W32/Magistr

Der W32/Magistr-Virus [1] trifft per E-Mail ein. Der Mail-Betreff besteht aus zufällig gewählten Worten, die er teilweise aus bestehenden DOC- oder TXT-Dateien des Absenders kopiert hat. Beim eigentlichen Mail-Text widersprechen sich die Aussagen der Antivirus-Labors: Entweder enthält der Mail-Body keinen Text oder er wird ebenfalls aus zufällig gefundenen Worten zusammengesetzt. Die infizierte Beilage ist eine EXE- oder SCR-Datei. Gemäss Symantec [2] kann die Mail zusätzlich bis zu fünf weitere, willkürlich ausgewählte Text- oder Word-Dateien enthalten.

Falls ein unvorsichtiger Benutzer die EXE-Datei ausführt, lädt sich der Virus in den Arbeitsspeicher und beginnt nach drei Minuten mit seiner "Tätigkeit". Dabei infiziert er die (normalerweise) erste ausführbare Datei im Windows-Ordner und trägt sie sowohl in der Registry als auch in der Datei WIN.INI ein. Damit stellt der Virus sicher, dass er bei jedem PC-Start geladen wird. Anders als bei anderen Viren, kann die infizierte Datei nach der Ansteckung ihre ursprüngliche Aufgabe nicht mehr wahrnehmen; sie "funktioniert" nur noch als Virus.

Nun sucht der Schädling nach weiteren EXE- und SCR-Dateien, die er infizieren kann. Zuerst fallen ihm jene in den Ordnern WINNT, WINDOWS, WIN95 oder WIN98 zum Opfer, bevor er sich an anderen Ordnern zu schaffen macht. Weiter sucht er in lokalen Netzwerken nach PCs, auf deren Windows-Ordner er zugreifen kann. Wird er fündig, kopiert er sich dort hinein und verändert die WIN.INI so, dass der nächste Start jenes PCs auch gleich den Virus lädt. Nebenbei erstellt der Magistr-Virus eine DAT-Datei, deren Name er aus dem aktuellen Netzwerk-Namen des infizierten PCs berechnet.

In diesem DAT-File sammelt er E-Mail-Adressen, die er im Windows Adressbuch oder in Mail-Datenbanken von Outlook Express oder Netscape findet. An jene Adressen verschickt sich der Virus über einen eigenen SMTP-Prozess mit den eingangs erwähnten Merkmalen.

Und dann geht der Virus erst richtig zur Sache: Abhängig von seinem internen "Zähler" hindert er den Benutzer bisweilen daran, Desktop-Icons auszuführen. Gemäss den Analysen des Kaspersky Lab [3] weichen die Symbole der Maus einfach aus! Dies ist aber der einzige halbwegs "witzige" Aspekt des Magistr-Virus, denn er hat noch weitere verheerendere Schadensfunktionen, die denen des CIH-Virus [4] gleichen: Er versucht nach einem Monat, das BIOS des PCs zu überschreiben und Sektoren der Festplatte zu löschen bzw. Dateien mit Müll zu überschreiben. Falls ihm all dies gelingt, sind die Schäden unter Umständen nicht mehr so einfach zu reparieren. Wenn z.B. das BIOS danach nicht neu geflasht werden kann, ist eventuell ein Austausch des BIOS-Chips oder des ganzen Mainboards nötig.

Diese Wurm/Virus-Kombination ist bemerkenswert, weil eine potentiell schnelle Verbreitung (Wurm) mit einem potentiell hohen Schaden (am BIOS) einher geht. Trauen Sie keinen Mailbeilagen, die Sie nicht erwartet haben. Führen Sie keine EXE-Dateien aus, die Sie per Mail erhalten.

Praktisch alle Antivirus-Hersteller haben inzwischen entsprechende Virendefinitionen bereitgestellt, um den Virus zu finden und zu eliminieren. Aktualisieren Sie Ihren Virenscanner und prüfen Sie damit Ihr System.