Infizierung:
Der Virus "W97M/Suppl" verbreitet sich über Emails. Die Email hat einen Anlage "SUPPL.DOC", das intuitiv mit einem Word-Dokument in Verbindung gebracht wird. Öffnet man die Anlage und hat in Word die Makrowarnung ausgeschaltet, so wird der Virus aktiviert.

Schadensroutine:
a) Die Datei "SUPPL.DOC" besitzt einen Makro-Code, der die Routinen in den DLL-Dateien LZ32.DLL und KERNEL32.DLL ausnutzt. Der Virus schreibt 4 neue Dateien in den Windows-Ordner:

WININIT.INI ( 143 Bytes)
DLL.LZH ( 6,712 Bytes)
DLL.TMP (16,384 Bytes)
ANTHRAX.INI (38,968 Bytes)

Die Datei DLL.TMP ist ein Trojanisches Pferd für die WSOCK32.DLL. Die WININIT.INI-Datei ist dafür zuständig, daß beim nächsten Systemstart die WSOCK32.DLL in WSOCK33.DLL umbenannt wird und anschließend die DLL.TMP in WSOCK32.DLL. Die Datei DLL.LZH wird gelöscht. Damit hat das Trojanische Pferd die WSOCK32.DLL übernommen. Von nun an wird in jede Email, die über den SMTP-Email-Client gesendet wird, als Anlage die Datei "SUPPL.DOC" angehängt und der String "Anthrax" ist in dieser Mail.
b) Ungefähr 163 Stunden nach der ersten Infizierung ihres PCs wird die "trojanische" WSOCK32.DLL alle Dateien mit den Endungen .doc, .xls, .txt, .rtf, .dbf, .zip, .arj, .rar auf den lokalen Festplatten (physikalische und gemappte) suchen und setzt sie auf Null-Länge.

Schutz & Entfernung:
Starten Sie Ihren PC im MS-DOS-Modus und tauschen Sie die "WSOCK32.DLL" durch Ihre "WSOCK33.DLL" aus. Starten Sie Ihren PC neu.

Bemerkungen:
Das Vorhandensein der "WSOCK33.DLL" wird den Internetwurm davon abhalten ihr System anzugreifen. Anthrax gab es früher schon einmal. Dies ist ein sehrt alter DOS-Virus.

Zurück

Zur Virenübersicht

Virusbeschreibung per Email senden

Virusbeschreibung ausdrucken