Gratis-Tool gegen Virus-Mutation
Symantec warnt jetzt vor einer Kreuzung aus Virus und Wurm, die schlimmsten Eigenschaften ihrer Eltern vereint: Aus dem sehr zerstörerischen Virus "Kriz" und dem harmloser Wurm "Bymer" ist ein gefährlicher und hoch infektiöser Spross entstanden, der am ersten Weihnachtstag den Rechner bedroht. Ein kleines Gratis-Tool schafft Ihnen den Schädling vom Hals.
Symantec warnt vor einer gefährlichen Kreuzung aus dem Virus W32.Kriz und dem Wurm W32.hllw.bymer.worm. Beide Schädlinge für sich sind bereits seit August 1999 beziehungsweise Oktober 2000 bekannt. Die nun entstandene Kreuzung verbindet jedoch die Schadensroutine des einen mit der Fähigkeit des anderen, sich sehr schnell zu verbreiten.
"Wenn ein Virus einen Computer befällt, der bereits von einem anderen Virus oder Wurm befallen ist, kann eine Kreuzung aus beiden entstehen." erklärt André Post, Virenexperte des Symantec AntiVirus Research Centers (SARC) im niederländischen Leiden.
Dieser Effekt ist schon länger bei Word Makroviren bekannt: Bei der Vermehrung kopiert ein Virus unabsichtlich auch Makros anderer Viren und erzeugt so mutierten Nachwuchs. Dies führt bei Makroviren zu einer sehr hohen Anzahl von Varianten, bei denen jedoch nicht immer alle Eigenschaften der Elternteile funktionstüchtig ausgebildet sind.
Im jetzt von Symantec beschriebenen Fall vereint der Nachwuchs die schlimmsten Eigenschaften seiner Eltern. Für sich allein ist "Kriz" ein sehr zerstörerischer Virus (siehe Glossar) unter Windows 9x/NT, der sich jedoch langsam ausbreitet. "Bymer" dagegen ist ein harmloser Wurm (siehe Glossar), der sich rasend schnell verbreitet. Wenn beide aufeinander treffen, entsteht ein zerstörerischer und hoch infektiöser Spross.
Er versucht, sämtliche Dateien, die geöffnet werden, zu infizieren. Die Verbreitungsbasis bildet die Systemdatei KERNEL32.DLL. Diese Basis-Programmierschnittstelle des Windows-Betriebssystems, auf die alle Anwendungen zugreifen, infiziert der Virus über den Umweg einer im Windows-System-Verzeichnis abgelegten Datei namens KRIZED.TT6. Startet der PC-Anwender das nächste Mal seinen Rechner, greifen alle Anwendungen auf die Funktion dieser Datei zu, womit sich der Virus verbreiten kann.
Das Gefahrenpotenzial ist für Einzelplatzanwender größer als für Unternehmen, die ihre Mitarbeiter in den Weihnachtsurlaub schicken. Denn nur am 25. Dezember wird die Schadensroutine dieses Hybriden aktiv: Er greift - wie auch sein Vorfahr Kriz - das BIOS des Computers an und macht das Booten unmöglich.
In den meisten Fällen muss der Computerbesitzer das BIOS wieder herstellen lassen, im schlimmsten Fall die Hardware austauschen.
Norton AntiVirus erkennt mit dem aktuellen Update der Virendefinitionen den neuen Schädling. Computerbesitzer, die nicht durch Norton AntiVirus geschützt sind, können sich ein kostenloses Tool (fixkriz.exe) zur Entfernung der Virusabart herunterladen. (PC-WELT, 20.12.2000, mp)
