Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

I-Wurm Roron - Alarmstufe 1

Frage Sicherheit Viren und Trojaner

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

08.11.2002, aktualisiert 08.01.2009, 8584 Aufrufe

Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit warnt vor dem neuen Internet-Wurm Roron, der in Bulgarien entwickelt worden ist. Bis jetzt sind bereits 6 Modifikationen des Wurms entdeckt worden, welche in vielen Ländern (u.a. in Russland, USA und einer Reihe europäischer Länder) zahlreiche Infektionen verursacht haben.

Destruktive Prozeduren, integrierte Backdoor-Funktionen (für eine unautorisierte entfernte Steuerung des Computers) und seine Fähigkeit, sich über mehrere Kanäle zu verbreiten; dies alles macht diesen Wurm höchst gefährlich.

Roron verbreitet sich über mehrere Datentransfer-Kanäle: Über eMails als angehängte Datei, über lokale Netzwerke und über das KaZaA-Filesharing-Netzwerk. Ein System wird nur dann infiziert, wenn der User selbst die Wirtsdatei des Wurms startet, welche der User über die oben genannten Verbreitungswege erhalten hat. Beim Infizieren erstellt Roron im Windows-Systemverzeichnis und in den Programmdateien seine Kopien und registriert eine dieser Dateien im Registrierschlüssel des Systemregisters. Auf diese Weise stellt der Wurm seine Aktivisierung bei jedem Neustart des Betriebssystems sicher. In einigen Fällen lässt der Wurm beim Infizieren folgende Pseudo-Fehlermeldung erscheinen:

WinZip Self-Extractor License Confirmation

Your version of WinZip Self-Extractor is not licensed, or the license
information is missing or corrupted. Please contact the program vendor
or the web site (www.WinZip.com) for additional information.


Wenn der Infiziervorgang abgeschlossen ist, aktiviert Roron den Verbreitungsvorgang:
- Für seine Versendung per eMail erstellt er, vom User unbemerkt, eine Mail mit unterschiedlichen Betreffzeilen und Texten und unterschiedlichen Namen der angehängten Dateien und verschickt diese an alle Adressen, die er in Mails entdeckt, welche sich in der Mail-Box des infizierten Computers befindet.
- Für eine Verbreitung über lokale Netzwerke sucht der Wurm nach gemeinsamen Verzeichnissen, für welche ein uneingeschränkter Zugang besteht, und kopiert sich unter zufällig ausgewählten Namen in diese Verzeichnisse. So kann Roron seine Kopien in allgemein zugänglichen Servern ablegen, von wo aus die Kopien des Wurms dann von den Usern dieser lokalen Netzwerke heruntergeladen und aktiviert werden.
- Zur Verbreitung über das Filesharing-Netzwerk KaZaA sucht Roron nach dem KaZaA-Verzeichnis und schreibt seine Kopie dorthinein, sodass andere KaZaA-User nach Möglichkeit die infizierte Datei herunterladen und ihren Computer infizieren.

Roron verfügt über ein ganzes Arsenal an besonders gefährlichen destruktiven und Spionage-Funktionen. Wenn auf einem infizierten Computer ein mIRC-Client installiert ist (Software, die für einen Zugang zu Internet Relay Chat (IRC)-Kanälen benutzt wird), dann infiziert sie der Wurm mit seinen Backdoor-Funktionen. Diese ermöglichen es den Hackern, unbemerkt Kontrolle über den Computer zu gewinnen und u.a. Dateien zu erstellen, verschicken und starten, Mails zu verschicken, den Computer neu zu starten und Informationen über den Computer weiterzuleiten. Die Backdoor-Komponente des Wurms kann außerdem DoS-Attacken auf von den Hackern dazu ausgewählten Computern durchführen. Auf diese Weise können die Viren-Autoren bei einer großen Verbreitung des Wurms ein ganzes Netz an infizierten Systemen schaffen und zu einem bestimmten Zeitpunkt massive DoS-Attacken durchführen, wie etwa vor zwei Wochen geschehen, als 13 der wichtigsten Internet-Server attackiert worden sind.
Roron kann außerdem alle Dateien auf allen Laufwerken eines infizierten Computers entfernen. Eine Aktivisierung dieser Payload erfolgt in folgenden Fällen:
- Jeweils am 9. und 19. jeden Monats (Systemdatum)
- Wenn eine der Hauptkomponenten des Wurms gelöscht wird (WINFILE.DLL)
- Wenn die Registrierschlüssel des Wurms aus dem Windows-Systemverzeichnis entfernt werden
- Nach einem Zufallsprinzip, je nach internem Zähler des Wurms

Außerdem sucht Roron nach aktiven Vorgängen einiger Antiviren-Programme und versucht diese zum Schließen zu nötigen. Dazu versucht der Wurm diese Antiviren-Programme ganz von der Festplatte zu entfernen.

Es sind bereits Schutzverfahren gegen diese Malware der Kaspersky Antiviren-Datenbank hinzugefügt worden.

Detailliertere Informationen zu Roron finden Sie in der Kaspersky Virus Encyclopedia (http://www.viruslist.com/eng/viruslist.html?id=57811).
Neuester Wissensbeitrag
Windows 10

Server 2016 Core als VM auf Win10 1607 - geht nicht

(2)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Ähnliche Inhalte
Heiß diskutierte Inhalte
Off Topic
Mein Arbeitsplatz wurde Outgesourced (42)

Frage von Schroedingers.Katze zum Thema Off Topic ...

Windows Server
gelöst Windows Server Sicherung wirre Meldungen (21)

Frage von DKowalke zum Thema Windows Server ...

Windows 10
gelöst GPO wird bei manchen Rechnern nicht übernommen (20)

Frage von Hanuta zum Thema Windows 10 ...

Mac OS X
gelöst Netzlaufwerke MAC OS Sierra (16)

Frage von Hendrik2586 zum Thema Mac OS X ...