Freitag, 8. November 2002

Roron: Neuer Wurm kommt via Mail, Lan & KaZaA

  • Gefährdet sind Windows 95, 98, NT, 2000, XP und ME
  • Plus: Wie Sie sich bei Virenbefall verhalten sollten
mehr zum Thema

Expertentipp ·Expertentipp
Was tun bei Virenbefall?

Der russische Antiviren-Spezialist Kaspersky Labs warnt vor dem neun Internet-Wurm Roron. Dieser wurde in Bulgarien entwickelt und verbreitet sich über Mail-Programme, lokale Netzwerke sowie die Internet-Tauschbörse KaZaA. Bislang wurden bereits sechs Modifikationen des Wurms ausfindig gemacht, die vor allem in Russland, den USA und einigen europäischen Ländern für Infektionen gesorgt haben.

Der Wurm-Code besteht aus einer 120 KB großen Windows-Datei und verfügt über zahlreiche besonders destruktiver Spionage-Funktionen – darunter eine Backdoor-Funktion. Infiziert wird ein System aber nur dann, wenn der User selbst die Trägerdatei startet. Dabei erstellt Roron im Windows-Systemverzeichnis und in einigen Programmdateien Kopien und registriert eine dieser Dateien im Registrierschlüssel des Systemregisters. Somit wird die Maleware bei jedem Neustart des Betriebssystems ausgeführt.

Versand per Mail
Per Mail versandt wird Roron unter zufällig ausgewählten Namen und Inhalten – und zwar an alle auf einen Computer verfügbaren Adressen. Um sich in lokalen Netzwerken zu verbreiten, sucht der Wurm nach gemeinsam genutzten Verzeichnissen, für welche ein uneingeschränkter Zugang besteht. In diese nistet er sich mit zufällig ausgewählten Dateinamen ein. Ähnlich geht der Virus im Filesharing-Netzwerk KaZaA vor: Roron sucht nach dem KaZaA-Verzeichnis und schreibt seine Kopie dort hinein. Andere User können sich somit beim Download einer infizierten Datei selbst infizieren.

Backdoor-Funktion
Der Wurm istalliert zudem Backdoor-Funktion, die es Hackern erlaubt, von außen in Systemabläufe einzugreifen und gezielte DoS-Attacken durchzuführen. Roron kann außerdem alle Dateien von Computer-Laufwerken entfernen. Eine Aktivierung erfolgt jeweils am 9. und 19. jeden Monats, wenn mit WINFILE.DLL nur eine der Hauptkomponenten des Wurms gelöscht wird - oder wenn die Registrierschlüssel des Wurms aus dem Windows-Systemverzeichnis entfernt werden. Zudem sucht der Wurm nach Antiviren-Programmen und versucht, diese auszuschalten und zu deinstallieren. Gefährdet sind laut Kaspersky Labs die Anwender von Windows 95, 98, NT, 2000, XP und ME.

Weitere Informationen:

  • Kaspersky Labs

    8.11.2002 11:57
    • Top-News
    Keine Angst vor China Dalai Lama in Österreich10:26 Keine Angst vor China
    Außenministerium reagiert auf Chinas Empörung betont gelassen
    "Wieder voll angreifen" David Alaba07:48 "Wieder voll angreifen"
    Der Bayern- und ÖFB-Star hakt die Enttäuschungen ab und schaut nach vorne
    Zu Tode geprügelt Mordalarm in Wien12:03 Zu Tode geprügelt
    Mann sagte nach Schlägerei bei der Polizei aus - nun folgte die Rache

    Technik

    ·Neuauflage einer Legende
    Französischer Autobauer ehrt Renault Alpine

    ·Kindersitztest des ÖAMTC
    Test: Kein "Sehr gut", dafür vier "Nicht genügend"

    ·Facebook startet eigene Kamera-App
    Software funktioniert ähnlich wie Instagram

    ·TV: CI+ Modul ab sofort bei UPC
    Alternative zu MediaBox für geeignete Fernseher jetzt auch in Österreich erhältlich.


    Highlights

    iPad "3" Test Hurra, ein neues iPad? ·Hurra, ein neues iPad?
    Tablet-Bolide von Apple will mit schärferem Display und verbesserter Kamera punkten

    Stars & Cars Damit fahren Promis ·Damit fahren Promis
    Ob zum Einkaufen, zur Arbeit , ins Fitness-Studio oder zum neuen Date - Stars und ihre Autos

    Mass Effect 3 Im Endeffekt großartig ·Im Endeffekt großartig
    Rollenspiel-Experte Bioware macht mit dem letzten Teil der Sci-Fi-Trilogie fast alles richtig.

    Genfer Autosalon Schönheiten aus Genf ·Schönheiten aus Genf
    Scharfe Messe-Hostessen räkeln sich auf und in den Stahlkarossen und lächeln um die Wette