Cambridge, Vereinigtes Koenigreich, 14. März 2001 - Kaspersky Labs warnt Sie hiermit vor einem neuen Virus. Der Virus heißt 'Magister' und kann als äußerst gefährlich eingestuft werden. Er verbreitet sich über eMails und über lokale Netzwerke. Der Schädling verwendet mehrere ausgefeilte Methoden, um sich in infizierten Computern unbemerkbar zu machen. Dadurch kann es nur schwer entdeckt und beseitigt werden. Ausgehend von Kommentaren, die im Viruskörper gemacht wurden, stammt der Virus aus Malmo, Schweden. Er wurde von einem Hacker namens 'The Judges Disemboweler' geschrieben. Kaspersky Lab erhielt bereits mehrere Meldungen über das Auftauchen des Wurmes in der freien Wildbahn.

'Magister' kann in einen Computer auf drei verschiedenen Wegen eindringen: erstens können Sie sich ihn mit einer eMail-Nachricht zuziehen, wenn Sie versehentlich das infizierte Attachment herunterladen; zweitens kann der Virus sich über das lokale Netzwerk verbreiten, indem er Dateien von zugänglichen Servern und Workstations infiziert; drittens kann er in Ihren Computer über Wechselmedien oder beim Download vom Internet bzw.r einem anderen Netz einschleichen.

Wird die infizierte Datei ausgeführt, dringt der Virus in das System, das Mailsysteme ein und entwickelt seine destruktive Schadensroutine.

Um sich per eMail verschicken zu können, scannt 'Magister die Mail-Datenbanken von Outlook Express, Internet Mail und Netscape Messenger sowie das Windows-Adressbuch, und liest alle vorhandenen eMail-Adressen ab. Details zur Lage der Mail-Datenbanken und deren Namen werden in einer speziellen Datei mit einer dat-Endung gespeichert. Der Dateiname wird mittels Verschlüsselung von dem Computernamen abgeleitet. Z.B., wenn ein Computer den Namen CS-GOAT hat, wird diese Datei WG-SKYF.DAT heißen. Je nach dem, welches Zeichen als erstes im Dateinamen steht, wird sich der Virus entweder in das Verzeichnis C: oder in Windows-Verzeichnisse oder in „Program Files" kopieren.

Danach liest 'Magister' die Adresse des zu dem infizierten Computer angeschlossenen SMTP-Servers ab , und verschickt im Namen des Benutzers eMail-Nachrichten, die infizierte Dateien enthalten. Diese Dateien werden willkürlich von dem Benutzer-PC ausgewählt. Die Überschriften der Nachrichten in der Zeile Betreff werden ebenso willkürlich ausgewählt entweder aus den im Computer gespeicherten .doc und .txt Dateien oder aus der im Viruskörper enthaltenen Liste von standardmäßigen Phrasen in Englisch, Französisch und Spanisch. Zum Anhängen wählt der Virus .pe exe oder .scr Dateien aus, die nicht größer als 132Kb sind, und die bereits mit diesem Virus infiziert sind. Diese Vielfältigkeit der äußeren Merkmale macht es dem Benutzer schwierig, infizierte eMail-Nachrichten als solche zu identifizieren .

In 20 % aller Fälle hängt 'Magister' an die verschickten Nachrichten .doc oder .txt Dateien an, die er vorher bei der Suche nach geeigneten Überschriften und Texten für die Zeile Betreff sowie für den Nachrichtenkörper im System gefunden hatte. Das kann zur Folge haben, dass vertrauliche Informationen mit den zufällig ausgewählten doc. Und txt. Dateien so preisgegeben werden können.

Beachten sie auch, dass 'Magister' beim Abschicken von infizierten eMail-Nachrichten willkürlich die Absenderadresse verändert. Mehrere Zeichen in der Adresse können gelöscht oder geändert werden. Das kommt auch dem Virus zugute, da seine Aktivität geheim bleibt. Der Empfänger kann nämlich nicht auf die Nachricht antwortet. Seine Antwort wird an eine nicht existierende Adresse verschickt. Der Absender ahnt nicht, dass der Virus von seinem Computer nicht autorisierte Nachrichten verschickt.

