Das würde ich nicht tun, weil es völlig zwecklos wäre. Die Zeiten, als ein Wurm nur ein Wurm war, sind schon lange vorbei.
Das Problem: Fast jede aktuelle Malware besitzt eine Remote-Access- oder eine Downloader-Komponente. Beides kann bedeuten, dass innert Sekunden weitere Schädlinge auf der Platte landen oder Systemeinstellungen verändert werden. Diese Veränderungen sind durch praktisch nichts zu erkennen. Wenn Rootkit-Komponenten eingesetzt werden, siehst Du auch per Windows-Explorer, Regedit, net stat usw. gar nichts.
Wenn Du den eigentlichen Schädling los wirst, weisst Du nie, was nebenher noch alles verändert wurde. Das System gehört in diesen Fällen nicht mehr Dir. Natürlich kannst Du aus Neugier in der VM (die danach zu entsorgen ist!) experimentieren. Nur wird es dem User des wirklich infizierten Systems nichts nützen. Der hat das Teil schon zu lange drauf.
Bei kompromittierten Systemen gibt es meines Erachtens nur eine Lösung: Daten (und nur diese) sichern, Platte formatieren und Betriebssystem neu aufsetzen.
Gaby
Ich habe einen systemwiederherstellungspunkt gemacht (also einen Snapshot, so dass die festplatte wieder in den ursprungszustand versetzt wird)
Um die Datei ausführen zu dürfen muss ich zuerst noch windows dazu anweisen, dass es die datei öffnen soll, denn windows weigert sich die datei einfach so zu öffnen.
Bei der Datei handelt es sich um ein MS-Dos Programm. Es kopiert die datei nswbxbk.exe in den system32 ordner von windows. Der pfad zu schädlichen datei ist als %Windir%/system32/nswbxbk.exe
nun denn. Diese datei wird neu in diesen order kopiert und mein Antivir, dass sofort erkennt das es sich um einen virus handelt, versucht mit zähnen und krallen gegen diese datei anzugehen. Ich habe den Virenschutz also deaktiviert.
Jetzt geht der virus aber immer noch nicht ans werk. Ich habe den Windows Live Messenger 8.5 installiert.
Selbst nach einem messengerneustart passiert nichts.
Da ich meine windowskopie auf der VM nicht aktiviert habe und die installation über 30 tage alt ist kann ich nicht neu starten.
Fazit (bei meinem Comnputer): Ich konnte den virus erst nach manueller bestätigung überhaupt öffnen. Anschliessend merkte antivir sofort das es sich um einen virus handelt und versuchte diesen unschädlich zu machen! Nach deaktivierung des Virenschutzes machte der Virus aber immernoch nichts.
Vieleicht ist er für eine ältere version oder für die beta version des 9ers geschreiben - ich weiss es nicht.
Am sichersten ist es trotzdem, die zip-datei gar nicht erst anzunehmen, so gelangt nicht die spur eines virus auf den PC
Ich hoffe ich konnte helfen.
