Hi Thorsten,
das ist der SirCam Virus. Hatten wir auch in der Firma. Hier ein Artikel aus den pc-magazin News und eine Warnung von GMX. Bei Windows NT ist/war eine komplette Neuinstallation notwendig, bei Sinnlos 98 reichte eine "drüberinstallation". Seit dem ist er bei uns in der Firma nicht mehr aktiv geworden, so daß ich jetzt nicht weiß ob ein Antiviren Programm ihn entfernen kann.
<begin pc-magazin> Artenreichtum beim "SirCam"-Virus
Bereits jetzt taucht der erst kürzlich bekannt gewordene Virus "SirCam" in verschiedenen Variationen auf. Während die renommierten Virenhersteller "SirCam" als außergewöhnlich große Bedrohung ansehen, haben unsere Leser zum Teil nicht ganz so schlimme Erfahrungen gemacht. Offiziell soll das Virus den kompletten Ordner "Eigene Dateien" bei einer Infizierung per Email an alle Email-Adressen aus dem Outlook-Adressbuch versenden. Bei einigen Lesern wurde allerdings nur eine einzige Datei aus dem entsprechenden Ordner versandt. Der Dateiname wurde dabei zusätzlich mit der Endung .pif versehen. Es scheint somit kein Muster zu geben, nachdem das Virus die Datei auswählt. Trotzdem ist es möglich, dass vertrauliche Informationen an die Öffentlichkeit gelangen könnten. </begin pc-magazin>
<begin gmx> "SirCam", so der Name des e-mail-Wurms, mag zwar auf den ersten Blick wie die 1001. Variante des ILOVEYOU-Virus aussehen, entpuppt sich aber bei genauerem Hinsehen als weitaus perfiderer Vertreter seiner Gattung:
Gemeinheit Nr. 1: Unsere Standard-Warnung "Öffnen Sie niemals Attachments von Ihnen unbekannten Absendern!" bringt uns in diesem Fall nicht viel weiter. "SirCam" verbreitet sich von einem infizierten Rechner aus nämlich vorzugsweise an Adressen, mit denen das arme Wurm-Opfer aktuell in e-mail-Kontakt steht.
Gemeinheit 2: Der Wurm schnappt sich willkürlich Dokumente aus dem Windows-Verzeichnis "Eigene Dateien" und versendet diese. Wir möchten lieber nicht wissen, welche vertraulichen Informa- tionen auf diesem Wege bereits unerwünschter Weise ans Licht der Öffentlichkeit geraten sind.
Gemeinheit 3: Den Namen der auserwählten Datei behält "SirCam" bei (allerdings wird eine ausführbare Dateiendung wie .bat, .pif etc. angehängt. Das ist Gemeinheit Nr. 4, denn diese Dateiendungen werden von älteren Virenscannern als harmlos eingestuft.), fügt seinen eigenen Wurmcode am Anfang des Files hinzu und versendet sich dann über seinen eigenen, im Code integrierten SMTP-Server (Geheimheit 5) - an Adressen, die er sich aus fast allen gängigen Windows-e-mail-Programmen selbständig heraussuchen kann (Gemeinheit 6). Gemeinheit 7: Das Subject der versendeten e-mail richtet sich nach der als Anhang versendeten Datei - da hilft kein Filtern.
Gegen so viel geballte Gemeinheit hilft nur, was auch Mad-Eye Moody seinen "Verteidigung gegen die dunklen Künste"-Schülern im Harry Potter-Band 4 ans Herz legt: "IMMER WACHSAM!". Öffnen Sie kein Attachment, das Ihnen unaufgefordert zugeschickt wurde. Überprüfen Sie, ob Sie die aktuellste Version Ihres Virenscanners installiert haben.
Falls Sie der von einer geheimnisvollen Datei ausgehenden Versuchung nicht widerstehen konnten ("Ui, was mag da wohl drinstehen?" - KLICK.) und Ihren Rechner bereits infiziert haben, hilft Ihnen diese Seite weiter: http://www.trendmicro.de/virinfo/0109.html </begin gmx>
ciao Tilo