zur�ck zur Hauptseite
english version  english version
letzte Meldungen
Praktische Anleitung zum PC-Eigenbau
Diskussionsforum rund um den PC!
Tests, Infos und W�rterb�cher!

Tips & Trick f�r Microsoft Produkte!
Editoriales - interessante Berichte im Bereich der IT
Viren: Prophylaxe, Erkennung und Entfernung
Infos zu den neuesten DVDs, deren Features und auch zur DVD Hardware
Login zu Deinem pers�nlichen Bereich
Username:
Passwort:
Nur nicht kontaktscheu. Schreiben Sie uns!



Domains schnell & einfach registrieren.
 
 Aktuelle Testberichte 

Direkt zum Video!
Shark Zone H30
Gaming Headset
Direkt zum Video!
Belkin Charge Dock für
Apple Watch/iPhone
Direkt zum Tes!
TrekStor SufTab duo W1
Volks-Tablet
Direkt zum Test!
BABYLON-PRO

EPSON DX3850

UMFRAGE
Kaufst Du PC, Handy etc. Elektronikartikel bei Lebensmittel-Discountern?
Sehr oft
Nur bei Super-Angeboten
Nein, aber ich achte darauf
aus Prinzip nicht
MEDIONshop
 Testberichte 
H�ttest Du's gewu�t?
Die optimale Bildschirmeinstellung
AAPC zeigt, wie's geht!
 Viren 
0 Aktuelle Schn�ppchen
AAPCSI
Der All About PC Schn�ppchen Index: Statistik: Anzahl Schn�ppchen pro Tag
AAPC Newsletter
 Neues aus dem Forum 
FOREN BEI AAPC:   HARDWARE   SOFTWARE   DVD


Gefahr

   

 Verbreitung 

   

Name des Virus

W97M/Suppl

Typ

Makrovirus

Infizierung:
Der Virus "W97M/Suppl" verbreitet sich über Emails. Die Email hat einen Anlage "SUPPL.DOC", das intuitiv mit einem Word-Dokument in Verbindung gebracht wird. Öffnet man die Anlage und hat in Word die Makrowarnung ausgeschaltet, so wird der Virus aktiviert.

Schadensroutine:
a) Die Datei "SUPPL.DOC" besitzt einen Makro-Code, der die Routinen in den DLL-Dateien LZ32.DLL und KERNEL32.DLL ausnutzt. Der Virus schreibt 4 neue Dateien in den Windows-Ordner:

WININIT.INI ( 143 Bytes)
DLL.LZH ( 6,712 Bytes)
DLL.TMP (16,384 Bytes)
ANTHRAX.INI (38,968 Bytes)

Die Datei DLL.TMP ist ein Trojanisches Pferd für die WSOCK32.DLL. Die WININIT.INI-Datei ist dafür zuständig, daß beim nächsten Systemstart die WSOCK32.DLL in WSOCK33.DLL umbenannt wird und anschließend die DLL.TMP in WSOCK32.DLL. Die Datei DLL.LZH wird gelöscht. Damit hat das Trojanische Pferd die WSOCK32.DLL übernommen. Von nun an wird in jede Email, die über den SMTP-Email-Client gesendet wird, als Anlage die Datei "SUPPL.DOC" angehängt und der String "Anthrax" ist in dieser Mail.
b) Ungefähr 163 Stunden nach der ersten Infizierung ihres PCs wird die "trojanische" WSOCK32.DLL alle Dateien mit den Endungen .doc, .xls, .txt, .rtf, .dbf, .zip, .arj, .rar auf den lokalen Festplatten (physikalische und gemappte) suchen und setzt sie auf Null-Länge.

Schutz & Entfernung:
Starten Sie Ihren PC im MS-DOS-Modus und tauschen Sie die "WSOCK32.DLL" durch Ihre "WSOCK33.DLL" aus. Starten Sie Ihren PC neu.

Bemerkungen:
Das Vorhandensein der "WSOCK33.DLL" wird den Internetwurm davon abhalten ihr System anzugreifen. Anthrax gab es früher schon einmal. Dies ist ein sehrt alter DOS-Virus.

 Zurück 
 Zur Virenübersicht 
 Virusbeschreibung per Email senden 
 Virusbeschreibung ausdrucken 

Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt. Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind verboten. 
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus etwaig entstehenden Schaden keine Verantwortung übernommen werden.