happy99 Virus, Virensuchutz, Virus, Viren, allgemeiner Virenschutz

Allgemeiner Virenschutz

Meiner Ansicht nach berichtet die Presse in unzureichender Weise über das eMailvirus „I love you“. Eine Gefahr besteht prinzipiell nur dann, wenn man angehängte Dateien über Doppelklick öffnet. 

 

www.rolf-keppler.de 
Bestellshop
Impressum

Ich persönlich öffne prinzipiell keine angehängten Dateien per Doppelklick.
Folgender Auszug aus „Expertentipp aus PC-Welt 4/98: E-Mail und Makrovirengefahr“ hilft Ihnen weiter.

...Wenn Sie einen Winword-Text mit allen Formatierungen benötigen, hilft Ihnen das nicht weiter. In diesem Fall können Sie zu einem zuverlässigen Trick greifen, der anders als alle anderen Schutzmaßnahmen bei sämtlichen Winword-Versionen funktioniert und bislang nirgendwo empfohlen wurde: Verwenden Sie den Word-Befehl „Einfügen - Datei“ um die bewusste Datei zu lesen und weiterzuverarbeiten.

Sie erhalten dabei den kompletten, formatierten Text - aber eventuell enthaltene Makros bleiben außen vor. ...

Für Anfänger erkläre ich dies nochmals. Legen Sie irgendwo auf ihrer Festplatte einen Ordner mit dem Ordnernamen z.B. „Müll“ an. Klicken Sie mit der rechten Maustaste auf die angehängte Datei. Klicken sie auf Kopieren. Öffnen sie ihren Ordner „Müll“. Klicken Sie auf „Einfügen“. Nun befindet sich die angehängte Datei im „Müllordner“. Starten Sie Word und klicken sie auf der Symbolleiste auf Einfügen – Datei.
Nun suchen Sie den Müllordner und klicken die angehängte Datei an. Die Datei können sie nun ohne jegliche Virengefahr in Word lesen.
Der gleiche Vorgang gilt auch für angehängte Bilder. Anstatt auf Einfügen - Datei klicken Sie auf Einfügen - Grafik. Diese Vorgehensweise benötigt mehrere Arbeitsschritte, erfordert daher für viele Selbstdisziplin, bewahrt aber die Freude am Erhalt ihres Festplatteninhaltes.
Auf die gleiche Weise können sie auch Dateien auf Disketten ohne Gefahr öffnen und lesen.

Offensichtlich kann aber auch direkt über ein eMail, das im html Format ankommt, ein Virus in einem Script versteckt sein und beim Lesen des eMails aktiviert werden. Damit Sie diese Sicherheitslücke schließen können, empfehle ich Ihnen folgenden Tipp, den ich aus iX 6/2000 zitiere:

Outlook und Outlook Express besser sichern

Microsofts E-Mail-Clients Outlook Express und Outlook 2000 können in HTML formatierte eMails darstellen. Dafür verwenden sie Komponenten des Internet Explorer und unterliegen den Internet-Sicherheitseinstellungen. Sofern eine HTML-formatierte E-Mail Scripts enthält, werden diese ausgeführt. Das On-Load-Ereignis einer HTML-Seite wird schon ausgeführt, wenn man die Mail nur in der Voransicht betrachtet.
Es reicht also, dass sie im Mailprogramm durch einen Wechsels des Ordners den Fokus bekommt, um ein Skript zu starten, denn das Skript steht im Body der E-Mail, nicht im Attachment. Zwar kann dieses Skript gemäß den Standardeinstellungen keine nicht sicheren COM-Klassen instanziieren, aber es gibt dennoch einige Möglichkeiten, auf diesem Wege unangenehme Aktionen auszuführen.

Dagegen kann sich schützen, wer die Sicherheitszoneneinstellungen des Mailreaders verändert:
- Ändern Sie die Einstellung des E-Mail-Clients so, dass für ihn nicht mehr wie im Standard die Sicherheitszone 'Internet' gilt. Stellen Sie die Zone  auf  'eingeschränkte Sites'.

