Red Alert! Kaspersky warnt vor Roron-Virus

Bulgarischer Infektionsherd ist höchst-destruktiv und durchtrieben

Die Virenexperten von Kaspersky haben eine dringende Warnung („Red Alert“) vor dem „Roron“-Virus ausgesprochen. Es handle sich um einen in Bulgarien geschriebenen Erreger, der in sechs Varianten auftrete. Er habe bereits Rechner in den USA, Europa und Russland befallen. In Gefahr sind Anwender von Windows 95, 98, NT, 2000, XP und Me.

Neben höchst-destruktiven Elementen und dem Verbreiten von DoS-Hosts (Denial of Service) installiere der Virus auch ein Hintertürchen in das System des Opfers, wodurch die Fernsteuerung des Rechners durch den Angreifer möglich werde. Die Infektionswege seien mannigfach: Zum einen lauere Roron im Kazaa-Netzwerk auf seine Opfer, andererseits komme er auch per E-Mail ins Haus. Und schließlich nutze er auch noch Local Area Networks, also gemeinschaftlich genutzte Speicherressourcen.

Nach dem Befall nistet sich der Virus im Windows System Directory sowie den Program Files ein und aktiviert den Auto-Run Key. Damit wird er bei jedem neuen Startvorgang jeweils mit gebootet. Gelegentlich präsentiert er eine falsche Warnmeldung:

„WinZip Self-Extractor License Confirmation

Your version of WinZip Self-Extractor is not licensed, or the license information is missing or corrupted. Please contact the program vendor or the web site (www.WinZip.com) for additional information.“

Roron löscht unter bestimmten Umständen Festplatteninhalte: So beispielsweise, wenn der Befall an einem 9. oder 19. stattfindet. Auch bei Löschung des Wurm-Kerns (WINFILE.DLL) oder der Windows System Registry Keys des Erregers radiert er die formatiert er die Harddisc neu. Damit nicht genug: Er sucht selbstständig nach installierter Antiviren-Software und deaktiviert beziehungsweise löscht sie sogar.

Symantec berichtet davon, dass folgende Betreffzeilen häufig vorkommen:

  • Blondinkii
  • sent you a Yahoo! Greeting_
  • Microsoft Bulgaria_
  • Vajno_
  • WinAmp Team
  • Virus Alert_
  • Yahoo! Toolbar_

Die Anhänge trügen Namen wie „Blondies.exe“, „Yahoo!Tomcats.exe“ oder „IE_0274_bg.exe“ und ähnliches. Die Größe der verseuchten Mail variiere ebenso, bislang kenne man Exemplare mit 131.072, 139.264, 72.192 und 131.072 Bytes.

Der Virus war erstmals Anfang September aufgefallen. Unter anderem Panda Software Deutschland hatte damals eine Warnung vor dem Schädling ausgesprochen und ihn damals W32/Oror genannt. Damals lagen noch keine Meldungen über Infektionen „in the wild“ vor. Auch der zu befürchtende Schaden konnte damals noch nicht ermessen werden.

Panda erklärte, die Nachricht enthalte einen Anhang, der vom Wurm zufällig aus folgender Liste ausgewählt wird:

  • Love Zodiak.exe
  • Sorry.exe
  • [TNT]!CC geN.exe
  • Osama Your Mamma.exe
  • Setup.exe
  • mTV Charts.exe
  • Blondies.exe
  • TNT!CC gEN.exe
  • Magic.exe
  • Love.exe
  • Zodiak.exe
  • mTV.exe
  • Faith.exe
  • Kama Sutra.exe
  • Fun.exe
  • Smile.exe
  • Pamela.exe
  • Candy.exe

Die Mail nenne eine der folgenden Betreffzeilen und Textkörper:

