Abo
  • Services:

Mail-Wurm verbreitet sich über Netzwerk-Laufwerke und KaZaa

Oror-Wurm versucht Virenscanner und Firewall-Software zu deaktivieren

Zahlreiche Hersteller von Antiviren-Software warnen vor dem Oror-Wurm, der sich sowohl über E-Mail als auch über Netzwerk-Laufwerke sowie das KaZaa-Netzwerk verbreitet und bereits in sechs Varianten vorliegen soll. Zudem schleust der Wurm eine IRC-Hintertür ein, um über den Chat-Dienst Kontrolle über das befallene System zu erlangen. Schließlich löscht der Wurm zahlreiche Dateien und deaktiviert laufende Virenscanner.

Artikel veröffentlicht am ,

Der in Visual C++ geschriebene Wurm-Code besteht aus einer 120 KByte großen, ausführbaren Windows-Datei, die unter zufällig ausgewählten Namen auf angeschlossenen Netzwerk-Laufwerken oder in einem vorhandenen KaZaa-Verzeichnis abgelegt wird. Damit sich der Wurm über ein Netzwerk-Laufwerk verbreiten kann, muss dieses einen vollen Zugriff gewähren. Glückt die Verbreitung, sorgt der Oror-Wurm dafür, dass er auf angeschlossenen Systemen automatisch beim nächsten Rechnerstart ausgeführt wird. Für die Verbreitung über das KaZaa-Netzwerk kopiert sich der Wurm mit ebenfalls zufällig gewählten Namen in ein KaZaa-Verzeichnis und wartet darauf, sich in andere Systeme einzunisten, um dort ausgeführt zu werden.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Für die Verbreitung über E-Mails sucht der Wurm nach passenden Adressen im Posteingang des E-Mail-Clients sowie im Windows-Adressbuch und versendet sich über die Windows-MAPI-Funktion an alle gefundenen Adressaten. Der eigentliche Wurm-Code steckt im Mail-Anhang und weist ebenfalls zufällig ausgewählte Namen auf. Ebenso werden Betreff und Nachrichtentext zufällig ausgewählt. Wird der Wurm-Anhang gestartet, erscheint eine gefälschte WinZip-Fehlermeldung. Auf einem befallenen System kopiert sich der Oror-Wurm in das Windows-Verzeichnis und sorgt durch einen passenden Registry-Eintrag dafür, dass dieser bei jedem Systemstart ausgeführt wird. Zudem legt er sich auch im Windows-System-Verzeichnis und im Programme-Ordner unter wechselnden Dateinamen ab, die ebenfalls bei jedem Neustart geladen werden.

Die Hintertür, die der Wurm im Chat-Client IRC anlegt, erlaubt es einem Angreifer, Kontrolle über das befallene System zu erlangen. Darüber lassen sich dann Dateien senden, empfangen oder ausführen. Aber auch der Versand von Spam-Nachrichten oder ein Neustart des Rechners ist so möglich. Damit der Schädling nicht von Virenscannern erkannt wird, versucht der Wurm, laufende Antiviren-Software und Software-Firewalls aus dem Speicher zu entfernen und löscht auch entsprechende Dateien auf der Festplatte.

Die Anbieter von Antiviren-Software bieten aktualisierte Virensignaturen an, damit der verwendete Virenscanner auch diesen Unhold entdeckt und unschädlich machen kann.



Anzeige
Spiele-Angebote
  1. 59,99€ mit Vorbesteller-Preisgarantie (Release 26.02.)
  2. 5,99€
  3. (-50%) 4,99€

Michael 31. Dez 2002

Da mein Antivierenprogramm sich nicht mehr öffnen läst, würde mich interesiern wie du...

Sven 06. Dez 2002

gibt es möglichkeiten füe laien den wurm zu erkennen,wenn ja wie?

ppp 06. Dez 2002

du solltest aber bedenken, dass es immer mehr freaks gibt, die den ganzen lieben langen...

Cassiel 06. Dez 2002

Na dann wären wir doch schon mal zu zweit... Mal im Ernst: So abwägig ist das ganze...

cap 08. Nov 2002

Ich bin sicherlich sehr paranoid, wenn ich der Meinung bin, daß viele dieser Viren aus...


Folgen Sie uns
       


Eine kurze Geschichte des CCC - die 1980er

DFÜ, BTX und KGB - wir zeigen die Anfänge des Chaos Computer Club im Video.

Eine kurze Geschichte des CCC - die 1980er Video aufrufen
Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

Schwer ausnutzbar: Die ungefixten Sicherheitslücken
Schwer ausnutzbar
Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt.
Von Hanno Böck

  1. Sicherheitslücken Bauarbeitern die Maschinen weghacken
  2. Kilswitch und Apass US-Soldaten nutzten Apps mit fatalen Sicherheitslücken
  3. Sicherheitslücke Kundendaten von IPC-Computer kopiert

Nubia Red Magic Mars im Hands On: Gaming-Smartphone mit Top-Ausstattung für 390 Euro
Nubia Red Magic Mars im Hands On
Gaming-Smartphone mit Top-Ausstattung für 390 Euro

CES 2019 Mit dem Red Magic Mars bringt Nubia ein interessantes und vor allem verhältnismäßig preiswertes Gaming-Smartphone nach Deutschland. Es hat einen Leistungsmodus und Schulter-Sensortasten, die beim Zocken helfen können.
Ein Hands on von Tobias Költzsch

  1. ATH-ANC900BT Audio Technica zeigt neuen ANC-Kopfhörer
  2. Smart Clock Lenovo setzt bei Echo-Spot-Variante auf Google Assistant
  3. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show

    •  /