In Outlook Express 5.0 und Outlook 2000 erreichen Sie Option jeweils über 'Extras/Optionen/Sicherheit' .
- Da aber diese Zone wie alle anderen  Active Scripting zulässt, müssen Sie die Zone manuell verändern. Rufen Sie 'Systemsteuerung/Internetoptionen' auf. Im Register 'Sicherheit' wählen Sie 'Eingeschränkte Sites' und dann 'Stufe anpassen', reaktivieren Sie dort alle Scripting-Features oder setzen Sie sie zumindest auf 'Eingabeaufforderung', was zu einer Nachfrage führt, wenn sich im Body der E-Mail ein Skript befindet.


Virus - happy99.exe

Vor kurzem habe ich ein Virus mit Namen happy99.exe eingefangen. Ich bin auf folgende Seite von Data-Tech aufmerksam gemacht worden:
http://www.data-tech.de/news/happy99.htm

In dieser Seite kommt eine Anleitung zwecks Eliminierung von happy99.exe die bei mir nicht funktioniert und nicht geholfen hat, da ich zwei wsock32.dll Dateien hatte.

Trotzdem stehen in dieser Seite ein paar wertvolle Hinweise. Diese Hinweise zitiere ich hier nun: Das happy99.exe-Virus wird mittels einer zweiten Email (vom Versender unbemerkt) nachgesendet und verbreitet.
Es verändert (patched) die Datei wsock32.dll. Sollten Sie eine Datei happy99.exe erhalten und ausgeführt haben, sehen Sie ein Feuerwerk (gif-Animation). Die Veränderung bringt Outlook und Outlook Express zum Absturz, insbesondere, wenn Sie Dateien jeder Art an die Email anhängen wollen.
Es kann aber auch zu ganzen Systemabstürzen führen und Netzwerke lahm legen.

Bei mir selber hat das Versenden von eMails mit angehängten Dateien nicht mehr funktioniert. Ich selber habe kein Feuerwerk gesehen, da ich grundsätzlich keine unbekannten Dateien öffne. Trotzdem hat sich das Virus bei mir eingenistet.

Habe ich das Virus?

Prüfen Sie Ihr Windows System Verzeichnis (Windows System32 Verzeichnis in Windows NT), ob darin eine Datei wsock32.ska vorhanden ist. Wenn ja, dann ist Ihr System infiziert.

Eine Suche starten Sie folgendermaßen:
Start - Suchen - Dateien/Ordner - bei Name wsock32.ska eingeben, auf allen Festplatten suchen lassen, Häkchen vor untergeordnete Ordner machen - starten anklicken. Wenn nun die Datei wsock32.ska gefunden wird, ist ihr System infiziert.

Diese vorgenannte Prüfung habe ich auch durchgeführt, nachdem ich die Happy99.exe Virusdatei erfolgreich eliminiert habe.
wsock32.ska war nicht mehr vorhanden. Ich kann also nun wieder guten Gewissens  eMails senden. Einer meiner Bekannten hat mir folgende Anleitung zugesandt, mit der eine erfolgreiche Eliminierung gelang. Falls jemand nicht englisch kann, und er Probleme hat, werde ich folgendes ins Deutsche übersetzen.
Folgendes schriftlich ausdrucken lassen:

To remove the Happy99 virus, proceed as follows:

Boot to MS-DOS and type cd\ and enter

At the c prompt type: cd windows and enter

At the c:\windows prompt   type: cd system and enter

c:\windows\system   type: ren wsock32.dll wsock32.bad and enter

c:\windows\system     type: ren wsock32.Ska wsock32.dll and enter

c:\windows\system     type: del Ska.exe and enter

c:\windows\system     type: del Ska.dll and enter

c:\windows\system     type: del liste.ska and enter

>> The above is sufficient to stop the worm from working

>> Restart windows.

