Kaspersky Labs warnt vor "Roron"-Wurm
Die Kaspersky Labs warnen vor dem Wurm "Roron", der sich sowohl via E-Mail als auch über lokale Netzwerke sowie die Tauschbörse Kazaa verbreitet.
Die in Bulgarien entwickelte Malware ist bereits in sechs Modifikationen aufgetaucht und verfügt über eine ganze Reihe besonders destruktiver Spionage-Funktionen, so Kaspersky Labs.
120 KB große Windows-Datei
Der in Visual C++ geschriebene Wurm-Code besteht aus einer 120 KB
großen Windows-Datei. Wird diese geöffnet, erstellt Roron seine
Kopien im Windows-Systemverzeichnis und in den Programmdateien,
wobei eine dieser Dateien in den Registrierschlüssel des
Systemregisters geschrieben wird. Dadurch ist eine Aktivierung der
Malware bei jedem Neustart des infizierten Systems sichergestellt.
I-Worm.Roron.12Betreff und Nachrichtentext zufällig
Die Verbreitung per E-Mail findet unter zufällig ausgewählten Namen und Inhalten statt, Roron verschickt seine Kopien an alle in der Mailbox vorhandenen Adressen. In lokalen Netzwerken kopiert sich der Wurm unter zufälligen Namen in gemeinsame Verzeichnisse ohne Zugriffsbeschränkung.
Weiters lokalisiert er das Kazaa-Verzeichnis, wo er ebenfalls eine Kopie erstellt, um sich per Download in fremden Systemen einzunisten.
Der Wurm inifziert außerdem den mIRC-Client mit einer Backdoor-Funktion, die es den Hackern ermöglicht, von außen in Systemabläufe einzugreifen und gezielte DoS-Attacken durchzuführen.
Deaktiviert Anti-Virenprogramme
Roron kann aktive Anti-Virenprogramme und Firewalls lokalisieren
und sie deaktivieren oder gänzlich von der Festplatte entfernen.
Kaspersky Labs bietet in seiner Antiviren-Datenbank bereits
aktualisierte Virensignaturen zur Bekämpfung von Roron an.
Kapersky