Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst I-Wurm Roron - Alarmstufe 1

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

08.11.2002, aktualisiert 08.01.2009, 8645 Aufrufe

Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit warnt vor dem neuen Internet-Wurm Roron, der in Bulgarien entwickelt worden ist. Bis jetzt sind bereits 6 Modifikationen des Wurms entdeckt worden, welche in vielen Ländern (u.a. in Russland, USA und einer Reihe europäischer Länder) zahlreiche Infektionen verursacht haben.

Destruktive Prozeduren, integrierte Backdoor-Funktionen (für eine unautorisierte entfernte Steuerung des Computers) und seine Fähigkeit, sich über mehrere Kanäle zu verbreiten; dies alles macht diesen Wurm höchst gefährlich.

Roron verbreitet sich über mehrere Datentransfer-Kanäle: Über eMails als angehängte Datei, über lokale Netzwerke und über das KaZaA-Filesharing-Netzwerk. Ein System wird nur dann infiziert, wenn der User selbst die Wirtsdatei des Wurms startet, welche der User über die oben genannten Verbreitungswege erhalten hat. Beim Infizieren erstellt Roron im Windows-Systemverzeichnis und in den Programmdateien seine Kopien und registriert eine dieser Dateien im Registrierschlüssel des Systemregisters. Auf diese Weise stellt der Wurm seine Aktivisierung bei jedem Neustart des Betriebssystems sicher. In einigen Fällen lässt der Wurm beim Infizieren folgende Pseudo-Fehlermeldung erscheinen:

WinZip Self-Extractor License Confirmation

Your version of WinZip Self-Extractor is not licensed, or the license
information is missing or corrupted. Please contact the program vendor
or the web site (www.WinZip.com) for additional information.


Wenn der Infiziervorgang abgeschlossen ist, aktiviert Roron den Verbreitungsvorgang:
- Für seine Versendung per eMail erstellt er, vom User unbemerkt, eine Mail mit unterschiedlichen Betreffzeilen und Texten und unterschiedlichen Namen der angehängten Dateien und verschickt diese an alle Adressen, die er in Mails entdeckt, welche sich in der Mail-Box des infizierten Computers befindet.
- Für eine Verbreitung über lokale Netzwerke sucht der Wurm nach gemeinsamen Verzeichnissen, für welche ein uneingeschränkter Zugang besteht, und kopiert sich unter zufällig ausgewählten Namen in diese Verzeichnisse. So kann Roron seine Kopien in allgemein zugänglichen Servern ablegen, von wo aus die Kopien des Wurms dann von den Usern dieser lokalen Netzwerke heruntergeladen und aktiviert werden.
- Zur Verbreitung über das Filesharing-Netzwerk KaZaA sucht Roron nach dem KaZaA-Verzeichnis und schreibt seine Kopie dorthinein, sodass andere KaZaA-User nach Möglichkeit die infizierte Datei herunterladen und ihren Computer infizieren.

Roron verfügt über ein ganzes Arsenal an besonders gefährlichen destruktiven und Spionage-Funktionen. Wenn auf einem infizierten Computer ein mIRC-Client installiert ist (Software, die für einen Zugang zu Internet Relay Chat (IRC)-Kanälen benutzt wird), dann infiziert sie der Wurm mit seinen Backdoor-Funktionen. Diese ermöglichen es den Hackern, unbemerkt Kontrolle über den Computer zu gewinnen und u.a. Dateien zu erstellen, verschicken und starten, Mails zu verschicken, den Computer neu zu starten und Informationen über den Computer weiterzuleiten. Die Backdoor-Komponente des Wurms kann außerdem DoS-Attacken auf von den Hackern dazu ausgewählten Computern durchführen. Auf diese Weise können die Viren-Autoren bei einer großen Verbreitung des Wurms ein ganzes Netz an infizierten Systemen schaffen und zu einem bestimmten Zeitpunkt massive DoS-Attacken durchführen, wie etwa vor zwei Wochen geschehen, als 13 der wichtigsten Internet-Server attackiert worden sind.
Roron kann außerdem alle Dateien auf allen Laufwerken eines infizierten Computers entfernen. Eine Aktivisierung dieser Payload erfolgt in folgenden Fällen:
- Jeweils am 9. und 19. jeden Monats (Systemdatum)
- Wenn eine der Hauptkomponenten des Wurms gelöscht wird (WINFILE.DLL)
- Wenn die Registrierschlüssel des Wurms aus dem Windows-Systemverzeichnis entfernt werden
- Nach einem Zufallsprinzip, je nach internem Zähler des Wurms

