[Security] „Zimuse“ zerstört Festplatte mit schädlichem Code - www.planet-oliwood.to

**C11H15NO2** · 26. Januar 2010, 15:24

BitDefender hat mit Win32.Worm.Zimuse.A. einen neuen E-Threat identifiziert. Das Besondere an ihm: Erstmals greift ein Threat die Hardware eines PCs an. Dazu kombiniert er die zerstörerische Verhaltensweise eines Virus und nutzt gleichzeitig die effektiven Verbreitungsmechanismen eines Wurms. Beim User tarnt sich der Threat als harmloser IQ-Test. Bislang sind zwei Varianten des Virus bekannt.

Win32.Worm.Zimuse.A ist eine extrem gefährliche Art von Malware. Einmal ausgeführt, erstellt der Wurm zwischen sieben und elf Kopien von sich selbst (je nach Variante) in den kritischen Bereichen des Windows-Systems.

Im Vergleich zu herkömmlichen Würmern verursacht Win32.Worm.Zimuse.A einen totalen Datenverlust, da er die ersten 50 KB des Master Boot Record – ein besonders wichtiger Bereich der Festplatte – überschreibt. Um sich bei jedem Windows-Start erneut auszuführen, setzt der Wurm den folgenden Registry-Eintrag:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\ Run]"Dump"="%ProgramFiles%\Dump\Dump.exe .

Zudem werden zwei Treiber-Dateien installiert mit den Bezeichnungen:
%system%\drivers\Mstart.sys sowie %System%\drivers\Mseu.sys.

Da die 64-Bit-Versionen von Windows Vista und Windows 7 über digital signierte Treiber verfügen, kann der Wurm die Treiberdateien bei diesen Systemen nicht installieren.

System-Tod nach wenigen Tagen
Leider macht es dieser Threat den PC-Usern bereits in einem frühen Stadium seiner Aktivierung nahezu unmöglich zu erkennen, dass sie Opfer einer Malware-Infektion geworden sind. Ist eine bestimmte Anzahl von Tagen verstrichen (40 Tage für Variante A bzw. 20 Tage für die Variante B), erhält der Benutzer eine Fehlermeldung. Diese teilt ihm mit, dass ein Problem aufgetreten ist, welches aus bösartigen Inhalten in IP-Paketen einer seltsam aussehenden Web-Adresse resultiert. Der User wird gebeten, sein System neu zu starten, indem er auf „OK“ klickt. Nach Betätigung wird die Festplatte des PCs beim nächsten Neustart aufgrund des erwähnten Registry-Eintrags zerstört. Das System ist fortan unbrauchbar.
Bei Youtube ist ein Video zu finden, dass den Angriff des Zimuse-Wurms detailliert beschreibt. (BitDefender)

**C11H15NO2** · 28. Januar 2010, 16:18

BitDefender veröffentlicht Removal Tool für "Datenfresser"Zimuse

User, die unsicher sind, ob ihr PC von dem Virus infiziert wurde, können einen kostenlosen QickScan ausführen, der in weniger als 30 Sekunden Aufschluss darüber gibt, ob sich Zimuse auf dem PC befindet. Der Scan ist auf der von BitDefender eingerichteten Zimuse-Website oder beim BitDefender Quickscan zu finden.

Tipps zum Entfernen von Zimuse:

Das Removal-Tool hier downloaden (exe-Datei – 201 KB).
Windows XP-User, die auf ihrem PC lediglich über eingeschränkte Benutzerrechte verfügen, klicken mit der rechten Maustaste auf die Schaltfläche "zimuse-removal-tool.exe" und wählen die Option "run as administrator". Anschließend wird er aufgefordert, Anmeldeinformationen für ein Admin-Konto einzugeben.
BitDefender empfiehlt, das System neu zu starten, nachdem die Desinfektion abgeschlossen ist.

