Tipps & Tricks 08.08.2001, 07:30 Uhr

Sircam-Virus gelöscht: Was nun?

In meinem Compi (Windows 98) wurde von http://housecall.antivirus.com der TROJ-SIRCAM.A Virus in der Datei SirC32.exe aufgespürt. In meiner Panik habe ich diese Datei gelöscht und kann nun keine Anwendungsdateien mehr öffnen. Wie kann ich diese Datei wieder zurückholen? Der Virus ist nach erneutem Scannen mit Housecall nicht mehr auffindbar. Der Virus hat ein altes Word-Doc mit persönlichen Daten von mir an irgendwelche unbekannten Adressen geschickt. Konnte der Inhalt dieses Docs von den Empfängern gelesen werden? Muss ich alle meine gespeicherten E-Mail-Adressen vor dem Virus warnen? Haben ihn alle zwingend bekommen? Ich hatte keine Meldung im Postausgang und habe es nur bemerkt, weil einerseits einmal eine Unzustellbarkeitsmeldung zurückgekommen ist und andererseits ein Empfänger mir zurückgemailt hat, in der Annahme ich hätte etwas falsch verschickt.
Was Ihr PC braucht, ist nicht die Virendatei. Vielmehr braucht er ein Mittel, welches die Einträge, die der Virus in der Windows Registry gemacht hat, entfernt. Hierfür ist die Batchdatei zur automatischen Sircam-Beseitigung [1] aus unserem Downloadbereich bestens geeignet.
Der Inhalt Ihrer Word-Datei kann mit Windows-Bordmitteln nicht gelesen werden, ohne dabei den eigenen PC zu infizieren. Allerdings gibt es ein paar Zusatzprogramme, die einem neugierigen Empfänger dabei helfen, den Datei-Inhalt aus dem Virencode herauszulösen. Der Empfänger kann schlussendlich nichts dafür, dass er die Datei von Ihnen erhalten hat. Sie hingegen in gewisser Weise schon, denn Sie haben ursprünglich (etwas leichtfertig) die verhängnisvolle Mail-Beilage geöffnet, die Ihren PC ansteckte...
Es hat sich als gute Strategie herausgestellt, grundsätzlich jeder Mail-Beilage solange zu misstrauen, bis sie sich als sauber herausgestellt hat. Lesen Sie zu diesem Thema auch diese Webseite [2], die sich auf "Safe Hex" bezieht. Der Begriff "Safe Hex" ist (in Anlehnung an die Safe Sex Anti-Aids-Kampagne) der Fach-Jargon für sicheren Umgang mit dem Computer.
Gemäss der Virenbeschreibung der finnischen Virenexperten von F-Secure [3] versendet sich der Sircam-Wurm an alle Adressen im Windows Adressbuch, also jenes, das Sie normalerweise zusammen mit dem Outlook Express Mailprogramm verwenden. Eigentlich ist es nach einem bis zwei Tagen schon etwas zu spät dafür, an die dort gespeicherten Adressen eine Warn-Mail zu senden. Darüberhinaus liest der Wurm auch die temporär gespeicherten Webseiten im Ordner "Temporary Internet Files". Falls diese Webseiten eine Mail-Adresse enthalten, wird sich Sircam auch an diese versenden.
Dass Sie die versendeten Virenmails in Ihrem Mailprogramm nicht entdecken können, ist bei diesem Virus (und auch bei manchen anderen) völlig normal. Er benutzt für den Versand nicht Outlook, sondern bringt quasi einen eigenen kleinen Mail-Versender mit, der für seinen zweifelhaften "Job" lediglich eine Internet-Verbindung braucht.
Unser Rat: Senden Sie eine Warnung an jene ausgewählten Personen in Ihrem Windows-Adressbuch, von denen Sie denken, dass die durch den Virus versandte Mail ev. noch nicht gelesen wurde (Ferienzeit). Und vielleicht noch an die Personen, von welchen Sie annehmen müssen, dass auch diese beim Erhalt der Virenmail nicht skeptisch genug waren.



Kommentare
Es sind keine Kommentare vorhanden.