Das Computersicherheits-Unternehmen Kaspersky Labs http://www.kasperskylabs.com
warnt vor dem Internet-Wurm Roron, der sich sowohl über E-Mail-Programme als auch
über lokale Netzwerke sowie die Tauschbörse KaZaA verbreitet. Die in Bulgarien
entwickelte Malware ist bereits in sechs Modifikationen aufgetaucht und verfügt
über eine ganze Reihe besonders destruktiver Spionage-Funktionen, so Kaspersky
Labs heute, Donnerstag, in einer Presseaussendung. Gefährdet sind die Anwender
von Windows 95, 98, NT, 2000, XP und ME. http://www.kaspersky.com/de/news.html?id=949212
Der Wurm-Code besteht aus einer 120 KB großen Windows-Datei. Wird diese geöffnet
so erstellt Roron seine Kopien im Windows-Systemverzeichnis und in den Programmdateien,
wobei eine dieser Dateien in den Registrierschlüssel des Systemregisters geschrieben
wird. Dadurch ist eine Aktivierung der Malware bei jedem Neustart des infizierten
Systems sichergestellt. Die Versendung per E-Mail findet unter zufällig ausgewählten
Namen und Inhalten statt, Roron verschickt seine Kopien an alle in der Mailbox
vorhandenen Adressen. In lokalen Netzwerken kopiert sich der Wurm unter zufälligen
Namen in gemeinsame Verzeichnisse ohne Zugriffsbeschränkung. Weiters lokalisiert
er das KaZaA-Verzeichnis, wo er ebenfalls eine Kopie erstellt um sich per Download
in fremden Systemen einzunisten.
Der Wurm inifziert außerdem den mIRC-Client mit einer Backdoor-Funktion, die
es den Hackern ermöglicht, von außen in Systemabläufe einzugreifen und gezielte
DoS-Attacken durchzuführen. Roron kann aktive Virenprogramme lokalisieren und
sie deaktivieren oder gänzlich von der Festplatte entfernen. Weiters ist es
ihm möglich sämtliche Dateien auf allen Festplatten zu löschen. Die Aktivierung
der Schadensvorgänge erfolgt nach Aussagen von Kaspersky Labs jeweils am 9.
und 19. jedes Monats (Systemdatum), wenn eine der Hauptkomponenten der Malware
gelöscht wird bzw. wenn die Registrierschlüssel des Wurms aus dem Windows-Systemverzeichnis
entfernt werden. Auch die Aktivierung nach Zufallsprinzip ist möglich. Kaspersky
Labs bietet in seiner Antiviren-Datenbank bereits aktualisierte Virensignaturen
zur Bekämpfung von Roron an.