[HBF] Virus

Hartmut Laube atelier.laube at t-online.de
Don Mar 7 16:08:32 CET 2002


Servus Miteinander!
Info: was ist ein Hoax?
Ein HOAX ist eine Virenmeldung die nicht stimmt,
sondern dazu dient, die
Empfänger in Panik zu versetzen und sie u.U. dazu
zu bringen, harmlose und
notwendige Dateien von Ihrem Rechner zu löschen.
Ein Hoax lebt davon, dass
diese Schreckensmeldungen ungeprüft an alle
bekannten E-Mail Adressen
weiterverteilt wird.

Info: wie unterscheidet man einen Hoax von einem
echten Virus? Bevor Sie
andere Personen vor Viren warnen, sollten Sie also
verifizieren, ob Sie
einem HOAX aufsitzen oder ob es sich tatsächlich
um einen Virus handelt.
Alle wirklich gefährlichen, zerstörerischen Viren
werden im Radio oder
Fernsehen gemeldet und zwar meist wenige Stunden
nachdem sie in Umlauf
geraten, wie z.B. "I love you" oder "Melissa").
Des weiteren gibt es die
Möglichkeit in jeder beliebigen Suchmaschine den
Namen des angeblichen
Viruses einzugeben und sich Infos zu holen.
Probieren Sie es aus. Geben Sie
in google einfach den Suchbegriff SULFNBK.EXE ein
(Am besten mit der Option
"in deutschen Seiten suchen"). Nach Anklicken von
zwei Treffern ist klar,
dass dies kein Virus ist.

Info: wie schützt man sich vor Viren?
Ganz einfach: aktuelles Antivirenprogramm und
regelmäßiger Backup.

Info zum Hoax: SULFNBK.EXE
Eine Falschmeldung gefährdet die Existenz einer
harmlosen Windows-Datei. Es
wird behauptet, die Datei SULFNBK.EXE enthalte
einen Virus und wenn man sie
auf seinem Rechner findet, solle man sie löschen.

Davon muss dringend abgeraten werden!
Die Datei SULFNBK.EXE gehört zumindest ab Windows
98 zu Windows (98/ME).
Ihre einzige von Microsoft dokumentierte Funktion
ist die Wiederherstellung
langer Dateinamen nach einer (missglückten)
Deinstallation von Windows
98/ME. Siehe Artikel D36301 in der dt. Microsoft
Knowledge Base. Die
Buchstaben LFN in SULFNBK.EXE stehen mithin für
"long file names", BK fuer
"Backup". Die Existenz dieser Datei auf einem
Rechner ist kein Indiz für
eine Virusinfektion!

Eine völlig andere Situation ergibt sich, wenn
eine Datei dieses Namens per
E-Mail eintrifft und dies hat wohl den Hoax
ausgelöst. Der Virus W32/Magistr
(steht in der Liste aktueller Viren) infiziert
Systemdateien (vor allem
.EXE) und versendet diese dann per E-Mail. Dabei
kopiert er das Original der
Datei vorher in eine zweite Datei, deren Namen er
modifiziert: Er ändert das
letzte Zeichen des Namens, verringert den
Zeichencode um 1. D.h. aus
SULFNBK.EXE wird SULFNBJ.EXE, aus PSTORES.EXE wird
PSTORER.EXE, aus
CFGWIZ32.EXE wird CFGWIZ31.EXE usw. Er versendet
jedoch die infizierte Datei
mit dem Originalnamen. Die umbenannte Kopie ist
ebenfalls infiziert.

Es ist wichtig, dass Sie den Unterschied zwischen
diesen beiden Fällen
verstehen. Löschen Sie keinesfalls eine Datei
SULFNBK.EXE, die Sie auf Ihrem
Rechner finden, wenn nicht ein Virenscanner eine
Infektion dieser Datei
meldet. Die Original-Datei ist ca. 44 KB gross,
infizierte Versionen haben
etwa 72 KB.

Wenn Sie die Datei bereits gelöscht haben, stellen
Sie sie nur von der
Original-Windows-CD wieder her. Beim Kopieren von
einem anderen Rechner
riskieren Sie, Ihren bislang virenfreien Rechner
zu infizieren oder eine
falsche Version der Datei zu kopieren (andere
Windows-Version). Wie das im
Allgemeinen geht, beschreibt Microsoft in der
deutschen Knowledge Base im
Artikel D35346. In der engl. Knowledge Base ist
explizit der Fall
SULFNBK.EXE beschrieben, im Artikel Q301316. Wenn
Sie sich die
Wiederherstellung dieser Datei nicht zutrauen,
lassen Sie sich helfen oder
verzichten Sie auf die Wiederherstellung - Sie
werden diese Datei in aller
Regel nicht vermissen.

Einige Anwender berichten über ein Phänomen, das
ihnen nach dem Löschen der
SULFNBK.EXE beim Aufruf des Windows-Setups
begegnete: Sie erhielten folgende
Warnung angezeigt:

Für Dateinamen, die länger als 8 Zeichen sind,
müssen kurze Dateinamen mit
numerischen Erweiterungen erstellt werden können.
Aktivieren Sie diese
Option und führen Sie Setup erneut aus. Abhilfe
schafft hier eine Änderung
in der Registry, die ebenfalls in der dt.
Microsoft Knowledge Base
beschrieben ist, in Artikel D35119.

Fazit:
Es ist reiner Zufall, dass es eine so unwichtige
Datei getroffen hat. Bei
dem gegebenen Hintergrund der Entstehung dieses
Hoax hätte es auch leicht
eine weniger entbehrliche Datei erwischen können.

Ein Virus im Bier wäre viel Schlimmer!
Gruß Hartmut