Abo
  • Services:
Anzeige

Mail-Wurm verbreitet sich über Netzwerk-Laufwerke und KaZaa

Oror-Wurm versucht Virenscanner und Firewall-Software zu deaktivieren

Zahlreiche Hersteller von Antiviren-Software warnen vor dem Oror-Wurm, der sich sowohl über E-Mail als auch über Netzwerk-Laufwerke sowie das KaZaa-Netzwerk verbreitet und bereits in sechs Varianten vorliegen soll. Zudem schleust der Wurm eine IRC-Hintertür ein, um über den Chat-Dienst Kontrolle über das befallene System zu erlangen. Schließlich löscht der Wurm zahlreiche Dateien und deaktiviert laufende Virenscanner.

Anzeige

Der in Visual C++ geschriebene Wurm-Code besteht aus einer 120 KByte großen, ausführbaren Windows-Datei, die unter zufällig ausgewählten Namen auf angeschlossenen Netzwerk-Laufwerken oder in einem vorhandenen KaZaa-Verzeichnis abgelegt wird. Damit sich der Wurm über ein Netzwerk-Laufwerk verbreiten kann, muss dieses einen vollen Zugriff gewähren. Glückt die Verbreitung, sorgt der Oror-Wurm dafür, dass er auf angeschlossenen Systemen automatisch beim nächsten Rechnerstart ausgeführt wird. Für die Verbreitung über das KaZaa-Netzwerk kopiert sich der Wurm mit ebenfalls zufällig gewählten Namen in ein KaZaa-Verzeichnis und wartet darauf, sich in andere Systeme einzunisten, um dort ausgeführt zu werden.

Für die Verbreitung über E-Mails sucht der Wurm nach passenden Adressen im Posteingang des E-Mail-Clients sowie im Windows-Adressbuch und versendet sich über die Windows-MAPI-Funktion an alle gefundenen Adressaten. Der eigentliche Wurm-Code steckt im Mail-Anhang und weist ebenfalls zufällig ausgewählte Namen auf. Ebenso werden Betreff und Nachrichtentext zufällig ausgewählt. Wird der Wurm-Anhang gestartet, erscheint eine gefälschte WinZip-Fehlermeldung. Auf einem befallenen System kopiert sich der Oror-Wurm in das Windows-Verzeichnis und sorgt durch einen passenden Registry-Eintrag dafür, dass dieser bei jedem Systemstart ausgeführt wird. Zudem legt er sich auch im Windows-System-Verzeichnis und im Programme-Ordner unter wechselnden Dateinamen ab, die ebenfalls bei jedem Neustart geladen werden.

Die Hintertür, die der Wurm im Chat-Client IRC anlegt, erlaubt es einem Angreifer, Kontrolle über das befallene System zu erlangen. Darüber lassen sich dann Dateien senden, empfangen oder ausführen. Aber auch der Versand von Spam-Nachrichten oder ein Neustart des Rechners ist so möglich. Damit der Schädling nicht von Virenscannern erkannt wird, versucht der Wurm, laufende Antiviren-Software und Software-Firewalls aus dem Speicher zu entfernen und löscht auch entsprechende Dateien auf der Festplatte.

Die Anbieter von Antiviren-Software bieten aktualisierte Virensignaturen an, damit der verwendete Virenscanner auch diesen Unhold entdeckt und unschädlich machen kann.


eye home zur Startseite
Michael 31. Dez 2002

Da mein Antivierenprogramm sich nicht mehr öffnen läst, würde mich interesiern wie du...

Sven 06. Dez 2002

gibt es möglichkeiten füe laien den wurm zu erkennen,wenn ja wie?

ppp 06. Dez 2002

du solltest aber bedenken, dass es immer mehr freaks gibt, die den ganzen lieben langen...

Cassiel 06. Dez 2002

Na dann wären wir doch schon mal zu zweit... Mal im Ernst: So abwägig ist das ganze...

cap 08. Nov 2002

Ich bin sicherlich sehr paranoid, wenn ich der Meinung bin, daß viele dieser Viren aus...



Anzeige

Stellenmarkt
  1. über Hanseatisches Personalkontor Mannheim, Mannheim
  2. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  3. Jetter AG, Ludwigsburg
  4. stoba Präzisionstechnik GmbH & Co. KG, Backnang (nahe Stuttgart)


Anzeige
Blu-ray-Angebote
  1. (u. a. Reign, Person of Interest, Gossip Girl, The Clone Wars)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 29,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

  1. Reverb

    Smartphone-App aktiviert Alexa auf Zuruf

  2. Bildbearbeitung

    Google-Algorithmus entfernt Wasserzeichen auf Fotos

  3. Ladestationen

    Regierung lehnt Zwangsverkabelung von Tiefgaragen ab

  4. Raspberry Pi

    Raspbian auf Stretch upgedated

  5. Trotz Förderung

    Breitbandausbau kommt nur schleppend voran

  6. Nvidia

    Keine Volta-basierten Geforces in 2017

  7. Grafikkarte

    Sonnets eGFX Breakaway Box kostet 330 Euro

  8. E-Commerce

    Kartellamt will Online-Shops des Einzelhandels schützen

  9. id Software

    Quake Champions startet in den Early Access

  10. Betrug

    Verbraucherzentrale warnt vor gefälschten Youporn-Mahnungen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

Sysadmin Day 2017: Zum Admin-Sein fehlen mir die Superkräfte
Sysadmin Day 2017
Zum Admin-Sein fehlen mir die Superkräfte

Ausweis: Prepaid-Registrierung bislang nicht konsequent umgesetzt
Ausweis
Prepaid-Registrierung bislang nicht konsequent umgesetzt
  1. 10 GBit/s Erste 5G-Endgeräte sind noch einen Kubikmeter groß
  2. Verbraucherzentrale Datenlimits bei EU-Roaming wären vermeidbar
  3. Internet Anbieter umgehen Wegfall der EU-Roaming-Gebühren

  1. Re: Upgrade Prozedere

    wittiko | 11:53

  2. Re: Simple lösung

    violator | 11:49

  3. Re: Das ist nicht die Aufgabe des Staates

    devarni | 11:45

  4. Re: Upgedated???

    Fjunchclick | 11:44

  5. Re: Hier mal meine Admin Erfahrung

    UristMcMiner | 11:38


  1. 11:50

  2. 14:38

  3. 12:42

  4. 11:59

  5. 11:21

  6. 17:56

  7. 16:20

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel