Der Virus nennt sich W32/Magistr.a@MM
Hier mal der Auszug aus der PC-Welt
06.09.2001 | 10:18 | hc
W32/Magistr
Genaue Bezeichnung W/32 Magistr-A, W/32 Magistr-B
Aliasnamen Alias-Namen für Magistr-B sind W32/Magistr.B@MM, I-Worm.Magistr.b.poly, PE_MAGISTR.B und W32.Magistr.39921@mm.
Typ Wurm/Virus
Erstes Auftreten Magistr-A: März 2001; Magistr-B: 03. 09.2001
Verbreitung Magistr-A: stark; Magistr-B: gering bis mittel
Wirkung/Schaden W32/Magistr-A: Er stellt eine gefährliche Mixtur aus Virus und Wurm dar, der Systemdateien befällt und diese mit zeitlicher Verzögerung löscht. Nach der Ausführung nistet er sich im Windows-Verzeichnis gut versteckt in .EXE und .SCR-Dateien ein. Außerdem versendet er sich mittels MS Outlook/Outlook Express oder Netscape Navigator/Messenger an alle Einträge im entsprechenden Adressverzeichnis. Einen Monat nach der Infektion ersetzt er die Inhalte der befallenen Dateien von Windows NT/2000 mit dem String "YOUARESHIT". Bei Windows 95/98 werden unter anderem die CMOS-Einstellungen verändert. Außerdem erscheint folgende Nachricht: "Another haughty bloodsucker.......YOU THINK YOU ARE GOD , BUT YOU ARE ONLY A CHUNK OF SHIT". Icons auf dem Desktop lassen sich nicht mehr anklicken, sondern "ergreifen" vor dem Mauszeiger die Flucht. Die Erkennung wird erschwert, weil der Wurm weder eine fest definierte Betreffzeile, noch einen festgelegten Body noch einen immer gleichen Attachment-Namen verwendet. Magistr-B durchsucht das Adress-Buch eines Benutzers, die Mailboxen und andere Dateien auf dem infizierten PC nach Mail-Adressen, unter anderem in Microsoft Outlook Express und im Netscape Navigator. Mit seinem eigenen SMTP-Client versendet er sich an die gefundenen Adressen. Manchmal schickt er auch .GIF-Dateien mit, die er auf dem befallenen PC gefunden hat. Die Betreffzeile und der Textkörper der verschickten Mails werden per Zufallsgenerator erzeugt. Auch der Name der angehängten Datei mit dem Virus trägt einen Zufallsnamen. Die Datei hat vermutlich eine der folgende Endungen: .COM, .BAT, .PIF oder .EXE. Magistr-B kann auf einem PC die unterschiedlichsten Schäden anrichten. Er löscht verschiedene Dateien auf dem befallenen Rechner und beendet die Zonealarm-Firewall, sofern vorhanden. Außerdem erzeugt er eine System.ini, durch die er bei jedem Systemstart gestartet wird. Zudem kann er Festplatten-Inhalte und CMOS-Informationen überschreiben. Gefährdet sind Rechner nicht folgenden Betriebssystemen MS Windows 95/98/ME, NT und 2000.
Infektionsweg Magistr-A benutzt drei Verbreitungswege: per Mail als EXE-Datei, durch Infektion von gemeinsam genutzten Dateien in einem Netzwerke und durch Download einer infizierten Datei aus dem Internet. W32/Magistr-B ist eine ausführbare .EXE-Datei, die sich sowohl als Wurm per Mail wie auch über infizierte Dateien als Virus verbreitet.
Besonderheiten Die Entfernung von Magistr aus einem infizierten System ist aufwändig und nicht einfach. Experten empfehlen umgehend die Signaturen des benutzten Virenscanners zu aktualisieren.
Was Sie tun können Nie auf fremde Mailanhänge klicken. Aktuellen Virenscanner benutzen
