Anhand des Computervirus "WORM_FRETHEM.K" (alias "W32.Frethem.K@mm"
oder "W32/Frethem.k@mm") möchten wir Ihnen exemplarisch
zeigen, wie derartige Virenangriffe von uns abgewehrt werden.
Zur Einleitung möchten wir kurz die technischen Details und
die Wirkungsweise dieses Virus erläutern. Er besitzt keine
direkt destruktiven Eigenschaften (z.B. das Löschen von Dateien),
sondern "beschränkt" sich auf seine Weiterverbreitung.
Das heißt konkret:
- |
Aufruf durch Voransicht in Outlook: Die Aktivierung dieses
Virus erfolgt bereits durch das Öffnen des eMails bzw.
durch das Öffnen in der Voransicht von Outlook. |
- |
Automatische Verbreitung: Der Virus besitzt einen eingebauten
eMail-Server, mit dem er selbsttätig eMails an die in Ihrem
Windows-Adressbuch gespeicherten Empfänger verschickt.
So wird die Verbreitung sichergestellt. |
- |
Automatischer Start beim Booten: Beim ersten Ausführen
des Virusprogramms legt dieses seine Startdatei im Windows-Ordner
ab und verändert außerdem die Windows-Registrierungsdatei,
um beim Bootvorgang automatisch gestartet zu werden. |
- |
Web-Site: Der Virus stellt Verbindungen über HTTP zu
einer Serie von ca. 40 Web-Sites her und produziert somit unnötigen
Datenverkehr. |
TIWAG wurde über das Auftreten dieses Virus per SMS
am 15.7.2002 um 12:14 Uhr informiert. Zu diesem Zeitpunkt war das
Virusscanning-System der TIWAG bereits auf dem aktuellsten
Stand (seit 12:00 Uhr, die Virenmuster werden vollautomatisch stündlich
aktualisiert). Bereits kurz nach 12:00 Uhr gingen die ersten Warnungen
bei uns ein, dass versucht wird, den Virus per eMail an unsere Kunden
zu schicken, und der Virus daher vom System entfernt wurde. Seit
dem Auftreten des Virus wurde seine Verbreitung über Ti·econet
durch dieses System bereits über 200-mal verhindert.
Die nachstehende Grafik zeigt, dass der Virus praktisch nur zu Bürozeiten
aktiv ist, da der Virus zu seiner Verbreitung in Outlook geöffnet
werden muss. Auch zeigte sich dieser Virus äußerst kurzlebig,
bereits seit dem 17.7. ist er nicht mehr aufgetreten.
|