Antivirus-Hersteller warnt vor Virus-Wurm-Hybrid

Zimuse-Malware zerstört Master Boot Record von Windows-Systemen

26.01.2010 | Redakteur: Stephan Augsten

Wurmloch: Zimuse gräbt sich in kritische Bereiche der Festplatte ein und zerstört den Master Boot Record.
Wurmloch: Zimuse gräbt sich in kritische Bereiche der Festplatte ein und zerstört den Master Boot Record.

Der Antivirus-Spezialist Bitdefender hat mit Zimuse eine Malware entdeckt, die das destruktive Verhalten eines Virus mit den Verbreitungsmechanismen eines Wurms kombiniert. Der Schadcode setzt sich in kritischen Systembereichen fest und manipuliert den Master Boot Record der Festplatte. Dadurch lassen sich kompromittierte Systeme nach einer gewissen Zeit nicht mehr starten.

Anstelle einer finanziell motivierten Malware-Attacke hat Bitdefender einen Wurm entdeckt, der zerstörerisches Verhalten an den Tag legt. Win32.Worm.Zimuse.A liegt nach Angaben von Bitdefender in zwei Varianten vor und tarnt sich als IQ-Test-Anwendung. Wird die Datei ausgeführt, aktiviert sich der Wurm beim nächsten Systemstart.

Je nach Variante kopiert sich der Wurm zwischen sieben und elf Mal in kritische Bereiche des kompromittierten Windows-Systems. Um sich bei jedem Windows-Start erneut auszuführen, setzt der Wurm den folgenden Registry-Eintrag:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“Dump“=“%ProgramFiles%\Dump\Dump.exe.

Zudem installiert der Wurm die zwei Treiber-Dateien %System%\drivers\Mstart.sys und %System%\drivers\Mseu.sys. Da die 64-Bit-Versionen von Windows Vista und Windows 7 über digital signierte Treiber verfügen, kann der Wurm die entsprechenden Dateien auf diesen Systemen nicht installieren.

Nach einer bestimmten Zeitspanne (40 Tage für Variante A, 20 Tage für die Variante B), erhält der Benutzer eine Kernel-Fehlermeldung. Diese teilt ihm mit, dass ein Problem in Verbindung mit bösartigen Inhalten in IP-Paketen vorliegt. Der User wird gebeten, sein System neu zu starten. Die Fehlermeldung mit dem genauen Wortlaut findet sich in der Bildergalerie.

Derweil hat Zimuse bereits die ersten 50 Kilobyte der Festplatte und somit den Master Boot Record (MBR) überschrieben, der essentiell für das Hochfahren des Betriebssystems ist. Beim nächsten Neustart kann das System nicht mehr Booten und ist fortan unbrauchbar.

Bitdefender hat den Angriff des Zimuse-Wurms in einem Youtube-Video dokumentiert. Der Antivirus-Hersteller empfiehlt den Download und die Installation einer kompletten Anti-Malware-Suite mit Antiviren-, Antispam-, Antiphishing- und Firewall-Schutz. PC-Nutzer sollten zudem keine E-Mail-Anhänge von unbekannten Absendern öffnen oder verdächtig aussehende Links betätigen.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 2043054 / Malware)