Virus in Hilfedateien

In den Data-Fellows-Labors ist ein Virus aufgetaucht, der als erste Spezies auch Windows-Hilfe-Dateien (.HLP) befällt. Win95/SK wird sich aber vermutlich nicht stark verbreiten, da der Virus etliche Programmierfehler und eine auffällige Schadensroutine enthält: Sobald der Anwender Anti-Virus-Programme startet, beginnt Win95/SK damit, Festplatteninhalte zu löschen. Die Infektionsgefahr ist jedoch gering: Bislang sind nur russische Help-Files als infiziert gemeldet worden. Es ist zu erwarten, daß alle bekannten Anti-Viren-Programme (vgl. Viren-Schwerpunkt in c't 7/99) diesen Virus in Kürze erkennen und beseitigen können.

Technisch gesehen geht SK allerdings ebenso interessante wie gefährliche Wege: Er befällt neben Hilfedateien auch Programme, die in Windows "Portable Executable" (PE) Format angelegt sind, und selbst Archive (ARJ, HA, RAR und ZIP) sind vor dem Übeltäter nicht sicher. Dabei ändert sich üblicherweise weder die Dateilänge (außer bei Archiven) noch die Einsprungadresse des Programmcodes: In PE-Dateien hängt sich der Virus in zufällig ausgewählte Programmroutinen und bleibt möglicherweise lange Zeit inaktiv. (nl)