Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Friday, August 5, 2011

Worm Zimuse und Data Doctor 2010

Source


Ein neuer Virus bzw. Wurm macht die Runde. Der ZIMUSE Wurm ist besonders schädlich, weil er die Festplatte zerstört und dann alles zu spät ist. Der ZIMUSE Wurm tarnt sich in einem IQ TEST, denn man entweder im Internet findet oder per Email bekommt. Also vorsicht vor unbekannten Emails und sogenannten IQ Tests im Internet.
BitDefender: Wurm "Zimuse" zerstört Festplatten
Gleich an zwei Fronten droht Computernutzern derzeit Unheil: Aktuell warnen BitDefender und F-Secure, beide Hersteller von Sicherheitssoftware, vor akuten Bedrohungen durch einen sehr gefährlichen Wurm und einen besonders hinterlistigen Trojaner. Während letzterer wichtige Dateien auf dem Computer verschlüsselt und erst gegen Zahlung eines "Lösegelds" wieder entschlüsselt, greift der andere Schädling sogar erstmals massiv die Hardware an.
Die größere Gefahr geht von Win32.Worm.Zimuse.A aus: BitDefender beschreibt diese extrem gefährliche Malware als eine Kombination von Virus und Wurm. Zimuse verbreite sich schnell und könne zum kompletten Datenverlust bei Festplatten führen. Dabei präsentiert sich der Schädling dem Computernutzer anfangs nur als scheinbar harmloser IQ-Test. Doch nach dem ersten Ausführen verteilt der Wurm, der bislang in zwei Varianten aufgetreten ist, bis zu elf von sich erstellte Kopien in wichtige Bereiche des Windows-Systems.
Master Boot Record der Festplatte wird überschrieben
Besonders brisant: Die ersten 50 Kilobyte des Master Boot Record – auf dem die Informationen zum Booten des Systems gespeichert sind – werden von Zimuse überschrieben. Bei jedem Systemstart wird die Virus-Wurm-Kombi dann erneut ausgeführt.
Ermöglicht wird dies durch einen kleinen Eintrag in der Registry: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run]"Dump"="%ProgramFiles%DumpDump.exe.
Laut BitDefender werden zudem noch zwei Treiber-Dateien mit den Bezeichnungen %system%driversMstart.sys und %System%driversMseu.sys. installiert. Einen gewissen Schutz vor der Installation dieser Dateien bringen die Betriebssysteme Windows Vista und Windows 7 in der 64-Bit-Variante von Haus aus mit. Da die Systemtreiber hier digital signiert sind, kann die Malware keine Treiber unterschieben.

Gefährlicher Wurm "Zimuse: Nach dem Neustart droht ein kompletter Datenverlust. Bild: Eset
Systemausfall nach 20 oder 40 Tagen
Der Ausfall der Festplatte droht dann - je nach Variante des Wurms - nach 20 oder 40 Tagen. Eine Fehlermeldung weist zunächst auf ein angebliches Problem mit bösartigen Inhalten in IP-Paketen einer unbekannten Web-Adresse hin. Daher solle der User sein System neu starten. Kommt er dieser Aufforderung nach, hat er sich automatisch von seinen Daten verabschiedet, denn beim nächsten Systemstart lässt sich die Festplatte nicht mehr nutzen.
Zum Schutz vor solchen Gefahren solle laut Empfehlung von BitDefender stets eine aktuelle Antiviren-Software verwendet werden. Die Sicherheitsexperten von ESet haben aber auch bereits ein Tool zum Entfernen des Zimuse-Wurms zum Download bereitgestellt.
-----------
Nicht ganz so drastisch agiert der Trojaner W32/DatCrypt trojan, vor dem F-Secure, Anbieter von Virenschutz-Software, warnt. Dieser geht stattdessen eher hinterlistig vor. Auf infizierten Computern verschlüsselt der Trojaner wichtige Dateien
Computernutzern wird eine Fehlermeldung angezeigt, die darauf schließen lässt, dass Dateien wie etwa Microsoft Office Dokumente beschädigt sind. Eine täuschend echt aussehende "Windows-Systemmeldung" in der Statusleiste empfiehlt dann den Download der Reparatur-Software Data Doctor 2010, um die Dateien wiederherzustellen. Doch nach Installation und Ausführung dieses Programms erfährt der Anwender schnell, dass sich nur eine Datei kostenlos reparieren lässt. Um weitere Dateien wiederherzustellen, müsse das komplette Produkt zum Preis von 89,95 US-Dollar erworben werden. Sobald das Geld gezahlt wurde, werden die Dateien zwar "gerettet", faktisch aber einfach wieder "entschlüsselt".
F-Secure rät zum Backup von wichtigen Dateien
Data Doctor 2010: Die "Reparatur-Software" dient nur zur Abzocke. Bild: F-Secure
Die Software hat somit scheinbar hervorragend funktioniert und etliche Nutzer sind dem Programm sogar noch dankbar, dass ihre Dateien wieder verfügbar sind. Der Trick des Trojaners kann laut F-Secure allerdings nur effektiv funktionieren, wenn der Computernutzer seine wichtigen Daten nicht anderweitig – etwa auf CD, DVD oder externer Festplatte - gesichert hat. Die F-Secure-Experten raten daher zu regelmäßigen Daten-Backups, um Bedrohungen wie durch diesen Trojaner zu entgehen.

No comments: