Dieser Beitrag ist schon älter. Bitte vergewissern Sie sich, dass die Rahmenbedingungen oder der enthaltene Lösungsvorschlag noch dem aktuellen Stand der Technik entspricht.

I-Wurm Roron - Alarmstufe 1

Mitglied: Frank
Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit warnt vor dem neuen Internet-Wurm Roron, der in Bulgarien entwickelt worden ist. Bis jetzt sind bereits 6 Modifikationen des Wurms entdeckt worden, welche in vielen Ländern (u.a. in Russland, USA und einer Reihe europäischer Länder) zahlreiche Infektionen verursacht haben.

Destruktive Prozeduren, integrierte Backdoor-Funktionen (für eine unautorisierte entfernte Steuerung des Computers) und seine Fähigkeit, sich über mehrere Kanäle zu verbreiten; dies alles macht diesen Wurm höchst gefährlich.

Roron verbreitet sich über mehrere Datentransfer-Kanäle: Über eMails als angehängte Datei, über lokale Netzwerke und über das KaZaA-Filesharing-Netzwerk. Ein System wird nur dann infiziert, wenn der User selbst die Wirtsdatei des Wurms startet, welche der User über die oben genannten Verbreitungswege erhalten hat. Beim Infizieren erstellt Roron im Windows-Systemverzeichnis und in den Programmdateien seine Kopien und registriert eine dieser Dateien im Registrierschlüssel des Systemregisters. Auf diese Weise stellt der Wurm seine Aktivisierung bei jedem Neustart des Betriebssystems sicher. In einigen Fällen lässt der Wurm beim Infizieren folgende Pseudo-Fehlermeldung erscheinen:

WinZip Self-Extractor License Confirmation

Your version of WinZip Self-Extractor is not licensed, or the license
information is missing or corrupted. Please contact the program vendor
or the web site (www.WinZip.com) for additional information.


Wenn der Infiziervorgang abgeschlossen ist, aktiviert Roron den Verbreitungsvorgang:
- Für seine Versendung per eMail erstellt er, vom User unbemerkt, eine Mail mit unterschiedlichen Betreffzeilen und Texten und unterschiedlichen Namen der angehängten Dateien und verschickt diese an alle Adressen, die er in Mails entdeckt, welche sich in der Mail-Box des infizierten Computers befindet.
- Für eine Verbreitung über lokale Netzwerke sucht der Wurm nach gemeinsamen Verzeichnissen, für welche ein uneingeschränkter Zugang besteht, und kopiert sich unter zufällig ausgewählten Namen in diese Verzeichnisse. So kann Roron seine Kopien in allgemein zugänglichen Servern ablegen, von wo aus die Kopien des Wurms dann von den Usern dieser lokalen Netzwerke heruntergeladen und aktiviert werden.
- Zur Verbreitung über das Filesharing-Netzwerk KaZaA sucht Roron nach dem KaZaA-Verzeichnis und schreibt seine Kopie dorthinein, sodass andere KaZaA-User nach Möglichkeit die infizierte Datei herunterladen und ihren Computer infizieren.

Roron verfügt über ein ganzes Arsenal an besonders gefährlichen destruktiven und Spionage-Funktionen. Wenn auf einem infizierten Computer ein mIRC-Client installiert ist (Software, die für einen Zugang zu Internet Relay Chat (IRC)-Kanälen benutzt wird), dann infiziert sie der Wurm mit seinen Backdoor-Funktionen. Diese ermöglichen es den Hackern, unbemerkt Kontrolle über den Computer zu gewinnen und u.a. Dateien zu erstellen, verschicken und starten, Mails zu verschicken, den Computer neu zu starten und Informationen über den Computer weiterzuleiten. Die Backdoor-Komponente des Wurms kann außerdem DoS-Attacken auf von den Hackern dazu ausgewählten Computern durchführen. Auf diese Weise können die Viren-Autoren bei einer großen Verbreitung des Wurms ein ganzes Netz an infizierten Systemen schaffen und zu einem bestimmten Zeitpunkt massive DoS-Attacken durchführen, wie etwa vor zwei Wochen geschehen, als 13 der wichtigsten Internet-Server attackiert worden sind.
Roron kann außerdem alle Dateien auf allen Laufwerken eines infizierten Computers entfernen. Eine Aktivisierung dieser Payload erfolgt in folgenden Fällen:
- Jeweils am 9. und 19. jeden Monats (Systemdatum)
- Wenn eine der Hauptkomponenten des Wurms gelöscht wird (WINFILE.DLL)
- Wenn die Registrierschlüssel des Wurms aus dem Windows-Systemverzeichnis entfernt werden
- Nach einem Zufallsprinzip, je nach internem Zähler des Wurms