Außerdem sucht Roron nach aktiven Vorgängen einiger Antiviren-Programme und versucht diese zum Schließen zu nötigen. Dazu versucht der Wurm diese Antiviren-Programme ganz von der Festplatte zu entfernen.

Es sind bereits Schutzverfahren gegen diese Malware der Kaspersky Antiviren-Datenbank hinzugefügt worden.

Detailliertere Informationen zu Roron finden Sie in der Kaspersky Virus Encyclopedia (http://www.viruslist.com/eng/viruslist.html?id=57811).
Ähnliche Inhalte
LAN, WAN, Wireless

2 WLAN Router, 1 für I-Net, ist das möglich?

Frage von larado56LAN, WAN, Wireless6 Kommentare

Hallo zusammen, ich habe 2 "Netzwerke" laufen. Ein normales mit div Pc´s und Druckern und Internet. Ein 2tes mit ...

Peripheriegeräte

Herzrate I Pollingrate I USB Ports I 256Hz und 1000Hz nutzen

Frage von h0nti.der.neuePeripheriegeräte2 Kommentare

Guten Abend liebe Forumuser :-), ich habe da folgende Frage, da ich mich in letzter Zeit viel mit Pollingrate ...

Sicherheit

Virenportale - Viren, Würmer, Trojaner zum Download

Frage von CorraggiounoSicherheit9 Kommentare

Hallo zusammen, kann mir jemand ein gutes Portal empfehlen, wo ich Viren, Trojaner downloaden kann. Möchte die Viren auf ...

Vmware

VMware ESX i Installationsfehler

gelöst Frage von bolle01Vmware7 Kommentare

Moin, ich bin gerade dabei ein ESXi Server aufzusetzen. Als Server wird ein Asus M5A99 Evo R.2 benutzt. Da ...

Neue Wissensbeiträge
Router & Routing

Olle Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 3 StundenRouter & Routing

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 16 StundenSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 22 StundenWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Microsoft Office

MS Office 2019 ohne OneNote - OneNote App speichert nur in Cloud

Information von Deepsys vor 1 TagMicrosoft Office5 Kommentare

Microsoft zeigt deutlich wohin alles bei Ihnen geht, OneNote 2019 wird es nicht mehr geben, und die Windows 10 ...

Heiß diskutierte Inhalte
Festplatten, SSD, Raid
Server SSD: NVMe PCIe 3.0 RAID?
Frage von bouneeFestplatten, SSD, Raid15 Kommentare

Hallo liebe Admins, mir stellt sich gerade die Frage, ob ein neuer Server mit SSD NVMe PCIe 3.0 Sinn ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

Windows 10
Windows 10 Startmenü-Einstellungen Systemweit festlegen
Frage von flotautWindows 1013 Kommentare

Guten Morgen liebe Admins, wir möchten bei uns am Lehrstuhl demnächst auf Windows 10 umsteigen. Wir installieren unsere PC's ...

LAN, WAN, Wireless
OpenVPN Client Fehlermeldungen
Frage von chris84LAN, WAN, Wireless12 Kommentare

Hallo Zusammen, wir nutzen seit kurzem einen neuen Router und den OpenVPN Client. Die VPN Verbindung klappt; allerdings kommen ...