News 07.11.2002, 03:15 Uhr

W32.Oror (alias Roron)

Dieser bösartige Wurm hat einen beträchtlichen Schadensteil und lässt sich zudem nur schwer aus dem System entfernen.
Gemäss den Virenbekämpfern von Kaspersky [1] sind vom Wurm namens "Roron" bzw. "Oror" schon mehrere Varianten im Umlauf. Oror verbreitet sich über automatisch versandte E-Mails, über freigegebene Laufwerke des lokalen Netzwerks und über Filesharing-Dienste wie KaZaA.
Wird die Wurm-Datei ausgeführt, erstellt er eine Datei direkt im Windows-Ordner: rundll16.exe
Und er fügt diese Einträge der Windows Registry hinzu:
Im Zweig: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run\
Eintrag: LoadCurrentProfile = Rundll16.exe powprof.dll,LoadCurrentUserProfile
Im Zweig: HKEY_CLASSES_ROOT\exefile\shell\open\command
Eintrag: %WinDir%\Rundll16.exe "%1" %*
(Wobei mit %WinDir% eben C:\Windows bzw. C:\Winnt gemeint ist)
Im Zweig: HKEY_CLASSES_ROOT\regfile\shell\open\command
Eintrag: %WinDir%\Rundll16.exe regedit.exe "%1"
Zudem kopiert sich der Wurm mindestens einmal sowohl in den Programme- als auch in den Windows System-Ordner. Dafür verwendet er mehr oder weniger zufällige Dateinamen, die mit diesen Zeichen aufhören:
98.exe
2k.exe
16.exe
32.exe
Zum Beispiel:
C:\Programme\Online Services\Online Service16.exe
C:\Windows\System\browseui16.exe
Auch diese Dateien werden in der Windows Registry eingetragen und bisweilen auch in der Datei WIN.INI.
Manchmal zeigt der Wurm eine Meldung an, die man auf den ersten Blick dem Komprimier-Programm WinZip zuordnet:
"WinZip Self-Extractor License Confirmation
Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information."
Der Oror-Wurm erstellt eine Datei namens WINFILE.DLL im Windows-Ordner, in welcher er einige Variablen speichert.
Die Virenforscher von Kaspersky haben den Oror-Wurm schon unter verschiedenen Dateinamen entdeckt, die teilweise auch in den automatisch versendeten Mails verwendet werden (siehe Link zur Virenbeschreibung von Kaspersky).
Anschliessend beginnt sich Oror zu verbreiten. Die Mails, die er automatisch an die Einträge des Adressbuchs und an Adressen im Posteingang verschickt, können unterschiedliche Betreffzeilen, Mailtexte und Beilagennamen haben. Fast immer werden aber Mailtexte in Bulgarisch oder Englisch verwendet. Eine ausführliche Beschreibung der verwendeten Mailtexte und Beilagennamen finden Sie zum Beispiel in der Virenbeschreibung von Symantec [2].
Um sich über ein lokales Netzwerk zu verbreiten, sucht Oror nach allen verfügbaren Freigaben und kopiert sich unter zufällig gewählten Dateinamen dorthin. Auch macht er allenfalls installierte KaZaA-Filesharing-Dienste ausfindig und lässt sich dort ebenfalls nieder, in der Hoffnung, dass andere KaZaA-Benutzer weltweit die Wurmdatei herunterladen und auf ihren eigenen PCs ausführen.
Die Schadensfunktionen von Oror sind beachtlich:
Ist auf dem infizierten PC ein IRC-Chatprogramm (Internet Relay Chat, z.B. mIRC) installiert, öffnet Oror darin eine Hintertüre, indem er ihm eine der untenstehenden Dateien hinzufügt. Diese Hintertüre (Backdoor) erlaubt es einem böswilligen Benutzer, via Internet auf den PC zuzugreifen und diesen zu manipulieren oder für unlautere Zwecke (Massenmailversand, Attacken auf andere PCs) zu missbrauchen. Die Scripts, die dies ermöglichen, legt er in einer dieser Dateien ab:
alias.ini
server.ini
notes.ini
popup.ini
Unter jeder der folgenden Bedingungen löscht Oror auf allen verfügbaren Laufwerken eines infizierten PCs sämtliche Dateien; weshalb Sie im Falle einer Infektion vorerst folgende Umstände unbedingt VERMEIDEN sollten:
- Das Datum ist der neunte oder 19. eines beliebigen Monats
- Die Wurmdatei WINFILE.DLL wird gelöscht
- Die Registry-Einträge des Wurms werden gelöscht
- Oder auch ganz zufällig, abhängig von einem Wurm-eigenen Zähler
Wie andere Viren zuvor versucht Oror auch Virenscanner zu deaktivieren und sogar zu löschen. Das Entfernen des Oror-Wurms gestaltet sich schwierig, weil eine falsche Reihenfolge einen kompletten Datenverlust nach sich ziehen könnte.
Deaktivieren Sie sämtliche Freigaben auf Ihrem System und beenden oder deinstallieren Sie allfällige IRC- oder KaZaA-Dienste. Falls Oror Teile Ihres Virenscanners gelöscht hat, installieren Sie diesen neu, aktualisieren ihn via Internet und scannen Sie Ihr System (alle Laufwerke).
Wichtig: Löschen Sie zuerst nur die Kopien des Wurms. Und KEINESFALLS vorher die Registry-Einträge und noch NICHT die Datei WINFILE.DLL. Erst wenn alle eigentlichen Wurm-Kopien beseitigt sind (ev. mehrmals scannen), beseitigen Sie die Datei WINFILE.DLL und die Registry-Einträge.
Auch bei diesem Wurm sind bei den verschiedenen Antivirus-Herstellern unterschiedliche Namen gebräuchlich: Kaspersky nennt ihn I-Worm.Roron, bei Symantec heisst er W32.HLLW.Oror, bei NAI (McAfee) [3] und bei Sophos [4] ist er unter dem Namen W32/Oror bekannt.
Wichtig: Da schon verschiedene Varianten des Wurms im Umlauf sind, kann eine Oror-Infektion auch andere Merkmale tragen. Am besten sorgen Sie vor, indem Sie
- Ihr Windows per Windows-Update auf dem aktuellen Stand halten
- Keine Beilagen öffnen, die Sie nicht explizit erwartet haben
- Einen gut gepflegten Virenscanner einsetzen
Aufgrund der Komplexität des Wurms und der Gefahr, die von ihm ausgeht, ist anzunehmen, dass einer oder mehrere Antivirus-Hersteller ein spezielles Beseitigungsprogramm veröffentlicht, das es einem Benutzer erlaubt, den PC möglichst schadenfrei zu säubern.



Kommentare
Es sind keine Kommentare vorhanden.