Avid Homepage Produkte Support Training Veranstaltungen Pressemitteilungen, User Stories und Avid Publikationen Corporate Kontakt Suche

Tipps + Tricks
Technische Unterstützung
Austausch defekter Teile
 
Xpress DV Support
Avid MCX NT Support
Elastic Reality Support
Avid Cinema Support
 
Schulungen
Avid Knowledgebase
Releases + Announcements
Der Wurm geht um...

Navigation Bar1

Navigation Bar2

Die Vorgeschichte

In letzter Zeit erreichten uns vermehrt Berichte von Systemen, die plötzlich sehr langsam werden. Ursache dafür kann ein Virus sein, der sich „AutoStart Worm“ nennt. Dies ist ein kleines unsichtbares Programm, das in verschiedenen Intervallen alle angeschlossenen Volumes auf eine „AutoStart Worm“-Infektion überprüft. Wenn ein Volume das Virus noch nicht besitzt, wird es infiziert. Die Infektion erfolgt nicht über die Veränderung bereits installierter Programme oder bestehender Dateien, sondern der Worm kopiert sich selbst auf die noch nicht befallenen Volumes. So kommt es nach 3 bis 30 Minuten zum kurzzeitigen Stillstand des Rechners. Der AutoStart Worm ist sehr aktiv und hat sich, ausgehend von Hongkong, sehr rasch weltweit verbreitet. Unter anderem verbreitet sich das Virus, wenn das automatische Starten von CDs im Kontrollfeld „QuickTime–Einstellungen“ aktiviert ist (gibt es erst ab QuickTime 2.5). Im Internet läßt sich eine Liste mit infizierten CDs herunterladen unter:
http://www.macintouch.com/hkvirus_cds.html

Die Virus Definitionen

Es gibt unterschiedliche Varianten des AutoStart Worms

  • Das erste AutoStart 9805 Virus, das entwickelt wurde, ist ein Programm und heißt „DB“ und sein Hintergrundprogramm heißt „Desktop Print Spooler“.
  • Das AutoStart 9805-B Virus heißt „BD“ und dessen Hintergrundprogramm heißt „Desktop Printer Spooler“. Er versucht, andere Volumes alle 3 Minuten zu infizieren. Wenn das Virus das Originalvirus 9805 vorfindet, ersetzt er es mit sich selbst.
  • Das AutoStart 9805-C Virus heißt „DELDB“ und sein Hintergrundprogramm heißt „DELDesktop Print Spooler“. Dieses Virus versucht, andere Volumes alle 10 Minuten zu infizieren und ersetzt andere Versionen des Virus. Nach dem 8. Juni 1998 hört das Virus auf zu infizieren und löscht Kopien desselben, aber die laufende Version selbst bleibt auf der Platte, denn sie kann sich nicht selbst löschen.
  • Das AutoStart 9805-D Virus ist mit der C-Variante identisch, hört aber erst am 24. Dezember 1998 auf, sich zu verbreiten.

Es gibt noch zwei weitere Varianten, deren Programmnamen sich aber nicht von den 3 erstgenannten unterscheiden.

Die Symptome

bei der Erstinfektion startet der Rechner unerwartet nach dem Booten oder nach dem Mounten eines neuen Volumes erneut.

  • beim Booten oder während des Arbeitens mit einem Programm erscheint die Fehlermeldung »DELDB could not be opened because the application that created it could not be found«. In der Regel kann diese Fehlermeldung mit »Okay« bestätigt werden und anschließend ungehindert weiter gearbeitet werden.
  • wenn eine Partition gemountet wird, dann blitzt kurzzeitig in der Menüleiste eine Applikation namens »DB« auf
  • unerklärliche Plattenaktivität alle 3 bis 30 Minuten
  • nachdem sich die Schreibtischdatei mit allen Partitionen aufgebaut hat, sieht es so aus, als würden die Icons aller gemounteten Partitionen ein zweites Mal angelegt, d.h. die Icons blitzen nochmal kurz auf.
  • bei MediaShare/Fibre Channel Systemen kommt es während des Bootvorgangs zu der Fehlermeldung »MC Startup failed to unmount Volume«, man kann diese Fehlermeldung zwar mit Okay bestätigen, aber anschließend stürzt der Rechner in MacsBug. Grund hierfür ist, daß das Startup versucht, alle Partitionen von FibreChannel Platten vom Schreibtisch zu entfernen, bevor die MediaShare Applikation gestartet wird. Dies verhindert der AutoStart Worm durch intensive Plattenaktivität


Wie kann ich diese Viren loswerden?

