Verbreiteter Virus schlägt Montag zu
Alle Dateien des Laufwerkes C: löscht am Montag, dem 13.12.,
Alle Dateien des Laufwerkes C: löscht am Montag, dem 13.12., der Thursday-Virus. Da der schon Anfang September aufgetretene Virus sehr weit verbreitet ist, sollten PCs jetzt mit einem Antivirenprogramm überprüft werden.
Zu dieser akuten Bedrohung kommen noch neue Plagegeister hinzu. Unter den Viren, die derzeit die Rechner bei vielen Privatleuten und Firmen unsicher machen, gehört der Anfang Dezember entdeckte W32/MyPics-Wurm (siehe Glossar). Er wurde in Visual Basic (nicht VBA) geschrieben. Es handelt sich also um ein EXE-Programmdatei, die zu ihrem Start die Datei MSVBVM50.DLL im Windows\System-Verzeichnis benötigt.
Ähnlich wie Explore_Zip verankert er sich in der Registry mit einem Aufruf, um bei jeden Rechnerstart aktiv werden zu können. Anschließend sendet er sich ähnlich wie W97M/Melissa mittels MAPI an die 50 ersten Einträge im Outlook-Adressbuch des Anwenders.
MyPics enthält eine heimtückische Schadfunktion, die in der Sylvesternacht zum Jahr 2000 ausgeführt wird. Dabei überschreibt er die AUTOEXEC.BAT mit einem Befehl, um die Laufwerke C: und D: zu formatieren und anschließend Teile des CMOS zu überschreiben. Anscheinend will er Virenautor damit ein Jahr-2000-Problem vortäuschen. Da die AUTOEXEC.BAT nur unter Windows ´9x, nicht aber unter NT beim Rechnerstart ausgeführt wird, kann der Virus nur Windows-9x-Systeme schädigen. Auch hier hilft ein aktuelles Anti-Viren-Programm weiter.
Mit Hilfe eines Virus Construction Kits (siehe Glossar) VMPCK1 wurde der Virus W97M/Broken generiert. Auch er ist mittlerweile bei Anwendern aufgetreten, allerdings bislang noch nicht in Deutschland. Er verändert unabhängig vom Datum einige Einstellungen in Word. So erscheint etwa beim Öffnen von der Hilfe über das Menü '?' | Info eine Dialogbox mit dem Text "CAPut! by -=|| N|c0t|N ||=- (c) 1998".
Zudem kann der VBA-Editor nicht mehr geöffnet werden. Ein Versuch scheitert mit der vom Virus simulierten Fehlermeldung "Word Basic Err =7". In allen bearbeiteten Dokumenten setzt er zusätzlich das Kommentarfeld der Dokumenteigenschaften (Datei | Eigenschaften | Zusammenfassung) auf "JU$t bEEn CAPuted!".
Der Virus versucht, sich dem Jahr-2000-Problem auf seine Weise anzunehmen. Mit einer geringen Wahrscheinlichkeit (etwa ein Prozent) ersetzt er alle Vorkommen von "19" im Text durch "CAPUut". Anschließend entfernt er die Menüpunkte Bearbeiten | Rückgängig und Ersetzen, wahrscheinlich um das Reparieren seines Eingriffs zu erschweren.
Der Virus kann mit einem aktuellen Anti-Viren-Programm aufgespürt und beseitigt werden, um seine Manipulationen an den Texten rückgängig zu machen, hilft nur Handarbeit. Davor sollte allerdings die NORMAL.DOT gelöscht oder durch ein Backup vor der Infektion ersetzt werden, um seine Änderungen in der Menüstruktur wieder zu entfernen. (PC-WELT, 10.12.99, am)
Informationen zu den erwähnten und weiteren Viren und Würmern finden Sie im Viren-Verzeichnis der PC-WELT
www.pcwelt.de/viren| Viren-Verzeichnis der PC-WELT
Antivirenprogramme finden Sie im Downloadbereich der PC-WELT in der Rubrik Utilities
