7. November 2002 - Kaspersky Labs, eine internationale Software-Schmiede im Bereich Datensicherheit, warnt vor dem neuen, in Bulgarien entwickelten Internet-Wurm Roron. Bis jetzt sind sechs Modifikationen des Wurms entdeckt worden, die bereits unter anderem in Russland, USA und einer Reihe europäischer Länder zahlreiche Infektionen verursacht haben. Seine destruktive Natur, integrierte Backdoor-Funktionen (für eine unautorisierte Remote-Steuerung des Computers) und seine Fähigkeit, sich über mehrere Kanäle zu verbreiten machen den Wurm höchst gefährlich.
Roron verbreitet sich über mehrere Datentransfer-Kanäle: Über E-Mails als angehängte Datei, über lokale Netzwerke und über das KaZaA-Filesharing-Netzwerk. Ein System wird nur dann infiziert, wenn der User selbst die Wirtsdatei des Wurms startet. Beim Infizieren erstellt Roron im Windows-Systemverzeichnis und in den Programmdateien seine Kopien und registriert eine dieser Dateien im Registrierschlüssel des Systemregisters. Auf diese Weise stellt der Wurm seine Aktivierung bei jedem Neustart des Betriebssystems sicher. In einigen Fällen lässt der Wurm beim Infizieren folgende Pseudo-Fehlermeldung erscheinen:
WinZip Self-Extractor License Confirmation
Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.
Wenn die Infizierung abgeschlossen ist, wird Roron aktiv: Für seine Versendung per E-Mail erstellt er, vom User unbemerkt, eine Mail mit unterschiedlichen Betreffzeilen und Texten sowie unterschiedlichen Namen der angehängten Dateien und verschickt diese an alle Adressen, die er in Mails in der Mail-Box des infizierten Computers entdeckt.
Für eine Verbreitung über lokale Netzwerke sucht der Wurm nach gemeinsamen Verzeichnissen mit uneingeschränktem Zugang und kopiert sich unter zufällig ausgewählten Namen in sie hinein. So kann Roron seine Kopien in allgemein zugänglichen Servern ablegen, von wo aus sie dann von den Usern dieser lokalen Netzwerke heruntergeladen und aktiviert werden.
Zur Verbreitung über KaZaA sucht Roron nach dem KaZaA-Verzeichnis und schreibt seine Kopie dort hinein, so dass andere KaZaA-User möglicherweise die befallene Datei herunterladen und ihren Computer infizieren.
Besonders aggressiv
Roron verfügt über ein ganzes Arsenal an besonders gefährlichen destruktiven und Spionage-Funktionen. Wenn auf einem infizierten Computer ein mIRC-Client installiert ist (Software, die für einen Zugang zu Internet Relay Chat (IRC)-Kanälen benutzt wird), dann infiziert sie der Wurm mit seinen Backdoor-Funktionen. Diese ermöglichen es Hackern, unbemerkt Kontrolle über den Computer zu gewinnen, unter anderem Dateien zu erstellen, zu verschicken und zu starten, Mails zu verschicken, den Computer neu zu starten und Informationen über den Computer weiterzuleiten. Die Backdoor-Komponente des Wurms kann außerdem DoS-Attacken durchführen. Auf diese Weise können die Viren-Autoren bei einer weitreichenden Verbreitung des Wurms ein ganzes Netz an infizierten Systemen schaffen und zu einem bestimmten Zeitpunkt massive DoS-Attacken durchführen. Bestes Beispiel ist der Angriff auf 13 der wichtigsten Internet-Server vor etwa zwei Wochen. Roron kann außerdem sämtliche Dateien auf allen Laufwerken eines infizierten Computers entfernen. Eine Aktivierung erfolgt in folgenden Fällen:
·Jeweils am 9. und 19. jeden Monats (Systemdatum)
·Wenn eine der Hauptkomponenten des Wurms gelöscht wird (WINFILE.DLL)
·Wenn die Registrierschlüssel des Wurms aus dem Windows-Systemverzeichnis entfernt werden
·Nach einem Zufallsprinzip, je nach internem Zähler des Wurms
Außerdem sucht Roron nach aktiven Vorgängen einiger Antiviren-Programme und versucht diese zum Schließen zu zwingen. Zudem versucht der Wurm diese Antiviren-Programme ganz von der Festplatte zu entfernen.
Der Kasperky Antiviren-Datenbank sind bereits Schutzverfahren gegen diese Malware hinzugefügt worden.
Detailliertere Informationen zu Roron finden Sie in der Kaspersky Virus Encyclopedia.
Das Unternehmen
Kaspersky Labs Int. ist ein expandierender, eigenständiger und in privatem Besitz befindlicher Hersteller für Datensicherheits-Software mit Niederlassungen in Moskau (Russland), Cambridge (Großbritannien) und Pleasanton (USA). Gegründet 1997, konzentriert sich das Unternehmen auf die Entwicklung von Datensicherheitstechnologien und gehört hier weltweit zu den Marktführern. Kaspersky Labs bietet Anti-Virus-Software, die private Nutzer ebenso wie große Konzerne wirkungsvoll vor Virenbefall schützen, sowie Personal Firewalls und Viren-Filter-Systeme auf Unternehmensebene. Kaspersky vermarktet, vertreibt und unterstützt seine Software und Dienstleistungen weltweit in mehr als 50 Ländern. Detailliertere Informationen finden Sie unter www.kaspersky.com.
