Fragentyp 8 - Bootsektorvirus "Half_One" mit "fdisk /mbr" entfernbar ? Beschreibung der Frage: Ein recht alter Virenscanner meldet den Bootsektorvirus "One_Half". Es wurde die Frage gestellt, ob man diesen Virus mittels des DOS-Befehls "fdisk /mbr" ohne Probleme entfernen kann. Beschreibung der Problematik: Den Virus kann zwar mittels des Befehls aus dem Bootsektor entfernt werden. Jedoch ist dann kein Zugriff mehr auf Festplatte möglich. One_Half legt den Original MBR der Festplatte in verschlüsselter Form an einem anderen Ort des Datenträgers ab. Bei jedem Neustart leitet One_Half den Befehl an den Ort, wo er die Daten abgelegt hat. Diese werden durch den Virus auch entschlüsselt. Wird in diesem Fall "fdsik /mbr" ausgeführt, fehlt beim booten die Entschlüsselungsroutine und die Fesplatte wird gar nicht mehr gefunden. Obendrein verschlüsselt der Virus nach und nach den gesamten Inhalt einer Festplatte. Einfachste Lösung: Die Entfernung nur mittels einer AV-Software durchführen lassen. Es ging darum, ob den Firmen die Problematik solcher Bootsektorviren bekannt ist bzw. darauf hingewiesen wird. Im übrigen gibt es noch mehrere derartige Viren wie "One_Half". Symantec Antwort des Support: kein Mailversand möglich, da keine Mailadresse auf der Webseite zu finden ist. Objektive Wertung: Reaktionszeit: 0 Korrekte Hilfe: 0 Sprache: 0 Subjektive Wertung: Noch nicht einmal eine Kontaktadresse (Mailadresse) auf der Firmenseite anzugeben, wird dem User weniger hilfreich sein. Die Webseite wäre die einzige Hilfe bei Problemen für den Anwender von Norton AntiVirus, vieles jedoch in englischer Sprache. Abgesehen mal von einer deutschen Hotline, die angerufen werden kann. persönliche Wertung des Autors: 0 Gesamtwertung: 0 Punkte Datsec Antwort des Support: Bis zum 24.08.2001 erfolgte keine Antwort. Objektive Wertung: Reaktionszeit: 0 Korrekte Hilfe: 0 Sprache: 0 Subjektive Wertung: Da wir uns vorab bei einer ausbleibenden Antwort auf die generelle Vergabe von 0 Punkten geeinigt haben, kann ich auch nicht mehr vergeben. Evtl. nimmt der Hersteller ja Stellung dazu? persönliche Wertung des Autors: 0 Gesamtwertung: 0 Punkte Percomp Verlag (F-Prot) Antwort des Support: Bis zum 24.08.2001 erfolgte keine Antwort. Objektive Wertung: Reaktionszeit: 0 Korrekte Hilfe: 0 Sprache: 0 Subjektive Wertung: Da wir uns vorab bei einer ausbleibenden Antwort auf die generelle Vergabe von 0 Punkten geeinigt haben, kann ich auch nicht mehr vergeben. Evtl. nimmt der Hersteller ja Stellung dazu? persönliche Wertung des Autors: 0 Gesamtwertung: 0 Punkte Network Associates Inc. Antwort des Support: Bis zum 24.08.2001 erfolgte keine Antwort. Objektive Wertung: Reaktionszeit: 0 Korrekte Hilfe: 0 Sprache: 0 Subjektive Wertung: Da wir uns vorab bei einer ausbleibenden Antwort auf die generelle Vergabe von 0 Punkten geeinigt haben, kann ich auch nicht mehr vergeben. Evtl. nimmt der Hersteller ja Stellung dazu? persönliche Wertung des Autors: 0 Gesamtwertung: 0 Punkte Sophos Antwort des Support: Man sollte mittels des Befehls den Virus löschen. Da der Virus auch COM und EXE Dateien befällt, müssen diese gelöscht werden. Objektive Wertung: Reaktionszeit: + Korrekte Hilfe: - Sprache: + Subjektive Wertung: Die Problematik des Virus (wie von uns oben beschrieben) wurde nicht erkannt. Hätte der Anwender den Bootsektor neu geschrieben, wären die Daten nicht mehr zugänglich. Es wurde davon ausgegangen, man nutze Sophos AntiVirus, der den Virus (wahrscheinlich) korrekt entfernen kann. Das können wir hier nicht nachprüfen, daher persönliche Wertung "Neutral". Sophos hat als einzige Firma überhaupt auf diese Frage geantwortet. persönliche Wertung des Autors: 0 Gesamtwertung: +1 Punkte |