De dood in IE403R.SYS

Het virus, dat is omgedoopt tot Remote Explorer, werd eerst ontdekt op een netwerk van MCI Worldcom, één van de grootste telecombedrijven en providers van de Verenigde Staten. Volgens een zegsman werd het virus op tijd ontdekt en ondervond geen enkele klant hinder of schade.

Network Associates (NAI) noemt het virus bijzonder, omdat het specifieke capaciteiten van Windows NT gebruikt om zichzelf te verspreiden over andere netwerken. Remote Explorer is in staat om zich als netwerkbeheerder op een NT server of werkstation te nestelen en kan zo van netwerk naar netwerk springen. De meeste andere virussen komen een computer binnen via e-mail of via een geïnfecteerde diskette.

Het virus maskeert zichzelf met de bestandsnaam IE403R.SYS of Remote Explorer en voert een DLL-bestand mee (dynamic link library) dat helpt bij de verspreiding.

In tegenstelling tot andere digitale ziektekiemen die complete harde schijven wissen comprimeert dit virus alle uitvoerbare programma's (.EXE- en .COM-bestanden), waardoor deze niet meer kunnen worden gestart. Ook zet het .DOC- en .XLF-bestanden op slot door ze te versleutelen. Remote Explorer is volgens experts met 125 Kb vrij groot, geschreven in C en is het deels ook versleuteld.

Microsoft laat in een reactie weten dat het virus zich alleen kan verspreiden als het door een gebruiker wordt geactiveerd. Het opereert alleen op machines met een Intel-processor met Windows NT: andere chips en andere besturingssystemen ondervinden geen hinder.

Network Associates brengt mogelijk vandaag nog een tegengif uit via zijn website, in de vorm van een nieuw signature-bestand voor McAfee VirusScan en een apart programmaatje om aangetaste bestanden te repareren.