|
Mail-Wurm verbreitet sich über
Netzwerk-Laufwerke und KaZaa
Oror-Wurm versucht Virenscanner und Firewall-Software zu
deaktivieren
Zahlreiche Hersteller von Antiviren-Software warnen vor dem
Oror-Wurm, der sich sowohl über E-Mail als auch über
Netzwerk-Laufwerke sowie das KaZaa-Netzwerk verbreitet und bereits
in sechs Varianten vorliegen soll. Zudem schleust der Wurm eine
IRC-Hintertür ein, um über den Chat-Dienst Kontrolle über das
befallene System zu erlangen. Schließlich löscht der Wurm
zahlreiche Dateien und deaktiviert laufende Virenscanner.
Der in Visual C++ geschriebene Wurm-Code besteht aus einer 120 KByte
großen, ausführbaren Windows-Datei, die unter zufällig
ausgewählten Namen auf angeschlossenen Netzwerk-Laufwerken oder in
einem vorhandenen KaZaa-Verzeichnis abgelegt wird. Damit sich der
Wurm über ein Netzwerk-Laufwerk verbreiten kann, muss dieses einen
vollen Zugriff gewähren. Glückt die Verbreitung, sorgt der
Oror-Wurm dafür, dass er auf angeschlossenen Systemen automatisch
beim nächsten Rechnerstart ausgeführt wird. Für die Verbreitung
über das KaZaa-Netzwerk kopiert sich der Wurm mit ebenfalls
zufällig gewählten Namen in ein KaZaa-Verzeichnis und wartet
darauf, sich in andere Systeme einzunisten, um dort ausgeführt zu
werden.
Für die Verbreitung über E-Mails sucht der Wurm nach passenden
Adressen im Posteingang des E-Mail-Clients sowie im
Windows-Adressbuch und versendet sich über die
Windows-MAPI-Funktion an alle gefundenen Adressaten. Der eigentliche
Wurm-Code steckt im Mail-Anhang und weist ebenfalls zufällig
ausgewählte Namen auf. Ebenso werden Betreff und Nachrichtentext
zufällig ausgewählt. Wird der Wurm-Anhang gestartet, erscheint
eine gefälschte WinZip-Fehlermeldung. Auf einem befallenen System
kopiert sich der Oror-Wurm in das Windows-Verzeichnis und sorgt
durch einen passenden Registry-Eintrag dafür, dass dieser bei jedem
Systemstart ausgeführt wird. Zudem legt er sich auch im
Windows-System-Verzeichnis und im Programme-Ordner unter wechselnden
Dateinamen ab, die ebenfalls bei jedem Neustart geladen werden.
|
Die
Hintertür, die der Wurm im Chat-Client IRC anlegt, erlaubt es einem
Angreifer, Kontrolle über das befallene System zu erlangen. Darüber
lassen sich dann Dateien senden, empfangen oder ausführen. Aber
auch der Versand von Spam-Nachrichten oder ein Neustart des Rechners
ist so möglich. Damit der Schädling nicht von Virenscannern
erkannt wird, versucht der Wurm, laufende Antiviren-Software und
Software-Firewalls aus dem Speicher zu entfernen und löscht auch
entsprechende Dateien auf der Festplatte.
Die Anbieter von Antiviren-Software bieten aktualisierte
Virensignaturen an, damit der verwendete Virenscanner auch diesen
Unhold entdeckt und unschädlich machen kann.
|
