Bitdefender warnt vor sehr bösartigem Wurm
Bitdefender warnt: "Zimuse" zerstört Festplatte durch Schadcode
Anti-Malware-Anbieter Bitdefender (www.bitdefender.de) meldet, man habe mit Win32.Worm.Zimuse.A. einen neuen Schadcode identifiziert. Das Besondere laut Bitdefender: Erstmals greift ein Threat die Hardware eines PCs an. Dazu kombiniert er die zerstörerische Verhaltensweise eines Virus und nutzt gleichzeitig die effektiven Verbreitungsmechanismen eines Wurms. Gegenüber dem Anwender tarnt sich der Schadcode als harmloser IQ-Test. Bislang sind zwei Varianten des Virus bekannt.
Win32.Worm.Zimuse.A ist, so Bitdefender, eine extrem gefährliche Art von Malware. Einmal
ausgeführt, erstellt der Wurm zwischen sieben und elf Kopien von sich selbst (je nach Variante) in
den kritischen Bereichen des Windows-Systems.
Im Vergleich zu herkömmlichen Würmern verursacht Win32.Worm.Zimuse.A einen totalen Datenverlust,
da er die ersten 50 KByte des Master Boot Record überschreibt. Um sich bei jedem Windows-Start
erneut auszuführen, setzt der Wurm den folgenden Registry-Eintrag:
Zudem werden zwei Treiberdateien installiert, und zwar mit den Bezeichnungen:
%system%\drivers\Mstart.sys sowie %System%\drivers\Mseu.sys.
Da die 64-Bit-Versionen von Windows Vista und Windows 7 über digital signierte Treiber verfügen,
kann der Wurm die Treiberdateien bei diesen Systemen nicht installieren.
Die Malware mache es den Anwendern bereits in einem frühen Stadium seiner Aktivierung nahezu
unmöglich zu erkennen, dass sie Opfer einer Infektion geworden sind. Ist eine bestimmte Anzahl von
Tagen verstrichen (40 Tage für Variante A, 20 Tage für die Variante B), erhält der Benutzer eine
Fehlermeldung. Diese teilt ihm mit, dass ein Problem aufgetreten ist, welches aus bösartigen
Inhalten in IP-Paketen einer seltsam aussehenden Web-Adresse resultiert. Der Anwender wird gebeten,
sein System neu zu starten, indem er auf "OK" klickt. Nach Betätigung wird die Festplatte des PCs
beim nächsten Neustart aufgrund des erwähnten Registry-Eintrags zerstört, das System ist fortan
unbrauchbar.
Um sich vor einem derartigen Angriff zu schützen, empfiehlt Bitdefender den Download und die
Installation einer kompletten Anti-Malware-Suite mit Antiviren-, Antispam-, Antiphishing- und
Firewall-Schutz. PC-Nutzer sollten zudem, so Bitdefender, „davon absehen, in ihren E-Mails Dateien
von unbekannten Absendern zu öffnen oder verdächtig aussehende Links zu aktivieren“.
Unter
www.youtube.com/watch?v=KgjX4LQrkgI
ist ein Video zu finden, das den Angriff detailliert beschreibt.
Weitere Informationen unter
www.bitdefender.de.
LANline/wg
Lesen Sie mehr zum Thema
