Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst I-Wurm Roron - Alarmstufe 1

Mitglied: Frank

Frank (Level 5) - Jetzt verbinden

08.11.2002, aktualisiert 08.01.2009, 8771 Aufrufe

Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit warnt vor dem neuen Internet-Wurm Roron, der in Bulgarien entwickelt worden ist. Bis jetzt sind bereits 6 Modifikationen des Wurms entdeckt worden, welche in vielen Ländern (u.a. in Russland, USA und einer Reihe europäischer Länder) zahlreiche Infektionen verursacht haben.

Destruktive Prozeduren, integrierte Backdoor-Funktionen (für eine unautorisierte entfernte Steuerung des Computers) und seine Fähigkeit, sich über mehrere Kanäle zu verbreiten; dies alles macht diesen Wurm höchst gefährlich.

Roron verbreitet sich über mehrere Datentransfer-Kanäle: Über eMails als angehängte Datei, über lokale Netzwerke und über das KaZaA-Filesharing-Netzwerk. Ein System wird nur dann infiziert, wenn der User selbst die Wirtsdatei des Wurms startet, welche der User über die oben genannten Verbreitungswege erhalten hat. Beim Infizieren erstellt Roron im Windows-Systemverzeichnis und in den Programmdateien seine Kopien und registriert eine dieser Dateien im Registrierschlüssel des Systemregisters. Auf diese Weise stellt der Wurm seine Aktivisierung bei jedem Neustart des Betriebssystems sicher. In einigen Fällen lässt der Wurm beim Infizieren folgende Pseudo-Fehlermeldung erscheinen:

WinZip Self-Extractor License Confirmation

Your version of WinZip Self-Extractor is not licensed, or the license
information is missing or corrupted. Please contact the program vendor
or the web site (www.WinZip.com) for additional information.


Wenn der Infiziervorgang abgeschlossen ist, aktiviert Roron den Verbreitungsvorgang:
- Für seine Versendung per eMail erstellt er, vom User unbemerkt, eine Mail mit unterschiedlichen Betreffzeilen und Texten und unterschiedlichen Namen der angehängten Dateien und verschickt diese an alle Adressen, die er in Mails entdeckt, welche sich in der Mail-Box des infizierten Computers befindet.
- Für eine Verbreitung über lokale Netzwerke sucht der Wurm nach gemeinsamen Verzeichnissen, für welche ein uneingeschränkter Zugang besteht, und kopiert sich unter zufällig ausgewählten Namen in diese Verzeichnisse. So kann Roron seine Kopien in allgemein zugänglichen Servern ablegen, von wo aus die Kopien des Wurms dann von den Usern dieser lokalen Netzwerke heruntergeladen und aktiviert werden.
- Zur Verbreitung über das Filesharing-Netzwerk KaZaA sucht Roron nach dem KaZaA-Verzeichnis und schreibt seine Kopie dorthinein, sodass andere KaZaA-User nach Möglichkeit die infizierte Datei herunterladen und ihren Computer infizieren.

Roron verfügt über ein ganzes Arsenal an besonders gefährlichen destruktiven und Spionage-Funktionen. Wenn auf einem infizierten Computer ein mIRC-Client installiert ist (Software, die für einen Zugang zu Internet Relay Chat (IRC)-Kanälen benutzt wird), dann infiziert sie der Wurm mit seinen Backdoor-Funktionen. Diese ermöglichen es den Hackern, unbemerkt Kontrolle über den Computer zu gewinnen und u.a. Dateien zu erstellen, verschicken und starten, Mails zu verschicken, den Computer neu zu starten und Informationen über den Computer weiterzuleiten. Die Backdoor-Komponente des Wurms kann außerdem DoS-Attacken auf von den Hackern dazu ausgewählten Computern durchführen. Auf diese Weise können die Viren-Autoren bei einer großen Verbreitung des Wurms ein ganzes Netz an infizierten Systemen schaffen und zu einem bestimmten Zeitpunkt massive DoS-Attacken durchführen, wie etwa vor zwei Wochen geschehen, als 13 der wichtigsten Internet-Server attackiert worden sind.
Roron kann außerdem alle Dateien auf allen Laufwerken eines infizierten Computers entfernen. Eine Aktivisierung dieser Payload erfolgt in folgenden Fällen:
- Jeweils am 9. und 19. jeden Monats (Systemdatum)
- Wenn eine der Hauptkomponenten des Wurms gelöscht wird (WINFILE.DLL)
- Wenn die Registrierschlüssel des Wurms aus dem Windows-Systemverzeichnis entfernt werden
- Nach einem Zufallsprinzip, je nach internem Zähler des Wurms

Außerdem sucht Roron nach aktiven Vorgängen einiger Antiviren-Programme und versucht diese zum Schließen zu nötigen. Dazu versucht der Wurm diese Antiviren-Programme ganz von der Festplatte zu entfernen.