26. Januar 2010, 15:24	#1
C11H15NO2 Administratorin First Lady Registriert seit: 30.10.2003 Beiträge: 14.709 Abgegebene Danke: 48 Erhielt 887 Danke für 374 Beiträge	„Zimuse“ zerstört Festplatte mit schädlichem Code BitDefender hat mit Win32.Worm.Zimuse.A. einen neuen E-Threat identifiziert. Das Besondere an ihm: Erstmals greift ein Threat die Hardware eines PCs an. Dazu kombiniert er die zerstörerische Verhaltensweise eines Virus und nutzt gleichzeitig die effektiven Verbreitungsmechanismen eines Wurms. Beim User tarnt sich der Threat als harmloser IQ-Test. Bislang sind zwei Varianten des Virus bekannt. Win32.Worm.Zimuse.A ist eine extrem gefährliche Art von Malware. Einmal ausgeführt, erstellt der Wurm zwischen sieben und elf Kopien von sich selbst (je nach Variante) in den kritischen Bereichen des Windows-Systems. Im Vergleich zu herkömmlichen Würmern verursacht Win32.Worm.Zimuse.A einen totalen Datenverlust, da er die ersten 50 KB des Master Boot Record – ein besonders wichtiger Bereich der Festplatte – überschreibt. Um sich bei jedem Windows-Start erneut auszuführen, setzt der Wurm den folgenden Registry-Eintrag: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wi ndows\CurrentVersion\ Run]"Dump"="%ProgramFiles%\Dump\Dump.exe . Zudem werden zwei Treiber-Dateien installiert mit den Bezeichnungen: %system%\drivers\Mstart.sys sowie %System%\drivers\Mseu.sys. Da die 64-Bit-Versionen von Windows Vista und Windows 7 über digital signierte Treiber verfügen, kann der Wurm die Treiberdateien bei diesen Systemen nicht installieren. System-Tod nach wenigen Tagen Leider macht es dieser Threat den PC-Usern bereits in einem frühen Stadium seiner Aktivierung nahezu unmöglich zu erkennen, dass sie Opfer einer Malware-Infektion geworden sind. Ist eine bestimmte Anzahl von Tagen verstrichen (40 Tage für Variante A bzw. 20 Tage für die Variante B), erhält der Benutzer eine Fehlermeldung. Diese teilt ihm mit, dass ein Problem aufgetreten ist, welches aus bösartigen Inhalten in IP-Paketen einer seltsam aussehenden Web-Adresse resultiert. Der User wird gebeten, sein System neu zu starten, indem er auf „OK“ klickt. Nach Betätigung wird die Festplatte des PCs beim nächsten Neustart aufgrund des erwähnten Registry-Eintrags zerstört. Das System ist fortan unbrauchbar. Bei Youtube ist ein Video zu finden, dass den Angriff des Zimuse-Wurms detailliert beschreibt. (BitDefender) __________________ Ich habe einen ganz einfachen Geschmack: Ich bin immer mit dem Besten zufrieden. - Oscar Wilde Quis custodiet ipsos custodes? - Juvenal ..:: A d m i n o f O l i w o o d ::..

28. Januar 2010, 16:18	#2
C11H15NO2 Administratorin First Lady Registriert seit: 30.10.2003 Beiträge: 14.709 Abgegebene Danke: 48 Erhielt 887 Danke für 374 Beiträge	AW: „Zimuse“ zerstört Festplatte mit schädlichem Code BitDefender veröffentlicht Removal Tool für "Datenfresser"Zimuse User, die unsicher sind, ob ihr PC von dem Virus infiziert wurde, können einen kostenlosen QickScan ausführen, der in weniger als 30 Sekunden Aufschluss darüber gibt, ob sich Zimuse auf dem PC befindet. Der Scan ist auf der von BitDefender eingerichteten Zimuse-Website oder beim BitDefender Quickscan zu finden. Tipps zum Entfernen von Zimuse: Das Removal-Tool hier downloaden (exe-Datei – 201 KB). Windows XP-User, die auf ihrem PC lediglich über eingeschränkte Benutzerrechte verfügen, klicken mit der rechten Maustaste auf die Schaltfläche "zimuse-removal-tool.exe" und wählen die Option "run as administrator". Anschließend wird er aufgefordert, Anmeldeinformationen für ein Admin-Konto einzugeben. BitDefender empfiehlt, das System neu zu starten, nachdem die Desinfektion abgeschlossen ist. __________________ Ich habe einen ganz einfachen Geschmack: Ich bin immer mit dem Besten zufrieden. - Oscar Wilde Quis custodiet ipsos custodes? - Juvenal ..:: A d m i n o f O l i w o o d ::..

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)