Alarm im World Wide Web: "Zimuse" zerstört Festplatte mit schädlichem Code

BitDefender hat mit Win32.Worm.Zimuse.A. einen neuen E-Threat identifiziert. Das Besondere an ihm: Erstmals greift ein Threat die Hardware eines PCs an. Dazu kombiniert er die zerstörerische Verhaltensweise eines Virus und nutzt gleichzeitig die effektiven Verbreitungsmechanismen eines Wurms. Beim Anwender tarnt sich der Threat als harmloser IQ-Test. Bislang sind zwei Varianten des Virus bekannt.

Win32.Worm.Zimuse.A ist eine extrem gefährliche Art von Malware. Einmal ausgeführt, erstellt der Wurm zwischen sieben und elf Kopien von sich selbst (je nach Variante) in den kritischen Bereichen des Windows-Systems.

Im Vergleich zu herkömmlichen Würmern verursacht Win32.Worm.Zimuse.A einen totalen Datenverlust, da er die ersten 50 KB des Master Boot Record - ein besonders wichtiger Bereich der Festplatte - überschreibt. Um sich bei jedem Windows-Start erneut auszuführen, setzt der Wurm den folgenden Registry-Eintrag:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\ Run]"Dump"="%ProgramFiles%\Dump\Dump.exe

Zudem werden zwei Treiber-Dateien installiert mit den Bezeichnungen:
%system%\drivers\Mstart.sys sowie %System%\drivers\Mseu.sys

Da die 64-Bit-Versionen von Windows Vista und Windows 7 über digital signierte Treiber verfügen, kann der Wurm die Treiberdateien bei diesen Systemen nicht installieren.

Leider macht es dieser Threat den PC-Usern bereits in einem frühen Stadium seiner Aktivierung nahezu unmöglich zu erkennen, dass sie Opfer einer Malware-Infektion geworden sind. Ist eine bestimmte Anzahl von Tagen verstrichen (40 Tage für Variante A bzw. 20 Tage für die Variante B), erhält der Benutzer eine Fehlermeldung. Diese teilt ihm mit, dass ein Problem aufgetreten ist, welches aus bösartigen Inhalten in IP-Paketen einer seltsam aussehenden Web-Adresse resultiert. Der User wird gebeten, sein System neu zu starten, indem er auf "OK" klickt. Nach Betätigung wird die Festplatte des PCs beim nächsten Neustart aufgrund des erwähnten Registry-Eintrags zerstört. Das System ist fortan unbrauchbar.

Nachdem BitDefender kürzlich vor dem höchst gefährlichen Zimuse-Wurm warnte, hat der Sicherheitsspezialist auf die Bedrohung reagiert. BitDefender veröffentlicht kurz nach der Entdeckung ein Removal-Tool zum Entfernen des E-Threats. Unter www.zimuse.com kann das Tool heruntergeladen werden.

Mit Win32.Worm.Zimuse greift erstmals ein Wurm die Hardware eines PCs an. Das Tückische: Er arbeitet wie ein Virus und verbreitet sich wie ein Wurm. Beim User tarnt sich der Threat als harmloser IQ-Test oder als sich selbst entpackende Zip-Datei. Bislang sind zwei Varianten von Zimuse bekannt.

Zimuse greift den Master Boot Record der Festplatte an und überschreibt ihn. Nach 40 (Variante A) bzw. 20 Tagen (Variante B) erzeugt der Wurm eine Fehlermeldung, die den Anwender auffordert, seinen PC neu starten. Beim erneuten Start wird ein Teil der Festplatte beschädigt. Zunächst verbreitet sich der Wurm über E-Mails, Torrent-Sites, über freigegebene Netzwerk-Ordner oder DC-Hubs. Zudem ist die Malware in der Lage, sich über Wechselmedien zu verbreiten. Der große Zeitraum während der Infektion und der Aktivierung des Virus macht es besonders schwierig, ihn zu verfolgen. Das Removal-Tool von BitDefender jedoch erkennt die Bedrohung und entfernt sie.

Anweder, die unsicher sind, ob ihr PC von dem Virus infiziert wurde, können einen kostenlosen QickScan ausführen, der in weniger als 30 Sekunden Aufschluss darüber gibt, ob sich Zimuse auf dem PC befindet. Der Scan ist auf der von BitDefender eingerichteten Zimuse-Website (www.zimuse.com) oder unter http://quickscan.bitdefender.com zu finden.

Hoffe Ihr haltet eure Festplatte sauber

Gruß Heinz


Quelle: windows-secrets

__________________
Lieber ein Wurm am Haken als einen im Computer...!
www.bestcomp.de
www.filmfreunde-wedel.de