Deutsche Pressemitteilungen sind zudem abrufbar unter www.commcreativ.de
Weitere Informationen
Kaspersky Labs
Denis Zenkin
10, Geroyev Panfilovtsev ST
RUS-125363 Moskau
Tel: +7 / 095 / 948 56 50
Fax: +7 / 095 / 948 43 31
Email: denis@kaspersky.com
COMMcreativ
Public Communications oHG
Schießstättstr. 30
80339 München
Tel.: +49 / 89 / 51 99 67-0
Fax: +49 / 89 / 51 99 67-19
info@commcreativ.de
Roron verbreitet sich über mehrere Datentransfer-Kanäle: Über E-Mails als angehängte Datei, über lokale Netzwerke und über das KaZaA-Filesharing-Netzwerk. Ein System wird nur dann infiziert, wenn der User selbst die Wirtsdatei des Wurms startet. Beim Infizieren erstellt Roron im Windows-Systemverzeichnis und in den Programmdateien seine Kopien und registriert eine dieser Dateien im Registrierschlüssel des Systemregisters. Auf diese Weise stellt der Wurm seine Aktivierung bei jedem Neustart des Betriebssystems sicher. In einigen Fällen lässt der Wurm beim Infizieren folgende Pseudo-Fehlermeldung erscheinen:
WinZip Self-Extractor License Confirmation
Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.
Wenn die Infizierung abgeschlossen ist, wird Roron aktiv: Für seine Versendung per E-Mail erstellt er, vom User unbemerkt, eine Mail mit unterschiedlichen Betreffzeilen und Texten sowie unterschiedlichen Namen der angehängten Dateien und verschickt diese an alle Adressen, die er in Mails in der Mail-Box des infizierten Computers entdeckt.
Für eine Verbreitung über lokale Netzwerke sucht der Wurm nach gemeinsamen Verzeichnissen mit uneingeschränktem Zugang und kopiert sich unter zufällig ausgewählten Namen in sie hinein. So kann Roron seine Kopien in allgemein zugänglichen Servern ablegen, von wo aus sie dann von den Usern dieser lokalen Netzwerke heruntergeladen und aktiviert werden.
Zur Verbreitung über KaZaA sucht Roron nach dem KaZaA-Verzeichnis und schreibt seine Kopie dort hinein, so dass andere KaZaA-User möglicherweise die befallene Datei herunterladen und ihren Computer infizieren.
Besonders aggressiv
Roron verfügt über ein ganzes Arsenal an besonders gefährlichen destruktiven und Spionage-Funktionen. Wenn auf einem infizierten Computer ein mIRC-Client installiert ist (Software, die für einen Zugang zu Internet Relay Chat (IRC)-Kanälen benutzt wird), dann infiziert sie der Wurm mit seinen Backdoor-Funktionen. Diese ermöglichen es Hackern, unbemerkt Kontrolle über den Computer zu gewinnen, unter anderem Dateien zu erstellen, zu verschicken und zu starten, Mails zu verschicken, den Computer neu zu starten und Informationen über den Computer weiterzuleiten. Die Backdoor-Komponente des Wurms kann außerdem DoS-Attacken durchführen. Auf diese Weise können die Viren-Autoren bei einer weitreichenden Verbreitung des Wurms ein ganzes Netz an infizierten Systemen schaffen und zu einem bestimmten Zeitpunkt massive DoS-Attacken durchführen. Bestes Beispiel ist der Angriff auf 13 der wichtigsten Internet-Server vor etwa zwei Wochen. Roron kann außerdem sämtliche Dateien auf allen Laufwerken eines infizierten Computers entfernen. Eine Aktivierung erfolgt in folgenden Fällen:
·Jeweils am 9. und 19. jeden Monats (Systemdatum)
·Wenn eine der Hauptkomponenten des Wurms gelöscht wird (WINFILE.DLL)
·Wenn die Registrierschlüssel des Wurms aus dem Windows-Systemverzeichnis entfernt werden
·Nach einem Zufallsprinzip, je nach internem Zähler des Wurms
Außerdem sucht Roron nach aktiven Vorgängen einiger Antiviren-Programme und versucht diese zum Schließen zu zwingen. Zudem versucht der Wurm diese Antiviren-Programme ganz von der Festplatte zu entfernen.
Der Kasperky Antiviren-Datenbank sind bereits Schutzverfahren gegen diese Malware hinzugefügt worden.
Detailliertere Informationen zu Roron finden Sie in der Kaspersky Virus Encyclopedia.
Das Unternehmen
Kaspersky Labs Int. ist ein expandierender, eigenständiger und in privatem Besitz befindlicher Hersteller für Datensicherheits-Software mit Niederlassungen in Moskau (Russland), Cambridge (Großbritannien) und Pleasanton (USA). Gegründet 1997, konzentriert sich das Unternehmen auf die Entwicklung von Datensicherheitstechnologien und gehört hier weltweit zu den Marktführern. Kaspersky Labs bietet Anti-Virus-Software, die private Nutzer ebenso wie große Konzerne wirkungsvoll vor Virenbefall schützen, sowie Personal Firewalls und Viren-Filter-Systeme auf Unternehmensebene. Kaspersky vermarktet, vertreibt und unterstützt seine Software und Dienstleistungen weltweit in mehr als 50 Ländern. Detailliertere Informationen finden Sie unter www.kaspersky.com.
Deutsche Pressemitteilungen sind zudem abrufbar unter www.commcreativ.de
Weitere Informationen
Kaspersky Labs
Denis Zenkin
10, Geroyev Panfilovtsev ST
RUS-125363 Moskau
Tel: +7 / 095 / 948 56 50
Fax: +7 / 095 / 948 43 31
Email: denis@kaspersky.com
COMMcreativ
Public Communications oHG
Schießstättstr. 30
80339 München
Tel.: +49 / 89 / 51 99 67-0
Fax: +49 / 89 / 51 99 67-19
info@commcreativ.de
