Aldi-Notebook mit Virus an Bord [2. Update]
Laut BeitrÀgen in mehreren Internetforen hat Aldi vergangene Woche Medion-Notebooks unters Volk gebracht, die ab Werk mit einem Bootsektor-Virus infiziert sind.
In diversen Internet-Foren (etwa dem von Avira [1]) tauchen Benutzerberichte auf, denen zufolge das vergangene Woche beim Lebensmittel-Discounter Aldi [2] verkaufte Medion [3]-Notebook MD96290 [4] ab Werk mit dem Bootsektor-Virus Stoned.Angelina infiziert ist. Die auf dem Notebook vorinstallierte Antivirenlösung von Bullguard erkennt den SchÀdling zwar, kann ihn aber offenbar nicht entfernen.
Bei Stoned.Angelina handelt es sich um einen Virus aus DOS-Zeiten, der 1994 aktiv war und sich im Masterbootrecord der Festplatte beziehungsweise im Bootsektor von Disketten einnistet. Weitere Schadfunktionen als die Verbreitung auf anderen Medien und Disketten hat der Virus laut Symantecs und Bullguards Virenbeschreibungen nicht. Der Virus versucht, Zugriffe auf den infizierten Bootsektor umzuleiten und sich so vor Virenscannern zu verstecken. Da moderne Betriebssysteme allerdings nicht mehr auf die damals ĂŒblicherweise dafĂŒr verwendeten BIOS-Funktionen zugreifen, um die Laufwerke anzusprechen, kann sich der SchĂ€dling unter dem installierten Windows Vista wahrscheinlich nicht verstecken.
Um den SchĂ€dling loszuwerden, kann man Bullguards Virenbeschreibung zufolge das Notebook mit der mitgelieferten Recovery-DVD starten. In der Reparaturoption wĂ€hlt man die Windows-Partition aus. Ăber die Systemwiederherstellungsoptionen gelangt man dann zur Eingabeaufforderung, an der der Befehl bootrec.exe /fixmbr den Masterbootrecord ĂŒberschreibt und so den Virus löscht. Vorher sollte man jedoch möglicherweise bereits angelegte wichtige Dateien sichern, falls bei dem Vorgang etwas schiefgeht.
Eine Stellungnahme von Medion zu dem Vorfall steht noch aus. Wer der dÀnischen Sprache mÀchtig ist, kann bei Medion DÀnemark jedoch eine PDF-Datei [5] einsehen, die das Problem offensichtlich bestÀtigt und ebenfalls die oben erlÀuterte Entfernungsprozedur mittels Recovery-DVD beschreibt.
Update:
In einer Stellungnahme hat Medion das Problem gegenĂŒber heise Security bestĂ€tigt. Das Unternehmen erlĂ€utert, dass von dem Virus kein Sicherheitsrisiko ausgehe und auch die Leistung nicht beeintrĂ€chtigt werde. Kunden erhalten auf Anfrage eine E-Mail mit der bereits beschriebenen Anleitung zur Entfernung des Virus. Medion fĂŒgt der E-Mail auch einen Screenshot der Warnung des Bullguard-Virenscanners bei.
Inzwischen ist auf der FAQ-Seite von Medion ein Eintrag [6] aufgetaucht, der die Hinweise zur SchĂ€dlingsbeseitigung enthĂ€lt. Wie der SchĂ€dling seinen Weg auf die Notebooks gefunden hat, erklĂ€rt Medion leider nicht. Auch nicht, wie der Hersteller so einen Vorfall zukĂŒnftig verhindern will.
2. Update:
Inzwischen stellt Medion auch ein Werkzeug bereit [7], mit dem betroffene Anwender den SchĂ€dling automatisch entfernen können sollen. Nach dem AusfĂŒhren des Programms soll lediglich noch ein Neustart des Notebooks notwendig sein.
Siehe dazu auch:
- SchÀdlingsbeschreibung [8] von Bullguard
- Virenbeschreibung [9] von Symantec
(dmk [10])
URL dieses Artikels:
https://www.heise.de/-174353
Links in diesem Artikel:
[1] http://forum.antivir.de/thread.php?threadid=26694
[2] http://www.aldi.de/
[3] http://www.medion.de/
[4] http://www.medion.de/md96290/nord/?medion
[5] http://www.medion.dk/home/document/MD96290.pdf
[6] http://www.medion.de/?service_~u~_support/allgemeine_FAQs.html#Frage99
[7] http://www.medion.de/service/FixMD96290.exe
[8] http://www.bullguard.com/support/tech-guides/how-to-remove-stonedangelina.aspx
[9] http://www.symantec.com/security_response/writeup.jsp?docid=2000-121811-2556-99&tabid=2
[10] mailto:dmk@heise.de
Copyright © 2007 Heise Medien