Antivirus-Provider warnen vor Internet- Wurm 'Roron'

Kaspersky Lab: Der bis jetzt in sechs verschiedenen Varianten aufgetretene Wurm kommt wahrscheinlich aus Bulgarien. Er besitzt gleich ein ganzes 'Waffenarsenal', was ihn so gefährlich macht und ihn für die höchstmögliche Alarmstufe prädestiniert.

Roron pflanzt sich sowohl über EMails, als auch über lokale Netzwerkfreigaben und über KaZaA fort. In Netzwerken befällt er die gemeinsamen Verzeichnisse unter verschiedensten Dateinamen. Er schreibt sich auch als Kopie in KaZaA-Verzeichnisse.

Bei Rechnern mit mIRC-Client benutzt er Backdoor- Funktionen zur remoten Kontrolle und kann dadurch auch DoS-Angriffe auf andere Rechner starten. Roron besitzt außerdem ein Payload, um nach verschiedenen Algorithmen Dateien auf dem Rechner zu löschen.

mehr dazu

Neue Meldung dazu gefunden:

?Roron? verbreitet sich über Netzwerke, E- Mails, KaZaa und mIRC. Er löscht Antivirenprogramme, installiert Trojaner und startet DoS-Attacken. Versucht jemand, ihn zu löschen, löscht er von sich aus im Gegenzug andere Dateien.

Der Wurm, der bei unterschiedlichen Antiviren-Firmen unter den Namen ?Roro?, Roron? oder ?Oror-Fam? auftaucht, ist eine dramatisch erfolgreiche Weiterentwicklung des Oror- Virus, über dessen erste beiden Varianten wir bereits berichteten. Inzwischen sind bereits 39 Varianten des Schädlings unterwegs, der nun von seinen bulgarischen Programmierern (wie Kaspersky Labs herausfand) massiv aufgerüstet wurde.

Roron als verschärfte Variante des Oror-Wurms tarnt sich, wie seine Vorgänger, als Update für WinZip oder eine andere Software. Der Digitalfiesling installiert einen Trojaner, über den er weiteren Schaden anrichten kann. er verbreitet sich über alle Außenverbindungen und löscht alle bekannten Antivirenprogramme. Zudem löscht der Megawurm zahlreiche Dateien auf der Festplatte, sobald jemand versucht, ihn durch Löschen seiner DLL-Komponenten oder Registry-Einträge zu entfernen. An bestimmten Tagen (9. Oder 19.eines jeden Monats) schlägt Roron zudem mit einer Denial-of-Service-Attacke los, deren Ziel er sich über seinen Trojaner als Update holt.

Allen Nutzern sei empfohlen, sich ein automatisches Virencheck-Programm zu installieren, bevor der Übeltäter loslegen kann. Sophos reagierte mit einem Update heute morgen kurz vor Kaspersky Labs, und auch Symantecs Norton-Antivirus schützt seit heute mittag mit aktuellen Signaturen vor dem Bösewicht.