Name
des Virus |
W32.Kriz.3740 |
Typ |
Sonstige |
befallene Betriebssysteme |
Windows 9x/NT |
Alias |
W32.Kriz |
Infizierung:
Der W32.Kriz.3740 befällt, ähnlich wie der CIH-Virus, PE-Dateien (Portable
Executable), also meistens EXE- und SCR-Dateien. Außerdem modifiziert er die KERNEL32.DLL
indem er eine Kopie der Datei erzeugt, die KRIZED.TT6 genannt wird. Diese ist dann
ebenfalls mit dem Virus infiziert. Beim nächsten Starten wird die KERNEL32.DLL durch die
KRIZED.TT6 ersetzt. Wenn Sie also feststellen, daß ihr Rechner diese KRIZED.TT6-Datei
enthält, sollten Sie diese sofort löschen. Weiter sollten Sie die modifizierte
KERNEL32.DLL durch eine "saubere", also nicht infizierte Kopie ersetzen.
Schadensroutine:
Am 25.Dezember wird der Virus richtig aktiv. Er versucht das Flash-Bios und den
Inhalt des CMOS-RAMs zu löschen. Danach kann der Rechner nicht mehr neu gebootet
werden und die beschädigte Hardware muß ausgetauscht werden. Durch das Löschen des
CMOS-RAMs sind Einstellungen wie Datum, Zeit, Festplatten und Floppy Einstellungen,
periphäre Konfiguration usw. verschwunden. Diese müssen danach neu eingestellt werden.
Außerdem befällt der Virus auch alle eigenen und gemappten Festplatten, also auch
Netzwerk-Platten, sowie Floppy-Laufwerke und RAM-Disks. Die Vorgehensweise ist dem CIH-Virus sehr ähnlich. Daher kann man zur
Schadensbehebung nahezu analog vorgehen.
Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt.
Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind
verboten.
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch
Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus
etwaig entstehenden Schaden keine Verantwortung übernommen werden. |
|
