Magistr-Virus - Meister im Tarnen und Zerstören

Kaspersky Labs warnt vor einem neuen Virus namens Magistr. Der Virus stammt laut Kaspersky nicht aus der Feder eines Script-Kiddies, sondern nutzt fortgeschrittene Methoden für die Tarnung, Verbreitung und Schadensfunktion.

Den Kommentaren im Virus-Body nach zu urteilen, stamme der Schädling von einem Hacker aus Malmö, Schweden, der sich selbst als "The Judges Disemboweler" bezeichnet. Über drei Wege findet Magistr laut Kaspersky Labsden Weg auf den PC: Erstens via E-Mail, wobei nicht nur wie gewohnt Outlook, sondern auch Internet Mail und Netscape Mail als Distributor herhält. Zweitens über infizierte Dateien auf Servern in lokalen Netzwerken und drittens über Dateien von Disketten, dem Internet oder anderen Speichermedien.

Wird eine infizierte Datei ausgeführt, startet Magistr sein umfangreiches Zerstörungswerk. Er infiziert das Systems, verschickt sich selbst und versucht einen Monat nach der Infizierung das System unbrauchbar zu machen. Laut Anti-Virenhersteller Symantec ist Magistr unter den Aliasen Worm.Magistr, PE_MAGISTR.A, W32.Magistr@mm bekannt.

Die Schadensladung ist dabei laut Kaspersky Lab an Aggressivität kaum zu übertreffen. Magistr zerstört unter Windows 2000/NT alle Dateien auf lokalen und verbundenen Laufwerken. Dabei ersetzt er den Inhalt der Dateien mit dem String "YOU ARE SHIT". Unter Windows 95/98 gibt sich der Schädling damit nicht zufrieden, sondern verwirft zusätzlich die CMOS-Einstellungen und wenn möglich die Daten im FLASH-BIOS. Ist dieses Werk vollendet, gibt er folgende Meldung aus:

"Another haughty bloodsucker.......YOU THINK YOU ARE GOD , BUT YOU ARE ONLY A CHUNK OF SHIT".

Zur Selbstverschickung scannt das Virus die Adressbücher von Outlook, Netscape Mail und Internet Mail. Für diese Aufgabe bringt Magistr eine eigene DAT-Datei mit Informationen über Mailprogramme mit. Laut Kaspersky zeigt sich in der Tarnung dieser Datei schon der fortgeschrittene Hacker. Der Name der Datei wird mittels Zufallsgenerator aus dem Computernamen gebildet. Der erste Buchstabe, den der Zufallsgenerator ausgibt, entscheidet dann wieder darüber, wo die Datei auf C: gespeichert wird. Wahlweise im Stamm- oder im Programm-Verzeichnis.

Ist diese Aufgabe erledigt, sorgt Magistr für Nachwuchs. Er sucht den SMTP-Server heraus, mit dem der infizierte PC verbunden ist, und beginnt, Mails mit PE-, EXE- oder SCR-Dateien unter 132 KByte-Größe zu verschicken. Nach dem Motto "Tarnen und Täuschen" versieht er die Dateien mit Namen, die er von DOC- oder TXT-Dateien auf dem befallenen Rechner bezieht. Wahlweise verfügt Magistr für die Namensgebung in seinen Bordmitteln auch über einige englische, französische und spanische Phrasen. Der Body selbst enthält keinen Text. Die zufällige Namensvergabe soll Virenscannern die Suche nach Magistr erschweren. Damit aber nicht genug. Beim Verschicken macht der Virus die Absenderadresse unbrauchbar. So sind weder Warnungen an den Absender möglich, noch kann der Absender selbst feststellen, ob von seinem Rechner unauthorisierte Mails abgehen. Bereits beim Ausführen der Datei infiziert das Virus alle EXE-PE-und SCR-Dateien. Außerdem trägt er sich in die WIN.INI und die Registry ein.

Der Virus selbst besteht aus drei Teilen, zwei davon sind mit einem polymorphen Algorithmus verschlüsselt. Wird eine infizierte Datei ausgeführt, klinkt sich Magistr ein und leitet auf den verschlüsselten Hauptteil über. Erst wenn der gesamte Code abgearbeitet ist, so schreibt Kaspersky Lab, wird die mit der jeweiligen Datei verbundene Anwendung gestartet.

Laut Kaspersky kann der Schädling wegen seines Verbreitungs- und Schadenspotenzials als gefährliche Kreuzung zwischen ILOVEYOU- und Chernobyl-Virus angesehen werden. Mit einem Update auf die aktuellen Virensignaturen werde Magistr erkannt und beseitigt, versprechen die Hersteller von Antiviren-Software wie etwa Kaspersky und Symantec.

Zusätzliche Informationen finden Sie im Grundlagenartikel zu Computerviren und im Virenscanner-Test. (uba)