Nach dem Aufruf des Virus infiziert 'Magister' alle .pe exe und .scr Dateien in "Windows-," "WinNT-," "Win95-" und "Win98"-Verzeichnissen auf allen lokalen und im Netzwerk befindlichen Speichermedien, zu denen dieser Computer angeschlossen ist. Danach scannt der Virus alle vorhandenen Netzwerk-Ressourcen, sucht nach den oben erwähnten Verzeichnissen und infiziert da .pe exe und .scr Dateien. Um Dateien anzustecken, verwendet 'Magister' mehrere sehr ausgefeilte Methoden, die wiederum seine Entdeckung und Eliminierung erschweren. Der Virus besteht aus 3 Teilen, zwei von denen sind mit einem polymorphen Code verschlüsselt. Bei der Infektion geht der Virus wie folgt vor:

Nachdem die infizierte Datei aufgerufen wurde, mischt sich der Virus sofort in die Ausführung ein und fügt sich im Einganspunkt ins Programm ein. Danach leitet er den Programmausführer auf den Hauptcode des Virus um. Erst nachdem der Hauptcode des Virus ausgeführt wurde, gibt der Virus die Kontrolle an das Programm zurück.

Um seine permanente Präsenz im infizierten System sicherzustellen, modifiziert 'Magister' die WIN.INI Konfigurationsdatei und die Windows-Systemregistrierung auf solche Weise, dass er aktiv wird, jedes Mal, wenn das System gebootet wird. Bei Infizierung von Netzwerk-Ressourcen modifiziert der Virus nur die WIN.INI Datei.

'Magister führt eine sehr gefährliche Schadensroutine aus. Ein Monat nach der ersten Infektion zerstört der Virus alle Dateien auf lokalen und im Netzwerk befindlichen Speichermedien auf den Rechnern, die unter Windows NT/2000 arbeiten. Der originale Inhalt von Dateien wird durch einen String "YOUARESHIT" ersetzt. Auf den Computern, die unter Windows 95/98 laufen, vernichtet der Virus darüber hinaus die CMOS Speichereinstellungen (CMOS enthält Hardware-Einstellungen zum Computer-Booten), wie der Virus 'Chernobyl' (CIH)

Another haughty bloodsucker.......
YOU THINK YOU ARE GOD ,
BUT YOU ARE ONLY A CHUNK OF SHIT

Eine der Routinen des Virus löst auch den Effekt der weglaufenden Icons aus. Wenn der Benutzer versucht, auf ein Icon zu klicken, ändert es sofort seine Lage, so ist der Anwender nicht im Stande, die entsprechende Anwendung zu starten :

"In diesem Fall haben wir mit einem sehr komplexen und technisch fortgeschrittenen Computervirus zu tun. Der Virus hat in sich die wirksamsten Methoden zu dessen Verbreitung, Infektion, Tarnung aufgenommen. Er hat eine sehr gefährliche Schadensroutine," so Denis Zenkin, Chef des Informationsdienstes bei Kaspersky Lab. " 'Magistr' ist ein Beispiel für eine erfolgreiche Kreuzung der überwältigenden Geschwindigkeit von dem Virus 'ILOVEYOU' und des extrem hohen destruktiven Potenzials von 'Chernobyl' ," so Zenkin weiter.

Mit Rücksicht auf die Gefahr und die Verbreitungsgeschwindigkeit des Magister-Virus empfehlen wir Anwendern, die Kaspersky Antiviren-Datenbank so schnell wie möglich zu aktualisieren. Ein Update zum Schutz vor diesem Virus wurde der Antiviren-Datenbank bereits hinzugefügt.