Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Honecker Virus ??

104 views
Skip to first unread message

RudSchu

unread,
Oct 4, 1998, 3:00:00 AM10/4/98
to

Am 3.10 und bereits am 1.5 erschien beim Starten einer DOS- Anwendung unter
Windows 95 das Bild von Erich Honecker ( weiß ) auf schwarzem Hintergrund. Der
Begleittext war:
"Im Namen des Staatsrates der deutschen demokratischen Republik wird die Datei
Autoexec.bat gelöscht. Meine späte Rache. Ich komme wieder."
Tatsächlich war die Autoexec.bat gelöscht. Die Anwendung des McAffee Scanner
erbrachte keine Meldung. Hat sonst schon jemand dieses merkwürdige verhalten
beobachtet ? Ist das überhaupt ein Virus ?
Danke für Eure Hilfe.

Axel Pettinger

unread,
Oct 4, 1998, 3:00:00 AM10/4/98
to
Hallo,

Du hast Dir wahrscheinlich einen Trojaner eingefangen ...

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
Info der "Virus Help Munich":

HONECKER Trojan (HLL.Dosinfo) _
_______________________________

<HONECKER> ist im eigentlichen Sinne gar kein echter Virus, eher
ein Trojan, der sich dadurch verbreitet, daß er Batchfiles so
modifiziert, daß er moeglichst oft aufgerufen wird. An bestimmten
Tagen,

_ 1.5. - Tag der Arbeit
_ 17.6 - Aufstand vom 17. Juni
_ 13.8. - Tag des Mauerbau
_ 3.10. - Tag der dt. Einheit
_ 7.10. - Tag der Republik (Nationalfeiertag der DDR)
_ 9.11. - Grenzoeffnung
_ 25.12 - eigentlich kein soz. Feiertag

spielt <HONECKER> dann die Nationalhymne der DDR und bringt eine
nette Grafik auf den Schirm. Ansonsten ist <HONECKER> nicht weiter
schaedlich.

Im Detail:
~~~~~~~~~~
Das Wirtsprogramm heisst "DOSINFO.EXE" und bei jedem Aufruf
kopiert sich dieses Programm in einige Verzeichnisse, in denen
auch Batchdateien liegen. Diese Batchdateien erhalten ausserdem
als ersten Aufruf den Call von DOSINFO, um zu gewaehrleisten, dass
das Programm auch gestartet wird.

Entfernung:
~~~~~~~~~~~
Um <HONECKER> los zu werden, geht man wie folgt vor:
1) Man durchsucht die gesammte Festplatte (z.B. mittels Norton
Utilities Suchfunktion) nach DOSINFO.EXE und loescht jedes
dieser Files.
2) Man muss bei allen Batchfiles den Aufruf von DOSINFO mit einem
Editor entfernen.

Martin Rösler, Virus Help Munich
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

Du kannst auch jeden beliebigen Virenscanner zum Suchen und
Entfernen/Loeschen des Trojans benutzen, weil es ziemlich bekannt ist.
Ich kann F-Prot empfehlen, der Scanner kennt zwei "Honi"-Varianten.
F-Prot kann runtergeladen werden von ftp://ftp.complex.is/pub/
fp-302a.zip (fp-def.zip, macrdef2.zip), siehe auch
http://www.complex.is/f-prot/mirrors.html ...

Der Scanner ist für den privaten, nicht-kommerziellen Gebrauch zuhause
kostenlos!

Viel Glueck beim Finden und Beseitigen des Trojans!

Ciao,
Axel Pettinger

0 new messages