Aufgrund der Anfragen, mache ich nun eine Anleitung in Deutsch, die beschreibt, wie man den den happy99 Virus eliminiert:
Als erstes muss man in die DOS-Ebene kommen: Start - Programme - MS-DOS-Eingabeaufforderung
Nun erscheint ein überwiegend schwarzer Bildschirm, auf dem man hinter c:\windows>Daten eingeben, (bzw. tippen) kann. Ich habe mich an die englische Anleitung gehalten und war erfolgreich. Das heißt ich habe auch nach Anleitung die Groß- und Kleinschreibung von Ska und ska beachtet.
Bitte auch die Leerzeichen beachten. Also nicht cdwindows, sondern
cd windows eingeben.
Den umgekippten Schrägstrich \ erhält man durch Drücken der Taste Alt Gr und der Taste beim Fragezeichen. Nun die Anleitung für die Eliminierung von happy99:

Start - Programme - MS-DOS-Eingabeaufforderung

(tippe:)   cd\ (und nun Eingabetaste drücken)

(Nach)  C:\    (tippe:)   cd windows (und nun Eingabetaste drücken)

(Nach) C:\windows>    (tippe:) cd system  (und nun Eingabetaste drücken)

(Nach) C:\windows\system>   (tippe:)    ren wsock32.dll wsock32.bad  (und nun Eingabetaste drücken)

(Nach) C:\windows\system>     (tippe:)   ren wsock32.Ska wsock32.dll  (und nun Eingabetaste drücken)

(Nach) C:\windows\system>     (tippe:)   del Ska.exe   (und nun Eingabetaste drücken)

(Nach) C:\windows\system>     (tippe:)   del Ska.dll   (und nun Eingabetaste drücken)

(Nach) C:\windows\system>    (tippe:)   del liste.ska   (und nun Eingabetaste drücken)

Dies müßte nun genügen, damit der Virus beseitigt ist.

Windows neustarten

Start - Suchen - Dateien/Ordner - bei Name wsock32.ska eingeben, auf allen Festplatten suchen lassen, Häkchen vor untergeordnete Ordner machen - starten anklicken. Wenn nun die Datei wsock32.ska nicht mehr auffindbar ist, ist die Virusdatei happy99.exe beseitigt.

Wie gesagt, obiges hat mir erfolgreich geholfen.
Folgendes möchte ich noch aus der obigen Seite von Data-Tech zitieren:

Wie kann ich mich schützen?
Versehen Sie die Datei wsock32.dll mit dem Attribut "schreibgeschützt" (Datei suchen: wsock32.dll markieren, Menü "Datei", Eigenschaften": Häkchen vor "schreibgeschützt" durch Anklicken setzen. Dann "Übernehmen".)

Mein Programmierer ist der Meinung, dass ein T-online Teilnehmer nicht mehr eMailen und Surfen kann, wenn er die Datei wsock32.dll schreibschützen tut. Womöglich gilt dies auch dann wenn sie einen ähnlichen Provider benützen, der "winsock32.dll quasi" ersetzt. Also probieren Sie aus, ob Sie noch Surfen oder eMailen können, nachdem Sie die Datei wsock32.dll schreibgeschützt haben.
Zwei T-online Teilnehmer mit neuester Software, teilten mir mit, dass Sie die wsock32.dll schützen konnten.

Wen habe ich infiziert?

Alle Emailadressen an die Sie unbemerkt das Virus verschickt haben, finden Sie im Windows System Verzeichnis in der Datei liste.ska (=Textdatei). Öffnen Sie die Datei mit WordPad und benachrichtigen Sie alle Empfänger.

Prinzipiell rate ich dazu keine unbekannten Dateien öffnen.
Öffnen Sie nur die angehängten Dateien von Bekannten, denen Sie einigermaßen vertrauen, und von denen im Text auf die angehängte Datei verwiesen wird.

Falls Sie von dem Virus befallen sind, wünsche ich nun eine erfolgreiche Eliminierung.