fz-Home




Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Java / JS
Microsoft
Win 32
Win 3.1x
macOS
Unix
Amiga
OS/2, Atari, NeXT,...
Hoax-Liste
Extra-Blätter
  © Frank Ziemann  –  Update: 03.09.2009
 Hoax-Info   Hoax-Liste   Weblog   Extra-Blätter   Sicherheits-Updates   E-Mail Hilfe   Presse 

Extra-Blatt (23.05.2001)

Hoax: SULFNBK.EXE Original-Icon

Die Datei gehört zu Windows, aber...

Eine Falschmeldung gefährdet die Existenz einer harmlosen Windows-Datei. Es wird behauptet, die Datei SULFNBK.EXE enthalte einen Virus und wenn man sie auf seinem Rechner findet, solle man sie löschen. Eine Anleitung, wie man die Datei finden und löschen kann, wird meist auch gleich mitgeliefert.

Davon muss dringend abgeraten werden!
Die Datei SULFNBK.EXE gehört zumindest ab Windows 98 zu Windows (98/ME). Ihre einzige von Microsoft dokumentierte Funktion ist die Wiederherstellung langer Dateinamen nach einer (missglückten) Deinstallation von Windows 98/ME. Siehe Artikel D36301 in der dt. Microsoft Knowledge Base. Die Buchstaben im Dateinamen SULFNBK.EXE stehen mithin für "SetUp", "Long File Names", "BacKup".
Die Existenz dieser Datei auf einem Rechner ist kein Indiz für eine Virusinfektion!
Ähnliche Fälle, nur andere Dateinamen: JDBGMGR.EXE, JDBMGR.EXE, SETDEBUG.EXE, UPWIZUN.EXE

Eine völlig andere Situation ergibt sich, wenn eine Datei dieses Namens per E-Mail eintrifft und dies hat wohl den Hoax ausgelöst.
Der Virus W32/Magistr (steht in der Liste aktueller Viren) infiziert Systemdateien (vor allem .EXE) und versendet diese dann per E-Mail. Dabei kopiert er das Original der Datei vorher in eine zweite Datei, deren Namen er modifiziert: Er ändert das letzte Zeichen des Namens, verringert den Zeichencode um 1. D.h. aus SULFNBK.EXE wird SULFNBJ.EXE, aus PSTORES.EXE wird PSTORER.EXE, aus CFGWIZ32.EXE wird CFGWIZ31.EXE usw. Er versendet jedoch die infizierte Datei mit dem Originalnamen. Die umbenannte Kopie ist ebenfalls infiziert.

Es ist wichtig, dass Sie den Unterschied zwischen diesen beiden Fällen verstehen.
Löschen Sie keinesfalls eine Datei SULFNBK.EXE, die Sie auf Ihrem Rechner finden, wenn nicht ein Virenscanner eine Infektion dieser Datei meldet.
Die Original-Datei ist ca. 44 KB gross, infizierte Versionen haben etwa 72 KB.

Wenn Sie die Datei bereits gelöscht haben, stellen Sie sie nur von der Original-Windows-CD wieder her. Beim Kopieren von einem anderen Rechner riskieren Sie, Ihren bislang virenfreien Rechner zu infizieren oder eine falsche Version der Datei zu kopieren (andere Windows-Version).
Wie das Wiederherstellen gelöschter Dateien im Allgemeinen geht, beschreibt Microsoft in der deutschen Knowledge Base im Artikel D35346. In der engl. Knowledge Base ist explizit der Fall SULFNBK.EXE beschrieben, im Artikel Q301316.
[ dt. Kurzanleitung f. Win98/ME, lokal ]
Wenn Sie sich die Wiederherstellung dieser Datei nicht zutrauen, lassen Sie sich helfen oder verzichten Sie auf die Wiederherstellung - Sie werden diese Datei in aller Regel nicht vermissen.

Einige Anwender berichten über ein Phänomen, das ihnen nach dem Löschen der SULFNBK.EXE beim Aufruf des Windows-Setups begegnete: Sie erhielten folgende Warnung angezeigt:

Für Dateinamen, die länger als 8 Zeichen sind, müssen kurze Dateinamen mit numerischen Erweiterungen erstellt werden können.
Aktivieren Sie diese Option und führen Sie Setup erneut aus.

Abhilfe schafft hier eine Änderung in der Registry, die ebenfalls in der dt. Microsoft Knowledge Base beschrieben ist, in Artikel D35119.

Fazit:
Es ist reiner Zufall, dass es eine so unwichtige Datei getroffen hat. Bei dem gegebenen Hintergrund der Entstehung dieses Hoax hätte es auch leicht eine weniger entbehrliche Datei erwischen können...

Leiten Sie diese Falschmeldung (Hoax) nicht weiter!

Infos zu diesem Hoax:
McAfee | dt.Sophos | Symantec

Infos zu W32/Magistr.a:
CAI | F-Secure | Kaspersky AV/AVP | NAI/McAfee | dt.Sophos | Symantec | dt.Trend Micro


zurück zur Hoax-Seite | zur Hoax-Liste | zur Viren-Liste