"Magistr" Zeitbombe auf der Festplatte

Niemand weiß bisher, wie gefährlich das Virus "Magistr" wirklich ist. Der E-Mail-Wurm verbreitet sich langsam, "schläft" bis zu einem Monat - und zerstört Rechner.


[M] DPA

Als Virenexperten am Dienstag letzter Woche erste Informationen über Magistr erhielten, begann zunächst einmal eine Debatte darüber, wie gefährlich das Virus wirklich ist: Bekannt wurden nur sehr wenige Fälle, doch diese waren gravierend. Nach einer Woche zeichnet sich nun das Bild eines außerordentlich tückischen E-Mail-Wurms ab, der sich zwar nur sehr langsam durch das Web bewegt, aber weit gefährlicher scheint, als seine Vorläufer der letzten zwei Jahre.

Magistr erreicht seine Opfer, ähnlich wie zuvor "Kournikova" oder Anfang des Monats "Naked Wife", als E-Mail-Attachment. Da er aber nicht umgehend aktiv wird, sondern eine derzeit auf einen Monat geschätzte "Pause" einlegt, wird er womöglich auch über gebrannte CDs und über Disketten weitergetragen. Mit Sicherheit verbreitet sich das Virus innerhalb von Local Area Networks wie zum Beispiel Firmen-Netzwerken.

Besonders tückisch: Magistr ist nur per Virenscanner zu erkennen, er wechselt seine Gestalt ständig.

Nachdem er per E-Mail auf einem Rechner eintrifft, liest er die Informationen des Outlook-Express-, aber in diesem Fall auch des Netscape-Messager-Adressbuches aus und bereitet seine Selbstversendung vor. Betroffen sind, anders als bei vielen seiner Vorgänger, die es gezielt auf Nutzer von Outlook abgesehen hatten, Nutzer aller SMTP-basierten Mailprogramme.

Im Gegensatz zu den meisten E-Mail-Würmern wechselt er dabei ständig seine Gestalt: Er "borgt" sich Worte aus anderen E-Mails, aber auch aus Word-Dokumenten und schreibt eine neue Betreff-Zeile - und versendet das alles zusammen mit einer E-Mail, die aus einer in der Regel sinnlosen Patchwork-Nachricht besteht, die Magstr aus anderen Nachrichten entnimmt.

Magistr: Halb Wurm, halb Trojaner

Entsprechend gibt es im Fall Magistr noch nicht einmal eine gleich bleibende Betreff-Zeile, vor der man warnen könnte. Einziges Merkmal der Viren-Message: Sie enthält sechs Attachments.

Fünf davon sind nicht infizierte Dateien, die sich Magistr von der Festplatte des letzten Opfers borgt - nach Zufallskriterien ausgewählte .js, txt und doc-Dateien. Zum Rechnerschaden kommt hier unter Umständen der Imageschaden, wenn das Virus vertrauliche Dokumente an Bekannte oder Geschäftspartner verschickt.

Das sechste Attachment scheint eine BMP-Datei zu sein, ein Bild. Dieses enthält jedoch - in maskierter Form - eine Exe-Datei. Klickt man auf das Bild, aktiviert man das Virus - das umgehend seine Arbeit beginnt.

Die ist - ebenfalls im Gegensatz zu Kournikova und Co - mit der Selbstvervielfältigung nicht getan. Erst nach etwa einem Monat beginnt das Virus seine eigentliche Arbeit: Magistr zerstört Dateien und Systemeinträge, bis der Rechner noch nicht einmal mehr gestartet werden kann. Dateien löscht er nicht nur, sondern überschreibt sie und macht damit eine Wiederherstellung in aller Regel unmöglich.

Damit vereint Magistr Wurm-Eigenschaften mit Charakteristiken von Trojaner-Viren: Zur Selbstvervielfältigung und -verteilung kommt das - wenn auch anscheinend unzielgerichtete - Ausschnüffeln der Festplatte und das zerstörerische "Finale".

Nach Angaben des Virenschutzsoftware-Herstellers Pelican Security ist das alles mehr als nur ein Fall für "Format C" und einen Neubeginn: Da Magistr auch das CMOS und das Flash BIOS von Rechnern, die Windows 95, 98 und ME nutzten schädige, bliebe danach nur noch die Reparatur durch einen Fachmann.

Dass Magistr gefährlich ist, darüber herrscht inzwischen Einigkeit. Einige Virenschutz-Softwarehersteller stufen das Virus trotzdem als "low risk" ein, weil es sich nur langsam verbreite. Das, halten andere dagegen, könne man noch gar nicht wissen. Schließlich weise das Virus eine ungewöhnlich lange "Inkubationszeit" auf.

Debattiert wird derzeit auch noch über die Urheber: Manche Experten glauben, dass nur "Profis" als Programmierer in Frage kommen. Ein Indiz für diese These sei, dass Magistr den Selbstversand über ein eigenes, "mitgeliefertes" E-Mail-Programm erledige - unmerklich für den User. Das sei schon ziemlich fortgeschritten und erfordere mehr Können, als die Verbreitung eines Kournikova-Virus, das man sich auch mittels frei verfügbarer Viren-Baukästen zusammenschustern könne.

Die einzige Möglichkeit, sich gegen Magistr zu schützen, ist die Überprüfung mit einem aktualisierten Virenscanner. Symantec (Norton Antivirus) bietet bereits einen Schutz, Trend Micro ebenfalls. Da gerät die Bedrohung zur besten Produktwerbung: Tatsächlich ist ein Update anzuraten. Ganz wie im richtigen Leben: Wenn die Grippe tobt, feiert die Pharma-Industrie.

Frank Patalong



© SPIEGEL ONLINE 2001
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.