698332

W32/Magistr

06.09.2001 | 10:18 Uhr |

Im März 2001 tauchte erstmals W32/Magistr auf, eine gefährliche Mischung aus Wurm und Virus. Dieser Schädling wird heute als W32/Magistr-A bezeichnet und verursacht bis heute Schäden. Seit dem 3. September ist eine neue und intelligentere Variante dieses Schädlings im Internet unterwegs: W32/Magistr-B.

Genaue Bezeichnung

W/32 Magistr-A, W/32 Magistr-B

Aliasnamen

Alias-Namen für Magistr-B sind W32/Magistr.B@MM, I-Worm.Magistr.b.poly, PE_MAGISTR.B und W32.Magistr.39921@mm.

Typ

Wurm/Virus

Erstes Auftreten

Magistr-A: März 2001; Magistr-B: 03. 09.2001

Verbreitung

Magistr-A: stark; Magistr-B: gering bis mittel

Wirkung/Schaden

W32/Magistr-A: Er stellt eine gefährliche Mixtur aus Virus und Wurm dar, der Systemdateien befällt und diese mit zeitlicher Verzögerung löscht. Nach der Ausführung nistet er sich im Windows-Verzeichnis gut versteckt in .EXE und .SCR-Dateien ein. Außerdem versendet er sich mittels MS Outlook/Outlook Express oder Netscape Navigator/Messenger an alle Einträge im entsprechenden Adressverzeichnis. Einen Monat nach der Infektion ersetzt er die Inhalte der befallenen Dateien von Windows NT/2000 mit dem String "YOUARESHIT". Bei Windows 95/98 werden unter anderem die CMOS-Einstellungen verändert. Außerdem erscheint folgende Nachricht: "Another haughty bloodsucker.......YOU THINK YOU ARE GOD , BUT YOU ARE ONLY A CHUNK OF SHIT". Icons auf dem Desktop lassen sich nicht mehr anklicken, sondern "ergreifen" vor dem Mauszeiger die Flucht. Die Erkennung wird erschwert, weil der Wurm weder eine fest definierte Betreffzeile, noch einen festgelegten Body noch einen immer gleichen Attachment-Namen verwendet.Magistr-B durchsucht das Adress-Buch eines Benutzers, die Mailboxen und andere Dateien auf dem infizierten PC nach Mail-Adressen, unter anderem in Microsoft Outlook Express und im Netscape Navigator. Mit seinem eigenen SMTP-Client versendet er sich an die gefundenen Adressen. Manchmal schickt er auch .GIF-Dateien mit, die er auf dem befallenen PC gefunden hat. Die Betreffzeile und der Textkörper der verschickten Mails werden per Zufallsgenerator erzeugt. Auch der Name der angehängten Datei mit dem Virus trägt einen Zufallsnamen. Die Datei hat vermutlich eine der folgende Endungen: .COM, .BAT, .PIF oder .EXE. Magistr-B kann auf einem PC die unterschiedlichsten Schäden anrichten. Er löscht verschiedene Dateien auf dem befallenen Rechner und beendet die Zonealarm-Firewall, sofern vorhanden. Außerdem erzeugt er eine System.ini, durch die er bei jedem Systemstart gestartet wird. Zudem kann er Festplatten-Inhalte und CMOS-Informationen überschreiben. Gefährdet sind Rechner nicht folgenden Betriebssystemen MS Windows 95/98/ME, NT und 2000.

Infektionsweg

Magistr-A benutzt drei Verbreitungswege: per Mail als EXE-Datei, durch Infektion von gemeinsam genutzten Dateien in einem Netzwerke und durch Download einer infizierten Datei aus dem Internet.W32/Magistr-B ist eine ausführbare .EXE-Datei, die sich sowohl als Wurm per Mail wie auch über infizierte Dateien als Virus verbreitet.

Besonderheiten

Die Entfernung von Magistr aus einem infizierten System ist aufwändig und nicht einfach. Experten empfehlen umgehend die Signaturen des benutzten Virenscanners zu aktualisieren.

Was Sie tun können

Nie auf fremde Mailanhänge klicken. Aktuellen Virenscanner benutzen.

Weitere Infos

McAfee

0 Kommentare zu diesem Artikel
698332