Betreff der eMail ändert sich
laufend.
Die Datei (zipped_files.exe) ist 210,432 bytes groß. Das
Icon der Datei sieht aus, wie das Icon des WinZip Self-Extractors.
Beim öffnen der Datei wird folgende Fehlermeldung
vorgetäuscht: "Cannot open file: it does not appear
to be a valid archive. If this file is part of a ZIP format
backup set, insert the last disk of the backup set and try again.
Please press F1 for help."
Jetzt durchsucht er Ihre Festplatte nach Dateien mit den Endungen:
.c, .cpp, .h, .asm, .doc, .xls, or .ppt. Er löscht dann den
Inhalt der Dateien, so das die Dateien dann 0 byte groß sind.
Der Virus kopiert sich dann in das Systemverzeichnis von Windows
unter dem Namen Explore.exe und verändert bei Windows 95
die Datei WIN.INI und bei Windows NT einen Eintrag in der
Regestrierung, so daß das Programm jedes Mal ausgeführt
wird, wenn der Rechner startet.
Um den Virus loszuwerden, muß folgendes unternommen werden:
Windows 9x:
Starten Sie ihren Rechner im MS-DOS Modus
Geben Sie ein: edit C:\Windows\Win.ini löschen Sie fogenden
Eintrag: run=c:\windows\system\explore.exe
Danach können Sie die Datei C:\Windows\System\explore.exe
löschen.
Windows NT:
Im Task Manager ist der Virus unter dem Namen "explore" zu
erkennen. Starten Sie regedit, indem Sie regedit bei Start,
Ausführen, eintragen. Löschen Sie aus dem Ordner
[HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows] folgenden Schlüssel
"run"="C:\\WINNT\\System32\\Explore.exe"
Starten Sie Windows NT neu und löschen Sie die Explore.exe
im Windows-System32 Verzeichnis.
Bei Symantec (www.symantec.de) gibt es schon passende
Virus-updates, die man sich auf jedenfall installieren sollte.
(ps)
[Meldung: 13. Jun. 1999, 08:00] [Kommentare: 0]
[Per E-Mail versenden] [Druck-Version] [ASCII-Version]
|