Starten Sie mit gehaltener „Shift-“ Taste. Das verhindert, daß der Worm in den RAM geladen wird. Lassen Sie anschließend ein geeignetes Virenprogramm alle Festplatten reparieren.
Geeignet sind die Programme „Eradicator“, „Innoculator“ und „WormScanner 2.2.1“ als Freeware, oder Symantecs „SAM“, Dr. Solomons „Virex“, Nortons „AntiVirus“, jeweils mit den neuesten Virusdefinitionen. Dabei haben wir bislang die besten Erfahrungen mit dem WormScanner gemacht.
Wenn Sie keines der Programme zur Hand haben, können Sie folgendes tun:
Starten Sie von einer nicht infizierten CD.
Suchen Sie mit Hilfe eines Suchprogramms, das auch unsichtbare Dateien finden kann, nach folgenden Dateien:

  • DB
  • Desktop Print Spooler
  • BD
  • Desktop Printr Spooler
  • DELDB
  • DELDesktop Print Spooler


Machen Sie die gefundenen Dateien sichtbar, z.B. mit den Programmen „Visibility“, mit „Fast Find“ von Symantec, „ResEdit“ oder „File Buddy“.
Löschen Sie die gefundenen Dateien. Aber Achtung: verwechseln Sie die oben genannten Dateien nicht mit dem Desktop Printer Spooler, der vom Apple Betriebssystem installiert wird. Ebenso sollten Sie nicht die Worm Files DB, DELDB und BD mit der Desktop DB des Betriebssystems verwechseln.
Um externe Festplatten auf diese Weise zu »entwormen«, sollten Sie darauf achten, daß stets nur eine Partition gemountet ist. Befreien Sie die Partition, die sich auf dem Schreibtisch befindet, von den oben genannten Files, und entfernen sie wieder vom Schreibtisch. Nun können Sie die nächste Partition, z.B. mit Hilfe des AvidDriveUtilities, mounten.
Um sicherzugehen, daß wirklich alle Platten worm-frei sind, sollten Sie den Vorgang wiederholen.
Anschließend die Schreibtisch Datei neu aufbauen und die Platten noch mal mit Norton Disk Doktor überprüfen.


Wie kann ich mich vor Viren schuetzen?

Öffnen Sie das Kontrollfeld „QuickTime–Einstellungen“ und deaktivieren Sie das automatische Starten von CDs.

Überprüfen Sie alle fremden Platten zuerst nach Viren.

Wo finde ich Virenscanner

Unter http://www.macintouch.com/hkvirus.html oder unter:
http://www.download.com/Mac/Result/TitleList/0,2,0-d-78-95,00.html?
st.dl.cat78.subs.sub95
Kunden mit Supportvertrag finden die entsprechenden Programme auch auf der BBS


Koennen MEdia Daten beschaedigt werden?

Nach bisherigen Erkenntnissen ist dies nicht der Fall. Der AutoStart Worm beschädigt zwar Files aber nur solche:

  • mit der Endung »data«, »cod« oder »csa«, wenn der Data Fork größer als 100 bytes ist
  • mit der Endung »dat«, wenn das gesamte File größer als 2 MB ist
  • Files vom Typ »JPEG«, »TIFF« und »ESPF«, die größer als 10,242 bytes sind, wenn sich im Ordner Systemordner/Systemerweiterungen/Druckerbeschreibungen Files befinden, die nicht mit »ACR«, »GEN«, »COL«, »LAS« oder »DIS« beginnen.

In allen Fällen wird der Data Fork mit Zufallsdaten überschrieben. Die so beschädigten Files können nicht repariert, sondern müssen durch Backups ersetzt werden.

Hinweis

Einige der VirenScanner installieren eine AutoScan Routine in dem Startobjekte Ordner. Dies kann im Zusammenhang mit dem Composer beim Booten des Systems zu einer Fehlermeldung führen »Could not load Targa PCI ROM, Error »1712«. Grund hierfür ist ein Konflikt zwischen dem Avid_Startup und dem AutoScan. Entfernen Sie in diesem Fall das AutoScan Programm aus dem Startobjekte Ordner und starten dieses erst, wenn der Rechner fertig gebootet hat.

Michael Merk, diMedia, München
Bettina Kienast

uebersicht

webpostaudioanimation + effectsstorage + networkingbroadcast

copyright 2000 Avid