  • Subject: Zdrasti..
    Body: Hey, kak , ujas mi e toplo daji smqtam ei sq da si farlq edin dush che ne sa disha :) Skoro shti pratq onva det obeshtah, za sq mojesh da hvarlish edno oko na
  • Subject: Ohoo!!
    Body: Yoo, kak e havata, v momenta se 4ustvam mnoo qko i reshih da pisha na priqtelite :) nabarah edin mnoo zdrav site, %s – Cool a? Aide chakam otgovor :)
  • Subject: Pisamce
    Body: Neska mi se slu4iha kup neshta :) Oshte ot sutrinta adski mi varvi, shte vzema da pusna edin fish ~~P V takova dobro nastroenie sam 4e reshih da vi pisha. Pri teb kak e, Neshto novo ima li? Osven vsi4ko ti pratih i iznenadka, sled kato q instalirash si vij shti sa poqvi mnoo qka madama v Tray-a :) I naposledak poshtata mi stoi tajno prazna tai che … :)) Doskoro
  • Body: Liubofta e kato Rai, no moje da boli kato Ad
    Cuerpo: Zdr, izpratih na vsichki edna programka, mnoo qka, btw to imeto si pokazva. Subject-a e ot tam i ima i drugi mnogo qki misli. Moje da pokaje nai-podhodqshtiq partnior v liubofta :)) Ujasno e kak liubofta moje da ubie vsichko v teb.. Za shtastie ne vinagi e taka :) Bye !!
  • Subject: TinKi WinKy
    Body: Zdrasti, trqq da proveda edin razgovor s dosta hora, ama shi vidim koga sha stane tova, naistina imam da kazvam mnogo neshta .. Ako imash i ti neshto da mi kazvash, ne se kolebai, a napishi edno pisamce. Vqrvai v me4tite si i gledai napred :))‘ P.S. Pogledni attachmenta i vij dali shti dopadne :)) Kefi li te? Az mnoo mu sa radvah ;)) Bye
  • Subject: HeY :)
    Body: Tiriritam tiriram :)) zDraVeI, neshto novo?? :) Kak varvi lqtoto? Plaj, basein, kuponi :) Beshe mi skuchno i si vikam shto da ne napisha nqkoi drugo pismo :> Kakvoto i da stava da jivee lqtoto i nie pokrai nego ~~~PpPpPp. Vij iznendkata ~pP Aide i chakam..
  • Subject: ZzZz :)
    Body: Zdrasti, kak q karash :) az sam dobre, makar che naposledak imam malko problemi. Tvarde mnogo mi se strupa navednaj, mai i rakata mi e s4upena.. Kvo da se pravi, takav e jivota.. Vchera namerih nqkav generator na kreditni karti i mai bachka, samo edin go probvah ama stana, vij dali pri teb sha raboti i umnata :) I ne zabravqi che „Liuboftaa e po cennaa ot vsi4ko“ :)) Chao ti
  • Subject: Vajno!!
    Body: Ima nov opasen virus v neta! Razprostranqva se predimno po IRC i ICQ. Vnimavai da ne se zarazish, zashtoto iztriva Mp3-ki, Filmi i Dokumenti. Izpratih ti patch, koqto shte te zashtiti ot zarazqvane. Iskah da napisha po-dulgo pismo, no nqmah vreme, sorka :( Naposledak imam adski mnogo rabota nalqvo nadqsno :)) Inache kak varvi? Aide doskoro i watch out :)))
  • Subject: Blondinkii:)
    Body: Namerih edna mnoo qka programka i neznam zashto, no mi napomni za teb :)‘ Kakvo pravi blondinka kato rodi bliznaci? – Chudi se koi e vtoriq tatko :)‘ Kakva e razlikata mejdu 10 ovce i 3 blondinki? Otgovor: 7 Kak mojesh da razsmeesh blondinka v petak? – Kato i razkajesh vic vav vtornik :) Zdrasti! kak si :) Kefqt li ta vicovete? Shegichka de :) Pratih ti q. Razkazva ti qki vicove za blondinki na 5 minuti :) Posmqh se za baq vreme napred :))) Bye, doskoro, i po chesto v chata, chao :)
  • Subject: Hi BaBy :)
    Body: Hi baby, kak e :) ko si praikash? az si slusham muzichka – ATC i Mortal Kombat Soundtrack – Varhovni sa, napravo izbuhnah :))) Drapnah si gi ot neta s taq programka – ima 200 kubriliona klasacii :) Naposledak muzikata e edno ot malkoto mi udovolstviq P.S. Obezatelno si drapni ATC – Why oh why.mp3 :)) Chao, doskoro!!
  • Subject: HeY..
    Body: HeY.. Buddz what’z up :) How are you? I’m fine, 10x!! My friend Nina is here and we are.. You know :) Lalala !! I’ve just wanted to tell you. Btw check this site – %s, it’s kewl :)) Cya
