33448

Technische Einzelheiten zu WinRip

WinRip sucht das Kompressionsprogramm auf dem gesamten Laufwerk C:. Hat er es gefunden, speichert er den Pfad inklusive der Ordnerangabe in einer Umgebungsvariablen.

Der Virus verwendet bei der Infektion die Pfad-Angabe \winnt\profiles\default user\start menu\programs\startup\winrip.bat Dies führt dazu, dass er beim Entpacken unter Umständen statt in dem vom Anwender oder einem Antivirenprogramm vorgesehenen Verzeichnis in dem vom Virus vorgesehenen Startup-Verzeichnis landet und dort übersehen wird.

Denn wenn das Antivirenprogramm typischerweise Dateien nur in dem von ihm gewählten temporären Verzeichnis (etwa C:\TEMP) durchsucht und wieder beseitigt, sorgt der Scanner gerade dafür, dass der Virus ins System gelangt, falls WinRip bislang noch in dem Archiv "geschlummert" haben sollte, ohne aktiviert worden zu sein. So lange der Virus in dem oben genannten Verzeichnis bleibt, wird er jedesmal kopiert, wenn auf dem infizierten NT-Rechner ein neuer User angelegt wird. Und sobald dieser User sich anmeldet, wird der Virus aktiv.

Problematisch ist hier besonders die Tatsache, dass Anti-Viren-Programme in der Regel mit Administrator-Rechten hantieren und somit auf alle Dateien Zugriffsrechte haben.

Allerdings gehen nicht alle Antivirenscanner so vor. Einige scannen komprimierte Dateien, indem sie direkt auf dem Zip-Archiven arbeiten und dabei die Archive nicht entpacken (beispielsweise Network Associates und Symantec). Andere entpacken Archive zwar, ignorieren aber die im Archiv vorgegebene Unterverzeichnisstruktur und entpacken alle Dateien in das temporäre Verzeichnis. In diesem Fall wäre WinRip zwar vorübergehend als infektiöse Batchdatei auf der Festplatte vorhanden, würde aber nach dem Scannen wieder entfernt. Da in manchen Fällen Scanner eines Herstellers unter verschiedenen Betriebssystemen (Windows NT, Windows 95/98, Unix/Linux) unterschiedlich arbeiten, sollte man bei einer WinRip-Infektion nach der Desinfektion immer das Startup-Verzeichnis kontrollieren um sicherzustellen, dass der Virus wirklich entfernt wurde.

PC-WELT Marktplatz

33448