SHS-Viren entlarven (Tipp)

Als vorsichtiger PC-User speichern Sie ein Mail-Attachment schon vor dem Öffnen auf die Festplatte, um es anschliessend nach Viren zu scannen. Findet das Antivirenprogramm keinen Schädling, und handelt es sich nur um eine Text-Datei, wird das File meist bedenkenlos geöffnet.

Dies kann seit Mitte Juni böse Folgen haben: Es ist ein neuer Virentyp aufgetaucht, der wie der LoveLetter-Wurm auf VBS (Visual Basic Script) basiert. Entgegen der bereits von "ILOVEYOU" bekannten Doppelendung ".TXT.VBS" verbirgt der Stage-Virus sein wahres Gesicht hinter der noch verfänglicheren Doppelendung ".TXT.SHS". Da Windows die wirkliche Endung ".SHS" stillschweigend unterschlägt, halten Sie die Datei auch nach dem Speichern womöglich immer noch für eine harmlose Text-Datei. Windows bietet nur wenige Möglichkeiten, eine SHS-Datei eindeutig als solche zu erkennen. Wir sagen Ihnen aber, welche:

Bringen Sie Windows 95 und 98 das Anzeigen der SHS-Endung bei. Starten Sie dazu den Registry-Editor über "Start/Ausführen", Eintippen von "regedit" und Drücken der Enter-Taste. Lassen Sie bei dem, was jetzt folgt, grösste Vorsicht walten! Eine Fehlmanipulation in der Windows Registry kann fatale Folgen haben.

Gehen Sie zum Key "HKEY_CLASSES_ROOT/ShellScrap". Dort finden Sie einen Schlüssel, der "NeverShowExt" heisst. Rechtsklicken Sie diesen und wählen Sie "Umbenennen". Aus "Never" machen Sie "Always", so heisst der Key am Schluss "AlwaysShowExt". Drücken Sie "Enter" und schliessen Sie den Registry-Editor. Spätestens nach dem nächsten PC-Start offenbart Ihnen Windows unverblümt jede SHS-Endung, egal hinter welcher Doppel-Endung sich die Datei verstecken mag. Sie wagen sich nicht an die Registry heran? Kein Problem, denn Sie können solche Dateien auch anders entlarven. Jede Datei trägt unter Windows neben dem meist längeren Windows-Namen auch noch einen MS-DOS-Namen, der sich an die alte Konvention "8.3" (acht Zeichen, Punkt, drei Zeichen) hält. Dem DOS-Namen kann man kein "X für ein U", und keine SHS- für eine TXT-Endung vormachen. Wenn Sie mit der rechten Maustaste auf eine SHS-Datei klicken und die "Eigenschaften" wählen, sehen Sie den Dateinamen zwar stark abgekürzt, aber die Endung ist eindeutig. Ob und wie dies funktioniert, testen Sie am besten einfach einmal anhand einer selbst erstellten echten Text-Datei, die Sie nach dem Muster "dateiname.txt.shs" umbenennen.

Weitere Info über die Gefahr, die von SHS-Dateien ausgehen kann und über den Stages-Wurm im Speziellen erhalten Sie im PCtip-Virenticker [1] und bei zahlreichen Herstellern von Antivirensoftware. Besonders nützliche Dokumente fanden wir bei Stiller Research (über SHS allgemein) [2] und TrendMicro Deutschland (inklusive Reinigungs-Anleitung) [3].