  • Subject: aBcDeFgHiJkLmNoPqRsT.. Body: Hi, Don’t forget about MAL“F“ :) And don’t tell anybody :Ppp have you seen this site? It’s very interesting!! :) %s .. Leave this away, how are you? Send me sth cool, plzz :) bye! :)
  • Subject: Don’t cry
    Body: It won’t be easy, you think it’s strange, when I try to explain how i feel and I still want your love after all I have done. You won’t believe me.. I had to let it happen, i had to change.. Hey, just kiddin‘ :) Madonna – „Don’t cry“ I’ve just wanted to .. Infact I don’t know nothing i don’t want to know anything :))) Do you like the funny program :) I’m waiting for the reply :>> Bye
  • Subject: Very Important
    Body: There is a very dangerous virus circulating in the net. It’s called RoRo and it’s using IRC to infect computers. This virus deletes movies, music and corrupt your windows installation. To prevent from infecting, install McAfee Anti-Script 2002. It’s a 30-days demo.. So, how are you? Good, Bad? I’m oK. I wanted to write you a longer letter, but i didn’t have enough time.. sorry. Bye
  • Subject: Miracle
    Body: All I need is a miracle, all i need is love.. YeS. That’s true i love you my friends :) If you are wondering why I am so happy – i’ll tell you – I am enga.. oOps, later..Bye and uhh unzip the attachment. It’s the best joke, i’ve ever seen. Bye, see ya :)
  • Subject: LOVE is like HEAVEN but it can hurt like HELL.
    Body: I’ve just found this program, and, I don’t know why… but it reminded me of you. I read this there. There are cool ideas, especially about lOvE. I like it, but let’s talk about you? Are you oK? Are you in love :))) I’m waiting for the replyyy :)) bye ~pPpP
  • Subject: Blondies Forever :)
    Body: Hiya :) I’ve just wannted to send you these jokes – What do blondes wear behind their ears to attract men? Their ankles!! – Why did god invent the female orgasm? So blondes know when to stop screwing!! – What’s the difference between a blonde and aeroplane? Not everyone’s been in a aeroplane! – What is a blond with hair black colored? Artificial intelligence! Blondies forever!! :) Wow, it’s raining!! c00l :) Time off, i must go now, but i’ll be very happy if you write me soon :) Bye bye :))
  • Subject: Hi!!
    Body: Hi baby :)) Whatz Uppp :)) I’m feelin extra power cause i got high in the sky :) sMiLe :oP~pPPPpp Where are you? What are you doing? I send you a c00l flAsh :) See you soon :)) Bye Bye
  • Subject: WoWoWoWOWowo..
    Body: Hi again.. You can’t guess what i’ve found.. Finally i’ve found a working Credit Card generator!! I’m the richest man in the net :)) Don’t tell or send it to anybody! How are you? What’re you doing?
  • Subject: yoOo
    Body: YoOo :)) What a nice day, what a nice time :) What a nice world :)) Do you have any ATC’s mp3z? eXtreemly cool :) I’ve found them with this program, it’s like Napster, but it’s legal :)) P.S. Download ATC – Why oh why.mp3 !!! Bye ~~~~ppPpP :)
  • Aktuelle Informationen zu Schädlingen gibt es im Viren-Center, eine umfassende Sammlung aktueller Antiviren-Software und einen kostenlosen Live-Viren-Check stehen hier außerdem bereit.

    Themenseiten: Software, Telekommunikation

    Fanden Sie diesen Artikel nützlich?
    Content Loading ...
    Whitepaper

    ZDNet für mobile Geräte
    ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

    Artikel empfehlen:

    Neueste Kommentare 

    Noch keine Kommentare zu Red Alert! Kaspersky warnt vor Roron-Virus

    Kommentar hinzufügen

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *