Virus.Win32.AutoRun.ah

Maxtor: Viren-verseuchte Festplatten ausgeliefert

Der Antivirus-Hersteller Kaspersky Labs hat auf mehreren externen Festplatten des Herstellers Maxtor einen Virus entdeckt. Wird das Laufwerk an einen PC angeschlossen und geöffnet, infiziert der Virus den Rechner.

Nachdem Aldi gerade erst Medion-Notebooks mit einem Bootsektorvirus ausgeliefert hat, meldet der Antivirus-Hersteller Kaspersky Labs einen neuen Virenfund aus Holland. Auf externen Festplatten des Typs Maxtor 3200 Personal Storage haben die Virenforscher den Schädling "Virus.Win32.AutoRun.ah" entdeckt. Da der Virus auf mehreren Exemplaren der Festplatte zu finden ist, geht Kaspersky Labs davon aus, dass eine ganze Produktions-Charge betroffen ist.

Wird eine solche Festplatte an den Rechner angeschlossen und das Laufwerk im Explorer geöffnet, kopiert sich der Virus automatisch auf die lokale Festplatte des Computers. Dies geschieht, weil der Virus im Hauptverzeichnis der externen Festplatte eine Datei "autorun.inf" abgelegt hat, die Anweisungen für das Verhalten beim ersten Zugriff auf das Laufwerk enthält. Ähnlich wie bei CD-ROMs sucht Windows nach einer solchen Datei und führt die Anweisungen aus.

Der Schädling installiert sich als "csrss.exe" im Verzeichnis \Windows\System32\config\ sowie als "arona.exe" im Windows-Verzeichnis. Ferner legt er im System-Verzeichnis eine Batch-Datei namens "logon.bat" an, für die er in der Registry einen Eintrag zur automatischen Ausführung beim Windows-Start vornimmt:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
"Worms" = "%System%ogon.bat"

Außerdem legt er die besagte autorun.inf in \Windows\System32\config\ sowie in den Hauptverzeichnissen der Laufwerke F: bis L: an. Wird eines dieser Laufwerke von Windows eingebunden, wird die Datei \Windows\System32\config\csrss.exe ausgeführt. Die Aufgabe des Schädlings ist es, Passwörter für Online-Spiele zu stehlen. Ferner sucht er auf den Laufwerken C: bis H: nach MP3-Dateien und löscht diese. (PC-Welt/mja)