Suchen

Antivirus-Hersteller warnt vor Virus-Wurm-Hybrid Zimuse-Malware zerstört Master Boot Record von Windows-Systemen

| Redakteur: Stephan Augsten

Der Antivirus-Spezialist Bitdefender hat mit Zimuse eine Malware entdeckt, die das destruktive Verhalten eines Virus mit den Verbreitungsmechanismen eines Wurms kombiniert. Der Schadcode setzt sich in kritischen Systembereichen fest und manipuliert den Master Boot Record der Festplatte. Dadurch lassen sich kompromittierte Systeme nach einer gewissen Zeit nicht mehr starten.

Firmen zum Thema

Wurmloch: Zimuse gräbt sich in kritische Bereiche der Festplatte ein und zerstört den Master Boot Record.
Wurmloch: Zimuse gräbt sich in kritische Bereiche der Festplatte ein und zerstört den Master Boot Record.
( Archiv: Vogel Business Media )

Anstelle einer finanziell motivierten Malware-Attacke hat Bitdefender einen Wurm entdeckt, der zerstörerisches Verhalten an den Tag legt. Win32.Worm.Zimuse.A liegt nach Angaben von Bitdefender in zwei Varianten vor und tarnt sich als IQ-Test-Anwendung. Wird die Datei ausgeführt, aktiviert sich der Wurm beim nächsten Systemstart.

Je nach Variante kopiert sich der Wurm zwischen sieben und elf Mal in kritische Bereiche des kompromittierten Windows-Systems. Um sich bei jedem Windows-Start erneut auszuführen, setzt der Wurm den folgenden Registry-Eintrag:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]“Dump“=“%ProgramFiles%\Dump\Dump.exe.

Zudem installiert der Wurm die zwei Treiber-Dateien %System%\drivers\Mstart.sys und %System%\drivers\Mseu.sys. Da die 64-Bit-Versionen von Windows Vista und Windows 7 über digital signierte Treiber verfügen, kann der Wurm die entsprechenden Dateien auf diesen Systemen nicht installieren.

Nach einer bestimmten Zeitspanne (40 Tage für Variante A, 20 Tage für die Variante B), erhält der Benutzer eine Kernel-Fehlermeldung. Diese teilt ihm mit, dass ein Problem in Verbindung mit bösartigen Inhalten in IP-Paketen vorliegt. Der User wird gebeten, sein System neu zu starten. Die Fehlermeldung mit dem genauen Wortlaut findet sich in der Bildergalerie.

Derweil hat Zimuse bereits die ersten 50 Kilobyte der Festplatte und somit den Master Boot Record (MBR) überschrieben, der essentiell für das Hochfahren des Betriebssystems ist. Beim nächsten Neustart kann das System nicht mehr Booten und ist fortan unbrauchbar.

Bitdefender hat den Angriff des Zimuse-Wurms in einem Youtube-Video dokumentiert. Der Antivirus-Hersteller empfiehlt den Download und die Installation einer kompletten Anti-Malware-Suite mit Antiviren-, Antispam-, Antiphishing- und Firewall-Schutz. PC-Nutzer sollten zudem keine E-Mail-Anhänge von unbekannten Absendern öffnen oder verdächtig aussehende Links betätigen.

(ID:2043054)