Sophos warnt vor PC-Lähmung

Juli 02, 1998 Sophos Press Release

Neues Virus greift Boot-Dateien an und zerstört das BIOS

Sophos, der führende europäische Anti-Virus-Spezialist, warnt Anwender von Windows 95 und Windows 98 vor einem neuen Virus mit dem Namen 'CIH'. Es überschreibt die System-Startroutinen und zerstört die Daten auf der Festplatte. Das 'CIH'-Virus greift direkt das BIOS an, das für den Bootvorgang des Rechners zuständig ist - eine Fähigkeit, über die bisher kein einziges Virus verfügte.

Der Angriff erfolgt in zwei Bereichen. Der erste und gefährlichste gilt dem BIOS. Das Virus überschreibt den Startup-Mechanismus und umgeht dabei Sicherheitsvorkehrungen, die einem unbeabsichtigten Datenverlust vorbeugen sollen. Der Computer kann danach nicht mehr 'gebootet' (also: neu gestartet) werden, bis der BIOS-Chip ausgetauscht worden ist. Die zweite Stoßrichtung des Virus hat das Überschreiben von Daten auf der Rechner-Festplatte zur Folge.

"Es ist schon früher versucht worden, das BIOS anzugreifen, bisher jedoch erfolglos," meint Paul Ducklin, Head of Research bei Sophos, betroffen. "Die Kombination dieses Angriffs mit der bekannteren Eigenschaft, Daten zu löschen, macht das Virus doppelt zerstörerisch. Jeder infizierte Rechner stellt gleichzeitig die Arbeit ein und verliert alle Daten. Wir haben es damit erstmals mit einem Virus zu tun, dessen Wirkung nur durch das physikalische Öffnen des Rechners und das Ersetzen einer Komponente geheilt werden kann."

Das Virus infiziert 'exe'-Dateien in Windows 95 und Windows 98. Das Aktivierungsdatum ist der 26. April, mittlerweile sind auch Varianten aufgetaucht, die am 26. Juni und an jedem 26. eines Monats aktiv werden.

"Mit dem Virus infizierte Rechner können repariert werden," meint Pino von Kienlin, Geschäftsführer der Sophos GmbH. "Zusätzlich können einige Rechner von erfahrenen Anwendern auch physikalisch gegen den Angriff durch Umsetzen von Jumpern auf dem Mainboard abgesichert werden. Wir erteilen Anwendern auch gerne Auskunft darüber, wie sie erfahren können, ob ein eingesetzter Rechner durch das Virus potentiell überhaupt bedroht ist."