• IT-Karriere:
  • Services:

Mail-Wurm verbreitet sich über Netzwerk-Laufwerke und KaZaa

Oror-Wurm versucht Virenscanner und Firewall-Software zu deaktivieren

Zahlreiche Hersteller von Antiviren-Software warnen vor dem Oror-Wurm, der sich sowohl über E-Mail als auch über Netzwerk-Laufwerke sowie das KaZaa-Netzwerk verbreitet und bereits in sechs Varianten vorliegen soll. Zudem schleust der Wurm eine IRC-Hintertür ein, um über den Chat-Dienst Kontrolle über das befallene System zu erlangen. Schließlich löscht der Wurm zahlreiche Dateien und deaktiviert laufende Virenscanner.

Artikel veröffentlicht am ,

Der in Visual C++ geschriebene Wurm-Code besteht aus einer 120 KByte großen, ausführbaren Windows-Datei, die unter zufällig ausgewählten Namen auf angeschlossenen Netzwerk-Laufwerken oder in einem vorhandenen KaZaa-Verzeichnis abgelegt wird. Damit sich der Wurm über ein Netzwerk-Laufwerk verbreiten kann, muss dieses einen vollen Zugriff gewähren. Glückt die Verbreitung, sorgt der Oror-Wurm dafür, dass er auf angeschlossenen Systemen automatisch beim nächsten Rechnerstart ausgeführt wird. Für die Verbreitung über das KaZaa-Netzwerk kopiert sich der Wurm mit ebenfalls zufällig gewählten Namen in ein KaZaa-Verzeichnis und wartet darauf, sich in andere Systeme einzunisten, um dort ausgeführt zu werden.

Stellenmarkt
  1. SCHUFA Holding AG, Wiesbaden
  2. Team GmbH, Paderborn

Für die Verbreitung über E-Mails sucht der Wurm nach passenden Adressen im Posteingang des E-Mail-Clients sowie im Windows-Adressbuch und versendet sich über die Windows-MAPI-Funktion an alle gefundenen Adressaten. Der eigentliche Wurm-Code steckt im Mail-Anhang und weist ebenfalls zufällig ausgewählte Namen auf. Ebenso werden Betreff und Nachrichtentext zufällig ausgewählt. Wird der Wurm-Anhang gestartet, erscheint eine gefälschte WinZip-Fehlermeldung. Auf einem befallenen System kopiert sich der Oror-Wurm in das Windows-Verzeichnis und sorgt durch einen passenden Registry-Eintrag dafür, dass dieser bei jedem Systemstart ausgeführt wird. Zudem legt er sich auch im Windows-System-Verzeichnis und im Programme-Ordner unter wechselnden Dateinamen ab, die ebenfalls bei jedem Neustart geladen werden.

Die Hintertür, die der Wurm im Chat-Client IRC anlegt, erlaubt es einem Angreifer, Kontrolle über das befallene System zu erlangen. Darüber lassen sich dann Dateien senden, empfangen oder ausführen. Aber auch der Versand von Spam-Nachrichten oder ein Neustart des Rechners ist so möglich. Damit der Schädling nicht von Virenscannern erkannt wird, versucht der Wurm, laufende Antiviren-Software und Software-Firewalls aus dem Speicher zu entfernen und löscht auch entsprechende Dateien auf der Festplatte.

Die Anbieter von Antiviren-Software bieten aktualisierte Virensignaturen an, damit der verwendete Virenscanner auch diesen Unhold entdeckt und unschädlich machen kann.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. gratis (bis zum 12. April)
  2. 799€ statt 934€ im Vergleich
  3. (Canon EOS 250D Spiegelreflexkamera, 24,1 Megapixel mit Objektiv 18-55 mm (7,7 cm Touchscreen...

Michael 31. Dez 2002

Da mein Antivierenprogramm sich nicht mehr öffnen läst, würde mich interesiern wie du...

Sven 06. Dez 2002

gibt es möglichkeiten füe laien den wurm zu erkennen,wenn ja wie?

ppp 06. Dez 2002

du solltest aber bedenken, dass es immer mehr freaks gibt, die den ganzen lieben langen...

Cassiel 06. Dez 2002

Na dann wären wir doch schon mal zu zweit... Mal im Ernst: So abwägig ist das ganze...

cap 08. Nov 2002

Ich bin sicherlich sehr paranoid, wenn ich der Meinung bin, daß viele dieser Viren aus...


Folgen Sie uns
       


Digitale Assistenten singen Weihnachtslieder (ohne Signalworte)

Wir haben Siri, den Google Assistant und Alexa aufgefordert, uns zu Weihnachten etwas vorzusingen.

Digitale Assistenten singen Weihnachtslieder (ohne Signalworte) Video aufrufen
Disney+: Surround-Ton nur auf drei Fire-TV-Modellen
Disney+
Surround-Ton nur auf drei Fire-TV-Modellen

Disney+ bietet auf den meisten Fire-TV-Modellen nur Stereoklang.
Von Ingo Pakalski

  1. Videostreaming Disney+ hat 50 Millionen Abonnenten weltweit
  2. Disney+ Die Simpsons erscheinen im Mai im korrekten Seitenverhältnis
  3. Disney+ im Nachtest Lücken im Sortiment und technische Probleme

Star Trek - Der Film: Immer Ärger mit Roddenberry
Star Trek - Der Film
Immer Ärger mit Roddenberry

Verworfene Drehbücher, unzufriedene Paramount-Chefs und ein zögerlicher Spock: Dass der erste Star-Trek-Film vor 40 Jahren schließlich doch in die Kinos kam, grenzt an ein Wunder. Dass er schön aussieht, noch mehr.
Von Peter Osteried

  1. Machine Learning Fan überarbeitet Star Trek Voyager in 4K
  2. Star Trek - Picard Hasenpizza mit Jean-Luc
  3. Star Trek Voyager Starke Frauen und schwache Gegner

Bodyhacking: Prothese statt Drehregler
Bodyhacking
Prothese statt Drehregler

Bertolt Meyer hat seine Handprothese mit einem Synthesizer verbunden - das Youtube-Video dazu hat viele interessiert. Wie haben mit dem Psychologieprofessor über sein Projekt und die Folgen des Videos gesprochen.
Ein Interview von Tobias Költzsch


      •  /