Neue Version des 'Magistr-Virus' kursiert

Gefährlicher Virus sorgt in neuer Variante für Aufregung

Moskau, 05. September 2001

Das international im Bereich Datensicherheit tätige Software-Unterneh­men Kaspersky Lab warnt die User vor einer neuen Variante des gefähr­lichen Virus 'Magistr'. Es sind bereits mehrere aktuelle Meldungen aus Spanien über Infektionen mit dieser Malware eingegangen.

Hinterlistiger Schädling im Netz

"Der 'Magistr.b' nutzt einen gründlich überarbeiteten Verschlüsselungs-Algorithmus. Deshalb ist es keinem bekannten Antiviren-Scanner möglich die neue Virus-Version zu erkennen, auch wenn der heuristische Code-Analyzer aktiv ist", erläutert Eugene Kaspersky, Leiter der Antiviren-For­schungen bei Kaspersky Lab.

Kaspersky Lab reagierte sofort auf die neue Gefahr. Bereits in der Nacht auf den 3. September wurde ein Update der Antiviren-Datenbank des Kaspersky Anti-Virus herausgegeben, das gegen 'Magistr.b' schützt.

'Gründliche' Verwüstungs-Mechanismen

Diese Virus-Variante besitzt neue, sehr gefährliche Nebenwirkungen so­wie eine bemerkenswert verbesserte Methode zur Verbreitung per eMail und im Intranet.

'Magistr.b' löscht nicht nur alle Dateien der Lokal- und Netzwerk-Spei­chermedien, sowie den CMOS-Speicher und das BIOS, sondern überschreibt zusätzlich noch die Boot-Sektoren aller Windows Betriebs­systeme inklusive NT und 2000, so dass beim nächsten Neustart des Computers, alle Dateien der Lokal- und Netzwerk-Speichermedien verloren sind. Während der Suche nach den Zieldateien entfernt der Virus ebenfalls alle Dateien mit der NTZ-Extension. Ist auf einem befallenen Computer das Firewall-Programm Zone Alarm aktiv, so schaltet 'Magistr' es automatisch ab.

Effektive Methode zur Verbreitung

Um eMail-Adressen zur weiteren Verbreitung zu finden, scannt der ’Magistr.b’ die Datenbanken der Mail-Programme Eudora, Outlook Ex­press, Netscape Messenger, Internet Mail sowie das Windows-Adress­buch. Zusätzlich zu DOC- und TXT-Dateien kann das Virus auch GIF-Dateien anhängen. Außerdem sucht es nach neuen zugänglichen Netz­werk-Ressourcen um sich selbst dorthin zu kopieren. ’Magistr.b’ sucht deshalb nach folgenden Ordnern: WINNT, WINDOWS, WIN95, WIN98, WINME, WIN2000, WIN2K, WINXP. Anhand dieser Methode ist es dem Wurm möglich sich sehr effektiv zu verbreiten und seine 'Erfolgsrate' we­sentlich zu verbessern.

"Momentan belegt die erste ’Magistr’-Variante die zweithöchste Platzie­rung in der Liste der meistverbreiteten Malware, gleich nach 'SirCam'. Zweifelsohne besitzt die neueste Magistr-Variante das Potential sich ei­nen ebenso hohen Rang zu sichern wie das Original. Das könnte zu ei­ner weiteren globalen Epidemie führen", erklärt Denis Zenkin, Presse­sprecher bei Kaspersky Lab.

Zeitverzögerte Aktivierung des Virus

Wie Kaspersky Lab schon früher berichtete zählt ’Magistr’ zu den soge­nannten "schlafenden" Viren. Diese Viren verstecken sich so lange bis sie aktiviert werden. Die ursprüngliche Virus-Version bestätigte bereits einen Monat nach ihrer Entdeckung die Befürchtungen von Kapersky Lab und belegte den ersten Platz der Top-Viren-Ratings. "Warum auf eine Katastrophe warten? Kaspersky Labs empfiehlt seinen Usern kontinuier­lich am Ball zu bleiben und Updates zu installieren, damit ihre Systeme gegen diese Gefahren zuverlässig geschützt sind", fügte Denis Zenkin hinzu.