Außerdem sucht Roron nach aktiven Vorgängen einiger Antiviren-Programme und versucht diese zum Schließen zu nötigen. Dazu versucht der Wurm diese Antiviren-Programme ganz von der Festplatte zu entfernen.

Es sind bereits Schutzverfahren gegen diese Malware der Kaspersky Antiviren-Datenbank hinzugefügt worden.

Detailliertere Informationen zu Roron finden Sie in der Kaspersky Virus Encyclopedia (http://www.viruslist.com/eng/viruslist.html?id=57811).

Content-Key: 426

Url: https://administrator.de/contentid/426

Ausgedruckt am: 17.09.2021 um 21:09 Uhr

Heiß diskutierte Beiträge
question
Netzwerkperformance - Mikrotik - Wo ist mein Fehler? gelöst BirdyBVor 1 TagFrageNetzwerke37 Kommentare

Moin zusammen, ich stehe gerade etwas auf dem Schlauch und weiß nicht so recht was mein Fehler ist. Gegeben ist mein heimisches Netzwerk: Also eigentlich ...

general
HomeServer noch mal anfassen?dertowaVor 1 TagAllgemeinServer-Hardware20 Kommentare

Hallo zusammen, erst im Juli dieses Jahres habe ich mein Homeserver-System angefasst und ein paar Upgrades vorgenommen. Der Threadripper 1920x wurde durch einen Ryzen 5 ...

info
Hunderttausende MikroTik-Router sind seit 2018 angreifbarkilltecVor 1 TagInformationMikroTik RouterOS23 Kommentare

Mehrere MikroTik Router angreifbar. Hier der Link zu Heise: Hunderttausende MikroTik-Router sind seit 2018 angreifbar Gruß ...

question
Neue Firmennetzwerkstruktur und ein glühender KopfDerWachnerVor 1 TagFrageNetzwerke28 Kommentare

Moin zusammen, nun hab ich jahrelang hier nur mitgelesen, nun stehe ich allerdings selbst vor nem Problem was mir seit Tagen Kopfschmerzen bereitet. Also wir ...

general
Neue Herausforderungen auf unserer englischen SeiteFrankVor 1 TagAllgemeinOff Topic14 Kommentare

Auf unserer englischen Seite gibt es neue Herausforderungen: Find who restarted DB server und Wanted: Network Node Manager 6.4 wer kann helfen? Generell findet ihr ...

question
Windows Server 2012 R2 frisst SSDs (cbs.log)drahtbrueckeVor 1 TagFrageWindows Server12 Kommentare

Hallo, ich habe vor etwa 2 Monaten eine nur etwa 3 Monate alte SSD gegen eine neue getauscht (Samsung OEM Datacenter SSD SM883) in einem ...

question
Infos zu VOIP bzw. SIP gesucht gelöst lcer00Vor 1 TagFrageVoice over IP15 Kommentare

Hallo, kennt jemand vernünftige Einstiegslektüre (digital oder als Buch) zu VoIP, SIP & Co? Das Prinzip ist mir zwar eigentlich klar, aber gerade bei den ...

question
RDS CALs und normale CALs - Wie richtig lizensierentim.riepVor 1 TagFrageWindows Server18 Kommentare

Hallo liebe User, ich habe eine Frage zur richtigen Lizensierung: Wenn eine natürliche Person zum Beispiel drei Accounts auf einem Windows Server 2016 hat, braucht ...