Tipps & Tricks 18.09.2001, 16:30 Uhr

Neue Variante des Sircam-Virus?

Nach dem Durchforsten meines Systems auf den Virus W32/Sircam gemäss Ihrem Beschreib habe ich keine der entsprechenden Einträge/Dateien gefunden. Da aber ein Mitbenutzer meines PCs eine Mail («Hi! How are you? I send you this file in order to have your advice. See you later. Thanks») mit der angehängten Datei «AeffleundPferdle.doc.com» (481 KB) versehentlich geöffnet und ausgeführt hat, frage ich mich, ob wohl mittlerweile mutierte Versionen im Umlauf sind. Ist etwas darüber bekannt? Ein aktueller Virenscanner fand übrigens keine verdächtigen Dateien.
Über mutierte Versionen bzw. neue Varianten von W32/SirCam [1] ist bisher (Mitte September 2001) nichts bekannt. Möglicherweise hat die Person nur die Mail geöffnet, was noch harmlos wäre, und nicht die Beilage. Erst wenn die Beilage, die ja den Virus enthält, ausgeführt (geöffnet, doppelgeklickt) wird, würde dies eine Ansteckung bewirken.
Leider haben Sie nicht geschrieben, welches Betriebssystem Sie verwenden. Sollten Sie etwa ein Mac-Benutzer sein, hätten Sie sowieso keinen Grund, sich vor W32/SirCam zu fürchten, denn dieser Wurm macht sich nur an Windows-PCs zu schaffen, wie die meisten heute bekannten Würmer.
Sie finden aber relativ einfach heraus, ob Ihr Virenscanner die Datei richtig als SirCam identifizieren würde. Seien Sie hierbei bitte sehr vorsichtig und vermeiden Sie auf jeden Fall das Öffnen der Datei: Speichern Sie die Mailbeilage auf Ihre Festplatte. Das Speichern alleine führt die Datei noch nicht aus. Je nach Mailprogramm finden Sie hierzu einen Menüpunkt oder Sie klicken mit der RECHTEN Maustaste drauf und wählen im Kontextmenü einen Befehl wie "Speichern unter". Falls bei Ihnen ein Virenwächter aktiv ist, sollte dieser jetzt meckern. Falls im Hintergrund kein solcher Virenwächter läuft, scannen Sie die Datei manuell mit Ihrem Virenscanner.
Hat der Virenscanner immer noch nichts zu melden? Dann schauen Sie sich die Einstellungen des Virenscanners an. Vielleicht hat jemand daran herumhantiert und die Dateien mit der Endung *.COM vom Scan ausgeschlossen. Viele Virenscanner führen eine Art Liste von den Endungen der zu scannenden Dateien. Wenn *.COM nicht dabei ist, werden jene Dateien vom Virenscanner nicht überprüft. In diesem Fall fügen Sie diese Endung der Liste der zu überprüfenden Dateien hinzu. Wie das geht, steht bestimmt in den Hilfe-Dateien Ihrer Antiviren-Software oder im dazu gehörenden Handbuch.
Ein weiterer Faktor, der Virenscanner bisweilen "erblinden" lässt, sind die fehlenden Updates. Auch wenn Sie die neuesten Virendefinitionen installiert haben, kann es sein, dass die Programmversion oder die Scan-Engine Ihres Virenscanners veraltet ist. Schauen Sie also auf der Hersteller-Page nach, wie die Versionen lauten müssen, damit Sie auf dem aktuellen Stand sind. Welche Version Sie installiert haben, finden Sie (je nach Produkt) meist über ein Menü wie "Hilfe/Info", "Hilfe/Version" oder "Help/About" heraus.
Sollte Ihr Antiviren-Programm jetzt immer noch schweigen, ziehen Sie eine zweite oder gar dritte Meinung zu Rate. Mit TrendMicro Housecall [2] können Sie Ihre Festplatte direkt ab deren Webseite nach Viren scannen. SirCam müsste auf jeden Fall von jedem aktuellen Scanner entdeckt werden. Auch das für Privatgebrauch kostenlose DOS-Programm F-PROT sollte einen SirCam-Wurm problemlos aufspüren. In den PCtip Downloads finden Sie den "F-PROT Updater", der F-PROT gleich erstmals installiert, falls der DOS-Scanner auf dem PC noch ganz fehlen sollte [3]. Falls Sie eine einzelne Datei überprüft haben wollen, können Sie diese auch bei Ikarus, einer österreichischen Antivirus-Firma, über ein Webformular [4] checken lassen.
Findet Ihr Virenscanner nichts? Dann machen Sie die Mail-Adresse des Virenlabors Ihres Antivirus-Herstellers ausfindig und mailen Sie die Datei dort hin. Konsultieren Sie zu diesem Thema auch die Hilfe-Dateien oder Manuals Ihrer Antiviren-Software. Man wird Ihnen in der Regel innerhalb von 24 Stunden mitteilen, ob die Datei ein "reguläres" SirCam-Exemplar ist oder ob es sich um eine neue Variante handelt.
Vergessen Sie nicht, die verdächtige Datei und auch die Mail zu löschen, sobald Sie Ihre Nachforschungen abgeschlossen haben.



Kommentare
Es sind keine Kommentare vorhanden.