Virus-Warnung: Roron walzt alles nieder

EnterpriseSicherheit

Kasperski warnt vor Breitband-Wirkung

Der Virenspezialisten aus den russischen Kaspersky Labs warnen eindringlich vor dem Wurm Roron – obwohl der schon seit zwei Monaten bekannt ist, auch unter dem Namen Oror. Aber offenbar hat sich der Schädling erst in den vergangenen Wochen zu einer ernst zu nehmenden Bedrohung ausgewachsen. Als Herkunft haben die Anti-Virus-Spezialisten weltweit inzwischen Bulgarien ausgemacht.

Charakteristisch für Roron ist die breite Palette an Übertragungswegen, die der Wurm nutzen kann: Als Mail-Attachment, über lokale Netzwerke oder auch über das Peer-to-Peer-Netzwerk Kazaa. Erschwert wird die Verfolgung von Roron zusätzlich dadurch, dass es inzwischen bereits sechs Mutationen gibt, die sich momentan über Russland, Europa und die USA ausbreiten.

Den meisten Anwendern von infizierten Systemen dürfte Roron zunächst durch seine Zerstörungswut auffallen: Jeweils am 9. und 19. Tag des Monats zerstört der Virus alle Dateien auf dem Rechner – allerdings abhängig von der Systemzeit und nicht unbedingt vom tatsächlichen Datum. Die Löschung wird außerdem aktiviert, wenn eine der Hauptkomponenten des Wurms, Winfile.dll, entfernt wird, oder aber der Registrierungsschlüssel aus dem Systemverzeichnis entfernt wird. Darüber hinaus löscht Roron auch nach eigenem Gutdünken – nach Zufallsprinzip.

Als besonders gefährlich für die Unternehmens-IT könnten sich Hintertüren in IRC-Clients (Internet Relay Chat) erweisen, die durch Roron geöffnet werden. Dann ist die Steuerung und Sabotage des Systems von außen ohne weitere Anstrengungen möglich. Antiviren-Anwendungen werden von Roron geschlossen und in einigen Fällen auch vollkommen entfernt. Schließlich soll Roron auch noch ein Programm für eine Denial-of-Service-Attacke deponieren.

Ein System wird allerdings nur dann infiziert, wenn der Anwender die Wirtsdatei des Wurms aktiviert. Dann sei häufig eine Fehlermeldung mit dem Titel “WinZip Self-Extractor License Confirmation” zu sehen, heißt es bei Kasperky. Patches sind bereits verfügbar.