Scanner verbreiten neuartigen Zip-Virus

WinRip setzt sich in Archiven fest
Ein technisch sehr ungewöhnlicher Virus ist in Deutschland aufgetaucht, der sich in Zip-Archiven verbirgt. Bat/WinRip besteht aus einer Batch-Datei mit sieben Zeilen Code, von denen effektiv nur vier benötigt werden. Er infiziert alle Zip-Archive auf dem Laufwerk C:, indem er sich mittels Winzip (inklusive einer Pfadangabe) zu dem Archiv hinzufügt. Eine Schadfunktion enthält er derzeit nicht. Da der Virus jedoch "in freier Wildbahn" (siehe Glossar) aufgetreten ist, muss man mit weiterentwickelten Versionen rechnen.

Der Virus ist besonders infektiös, weil er sich mit einer speziellen Pfadangabe in die Archive einfügt. Dabei verwendet er einen Trick, damit eine Kopie des Virus immer in einem Autostart-Verzeichnis landet, sobald man die Archiv-Datei auf Laufwerk C: entpackt. Dann kann der Virus später aktiv werden und versuchen, alle auf C: vorhandenen Zip-Dateien zu infizieren.

Um sich zu verbreiten, benötigt der Virus wegen seiner speziellen Pfadangabe derzeit eine englische Version von Windows NT, wie sie auch in vielen deutschen Firmen im Einsatz ist. WinRip könnte allerdings prinzipiell ohne weiteres auch auf deutschem NT oder einer deutschen Version von Windows 95/98 laufen. Ebenso muss Winzip installiert sein.

Meist wird sich WinRip auf Rechnern verbreiten, weil er vom Winzip-Anwender unwissentlich beim Entpacken eines Archivs freigesetzt wird. Aufgrund seiner besonderen Verbreitungsart wirken bei WinRip jedoch auch Antivirenprogramme als Virenschleuder, die in komprimierten Dateien nach Viren suchen, aber den Virus noch nicht erkennen. Dies passiert immer dann, wenn sie die komprimierten Dateien mit Hilfe von externen Entpackern inklusive Pfadangabe temporär auf der Festplatte auspacken, um sie danach zu scannen.

Kommentieren Kommentare zu diesem Artikel (0)
33448