Es sind bereits Schutzverfahren gegen diese Malware der Kaspersky Antiviren-Datenbank hinzugefügt worden.

Detailliertere Informationen zu Roron finden Sie in der Kaspersky Virus Encyclopedia (http://www.viruslist.com/eng/viruslist.html?id=57811).
Ähnliche Inhalte
LAN, WAN, Wireless

2 WLAN Router, 1 für I-Net, ist das möglich?

Frage von larado56LAN, WAN, Wireless6 Kommentare

Hallo zusammen, ich habe 2 "Netzwerke" laufen. Ein normales mit div Pc´s und Druckern und Internet. Ein 2tes mit ...

Peripheriegeräte

Herzrate I Pollingrate I USB Ports I 256Hz und 1000Hz nutzen

Frage von h0nti.der.neuePeripheriegeräte2 Kommentare

Guten Abend liebe Forumuser :-), ich habe da folgende Frage, da ich mich in letzter Zeit viel mit Pollingrate ...

Sonstige Systeme

IBM Power i

gelöst Frage von HanutaSonstige Systeme4 Kommentare

Hallo Zusammen, kann mir einer sagen, warum es hier keinen Reiter für IBM Produkte z. B. Power i gibt? ...

Microsoft Office

Excel Tabelle - i-Symbol

Frage von HansB3rtMicrosoft Office5 Kommentare

Guten Tag zusammen, ich habe ein Excel Dokument (vor Jahrfen bekommen) mit vielen Blättern/Zeilen/Spalten, diese haben sich über die ...

Neue Wissensbeiträge
Linux Userverwaltung

Samba-ActiveDirectory mit FreeRADIUS, CheckMK, Nextcloud, OpenVPN, ProxmoxVE und mehr

Anleitung von BinaryBear vor 29 MinutenLinux Userverwaltung

Ich habe die letzten Wochen (Monate) damit verbracht mit in das Thema ActiveDirectory und Samba einzuarbeiten. Dabei habe ich ...

Verschlüsselung & Zertifikate

Extended Validation Certificates are (Really, Really) Dead

Information von Dani vor 2 TagenVerschlüsselung & Zertifikate

Moin all, sehr interessanter Artikel zu EV SSL/TLS- Zertifikate von Troy Hunt: Gruß, Dani

Humor (lol)
Das IoT wird schlimmer
Erfahrungsbericht von Henere vor 4 TagenHumor (lol)8 Kommentare

Nun auch schon über den WSUS:

Sicherheit

Win10 1809 und höher erlauben nun das Sperren und Whitelisten von bestimmten Geräten

Tipp von DerWoWusste vor 5 TagenSicherheit1 Kommentar

Vor 1809 konnten nur Geräteklassen gesperrt werden, nun können endlich einzelne Device instance IDs gewhitelistet werden (oder andersherum: gesperrt ...

Heiß diskutierte Inhalte
Netzwerke
Suche schnelleren VPN-Router für IPSec-Verbindung und zusätzlichem S0-Port für TK-Anlage, um Fritzbox zu ersetzen
Frage von TomSEE01Netzwerke46 Kommentare

Hallo, ich bin neu hier im Forum. Und zwar hätte ich folgende Frage, ich benötige eine VPN-Server Fähige Firewall/Router, ...

Schulung & Training
Was sollte man im Helpdesk bzw Service Desk 1st Level wissen
Frage von loubertSchulung & Training28 Kommentare

Hallo zusammen, ich fange demnächst in einem IT-Systemhaus meinen neuen Job im IT-Helpdesk (UHD), 1st Level (für externe Kunden,) ...

Netzwerkmanagement
Netzwerksegmentierung eines 16bit Kundennetzes
Frage von Locke2016Netzwerkmanagement21 Kommentare

Hallo lieber IT Mitstreiter, ich habe folgendes Problem bei einem Kunden, der ein grosses /16 Netz hat und bei ...

Hosting & Housing
IPv4 Dienst im IPv6 Netzwerk
gelöst Frage von Jumper205Hosting & Housing19 Kommentare

Hallo Zusammen, ich benötige mal euer schwarm Wissen. Ich wurde vor einiger Zeit auf einen Deutsche Glasfaser Anschluss umgestellt. ...