News
02.11.2001, 15:30 Uhr
W32.ElKern
Dieser Virus verbreitet sich über Netzwerkfreigaben und ist mit einer Schadensfunktion ausgestattet, die am 13. Tag eines Monats versucht, alle Dateien zu überschreiben.
Wird der Elkern-Virus (z.B. durch Starten einer infizierten Datei) ausgeführt, legt er eine Kopie von sich unter dem Namen WQK.EXE im System-Ordner ab (bei WinNT/2000 heisst die Datei WQK.DLL). Diese trägt er anschliessend in der Windows Registry ein, und zwar in diesen Schlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Unter WinNT oder Win2000 schlägt der Versuch des Virus fehl, die abgelegte WQK.DLL in die Registry einzutragen.
Nun infiziert der ElKern-Virus alle ausführbaren Dateien im Windows System-Ordner (z.B. in C:\Windows\System) und sucht auf allen vorhandenen Netzwerkfreigaben nach weiteren Dateien, die er anstecken kann. Gemäss der Virenbeschreibung von Symantec [1] stürzt der Virus ab (auch so was gibt’s!), sofern er auf einem PC mit Windows NT oder Windows 2000 gestartet wird. Und Windows 9x/ME stürzt ab, wenn der Virus versucht, Dateien auf einer schreibgeschützten Netzwerkfreigabe zu infizieren. Der finnische Antivirus-Hersteller F-Secure will sogar herausgefunden [2] haben, dass W32.ElKern wegen eines Bugs (Programmierfehlers) auf keinem anderen Betriebssystem als Windows 98 "funktioniert".
Der Schadens-Teil des Virus hat's in sich: Jeweils am 13. September und 13. März zerstört der Virus alle Dateien auf allen lokalen und verbundenen Laufwerken. Ausserdem bestehe eine kleine "Chance", dass dieser Schadensteil schon zuschlägt, wenn der Virus gestartet wird.
Übrigens sind auch Benutzer ohne Netzwerk gefährdet, denn dieser Virus wird als zusätzliches "Mitbringsel" eines E-Mail-Wurms namens W32/Klez verbreitet. Dessen Beschreibung finden Sie auch im PCtip-Virenticker [3].
Wessen PC bereits angesteckt ist, sollte die Virendefinitionen noch einmal aktualisieren und alle Dateien auf allen Laufwerken nach Viren scannen. Was sich durch den Virenscanner nicht säubern lässt, ersetzen Sie durch Original-Dateien oder durch Dateien ab einem (sauberen) Backup. Die Datei WQK.EXE bzw. WQK.DLL löschen Sie ersatzlos. Diese Datei trägt übrigens das Attribut "Versteckt", deshalb müssen Sie den Windows-Explorer über ANSICHT/ORDNEROPTIONEN, im Register ANSICHT durch Ankreuzen der entsprechenden Option dazu bringen, alle Dateien anzuzeigen. Zusätzlich ist der Registry-Eintrag des Virus zu entfernen.
Hierbei bitte grösste Vorsicht walten lassen:
Menü START/AUSFÜHREN, Eintippen von REGEDIT und die Enter-Taste drücken.
Klicken Sie sich zu diesem Registry-Schlüssel durch und klicken ihn einmal an, damit er markiert ist:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
In der rechten Fensterhälfte des Registry-Editors sollten Sie jetzt den WQK-Eintrag entdecken. Klicken Sie ihn mit Rechts an und wählen Sie im Kontextmenü den Punkt LÖSCHEN. Schliessen Sie den Registry-Editor.
Kommentare
Es sind keine Kommentare vorhanden.