Abo
  • Services:
Anzeige

Mail-Wurm verbreitet sich über Netzwerk-Laufwerke und KaZaa

Oror-Wurm versucht Virenscanner und Firewall-Software zu deaktivieren

Zahlreiche Hersteller von Antiviren-Software warnen vor dem Oror-Wurm, der sich sowohl über E-Mail als auch über Netzwerk-Laufwerke sowie das KaZaa-Netzwerk verbreitet und bereits in sechs Varianten vorliegen soll. Zudem schleust der Wurm eine IRC-Hintertür ein, um über den Chat-Dienst Kontrolle über das befallene System zu erlangen. Schließlich löscht der Wurm zahlreiche Dateien und deaktiviert laufende Virenscanner.

Anzeige

Der in Visual C++ geschriebene Wurm-Code besteht aus einer 120 KByte großen, ausführbaren Windows-Datei, die unter zufällig ausgewählten Namen auf angeschlossenen Netzwerk-Laufwerken oder in einem vorhandenen KaZaa-Verzeichnis abgelegt wird. Damit sich der Wurm über ein Netzwerk-Laufwerk verbreiten kann, muss dieses einen vollen Zugriff gewähren. Glückt die Verbreitung, sorgt der Oror-Wurm dafür, dass er auf angeschlossenen Systemen automatisch beim nächsten Rechnerstart ausgeführt wird. Für die Verbreitung über das KaZaa-Netzwerk kopiert sich der Wurm mit ebenfalls zufällig gewählten Namen in ein KaZaa-Verzeichnis und wartet darauf, sich in andere Systeme einzunisten, um dort ausgeführt zu werden.

Für die Verbreitung über E-Mails sucht der Wurm nach passenden Adressen im Posteingang des E-Mail-Clients sowie im Windows-Adressbuch und versendet sich über die Windows-MAPI-Funktion an alle gefundenen Adressaten. Der eigentliche Wurm-Code steckt im Mail-Anhang und weist ebenfalls zufällig ausgewählte Namen auf. Ebenso werden Betreff und Nachrichtentext zufällig ausgewählt. Wird der Wurm-Anhang gestartet, erscheint eine gefälschte WinZip-Fehlermeldung. Auf einem befallenen System kopiert sich der Oror-Wurm in das Windows-Verzeichnis und sorgt durch einen passenden Registry-Eintrag dafür, dass dieser bei jedem Systemstart ausgeführt wird. Zudem legt er sich auch im Windows-System-Verzeichnis und im Programme-Ordner unter wechselnden Dateinamen ab, die ebenfalls bei jedem Neustart geladen werden.

Die Hintertür, die der Wurm im Chat-Client IRC anlegt, erlaubt es einem Angreifer, Kontrolle über das befallene System zu erlangen. Darüber lassen sich dann Dateien senden, empfangen oder ausführen. Aber auch der Versand von Spam-Nachrichten oder ein Neustart des Rechners ist so möglich. Damit der Schädling nicht von Virenscannern erkannt wird, versucht der Wurm, laufende Antiviren-Software und Software-Firewalls aus dem Speicher zu entfernen und löscht auch entsprechende Dateien auf der Festplatte.

Die Anbieter von Antiviren-Software bieten aktualisierte Virensignaturen an, damit der verwendete Virenscanner auch diesen Unhold entdeckt und unschädlich machen kann.


eye home zur Startseite
Michael 31. Dez 2002

Da mein Antivierenprogramm sich nicht mehr öffnen läst, würde mich interesiern wie du...

Sven 06. Dez 2002

gibt es möglichkeiten füe laien den wurm zu erkennen,wenn ja wie?

ppp 06. Dez 2002

du solltest aber bedenken, dass es immer mehr freaks gibt, die den ganzen lieben langen...

Cassiel 06. Dez 2002

Na dann wären wir doch schon mal zu zweit... Mal im Ernst: So abwägig ist das ganze...

cap 08. Nov 2002

Ich bin sicherlich sehr paranoid, wenn ich der Meinung bin, daß viele dieser Viren aus...



Anzeige

Stellenmarkt
  1. W&W Informatik GmbH, Stuttgart
  2. Daimler AG, Sindelfingen
  3. Robert Bosch GmbH, Abstatt
  4. Sky Deutschland Fernsehen GmbH & Co. KG, Unterföhring bei München


Anzeige
Spiele-Angebote
  1. 16,99€
  2. 9,99€
  3. ab 54,99€

Folgen Sie uns
       

  1. Windows 10

    Fall Creators Update wird von Microsoft offiziell verteilt

  2. Aufblasbar

    Private Raumstation um den Mond soll 2022 starten

  3. Axon M

    ZTE stellt Smartphone mit zwei klappbaren Displays vor

  4. Fortnite Battle Royale

    Epic Games verklagt Cheater auf 150.000 US-Dollar

  5. Microsoft

    Das Surface Book 2 kommt in zwei Größen

  6. Tichome Mini im Hands On

    Google-Home-Konkurrenz startet für 82 Euro

  7. Düsseldorf

    Telekom greift Glasfaserausbau von Vodafone an

  8. Microsoft

    Neue Firmware für Xbox One bietet mehr Übersicht

  9. Infrastrukturabgabe

    Kleinere deutsche Kabelnetzbetreiber wollen Geld von Netflix

  10. Pixel 2 und Pixel 2 XL im Test

    Google fehlt der Mut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Arktika 1 im Test: Monster-verseuchte Eiszeitschönheit
Arktika 1 im Test
Monster-verseuchte Eiszeitschönheit
  1. TPCast Oculus Rift erhält Funkmodul
  2. Oculus Go Alleine lauffähiges VR-Headset für 200 US-Dollar vorgestellt
  3. Virtual Reality Update bindet Steam-Rift in Oculus Home ein

ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

Elektromobilität: Niederlande beschließen Aus für Verbrennungsautos
Elektromobilität
Niederlande beschließen Aus für Verbrennungsautos
  1. World Solar Challenge Regen in Australien verdirbt Solarrennern den Spaß
  2. Ab 2030 EU-Komission will Elektroauto-Quote
  3. Mit ZF und Nvidia Deutsche Post entwickelt autonome Streetscooter

  1. Re: Eine nette idee

    x2k | 20:44

  2. Datenschutz

    Laptel | 20:39

  3. Re: Und von mir wird es offiziell erst mal ignoriert

    teenriot* | 20:38

  4. Re: In der Sylvesternacht sollte das...

    Technik Schaf | 20:37

  5. Re: Typisch...

    Zombiez | 20:36


  1. 19:00

  2. 18:32

  3. 17:48

  4. 17:30

  5. 17:15

  6. 17:00

  7. 16:37

  8. 15:50


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel