|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
W32.Bymer.A
alias: W32.Msinit, Dnet.Dropper, Worm_Bymer_a, Worm.Bymer, Worm.RC5
Rechenleistung zu verteilen ist eine feine Sache. Das Internet bietet eine einmalige Gelegenheit,
gewaltige Datenmengen auf eine Vielzahl von Rechner zu verteilen und somit in einem "vertretbaren"
Zeitrahmen "abarbeiten" zu lassen. Wohl eines der bekanntesten und auch größten Projekte die sich
diese Gelegenheit zu Nutze machen, ist das SETI Projekt; (Search Extra Terrestic Intelligence).
Etwas kleiner aber nicht weniger sinnvoll sind Projekte die im Rahmen von Distributed Net
(http://www.distributed.net/) berechnet werden.
Für derlei "verteilte" (distributed) Berechnungen ist es unumgänglich, Software des jeweiligen
Projekts zu installieren bzw. dieser Software auch bestimmte Rechte einzuräumen. Diesen Umstand
machen sich leider auch immer wieder Virenschreiber zu Nutze. Der W32.Bymer Wurm ist einer jener
Trojaner, die dem Gedanken der "verteilten" Rechnerlast schaden, indem Sie sich dieser Prozesse
bedienen. Das Virus selbst richtet dabei überhaupt keinen Schaden an; beunruhigend ist einzig und
allein, daß ein erfolgreich installiertes Virus dem Angreifer ein rundum funktionierendes Programm
bietet und somit einer Attacke von außen Tür und Tor geöffnet wird. Eine Dimension wie andere
Würmer, wird der Bymer jedoch nicht annehmen, da er nicht in der Lage ist, sich wie Loveletter
und Co. via eMail zu versenden. Das Virus ist zudem nicht speicherresistent, was bedeutet, daß es
nur aktiv werden kann, wenn es von einem Anwender oder einem Systemsprozess gestartet wird.
Im Regelfall tarnt sich das Virus als Msinit.exe bzw. als Wininit.exe. Beide Varianten haben
die gleiche Funktionalität aber Ihre Schadenfunktion variiert. Beide nutzen den Dnetc Client, also
den Softwareteil, der von distibuted.net verwendet wird um Berechnung auf die einzelnen Clients
verteilen zu können.
Wird das Virus gestartet, wird nach bewährter Manier die Registry modifiziert:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
oder
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices Registry key
um Sicherzustellen, daß beim Reboot der Maschine auch verlässlich der Trojaner aktiviert wird.
Nach dem Neustart versucht das Virus sofort sich selbst zu verbreiten indem es über IP-Adressen
nach freigegebenen Festplatten sucht. Der Wurm versucht dabei nach dem Zufallsprinzip alle 2
Sekunden eine neue IP-Adresse. Findet das Virus eine freigegebene Festplatte sucht der Wurm ob das
Windows Verzeichnis "verfügbar", also ebenfalls freigegeben und nicht schreibgeschützt, ist. Wenn
ja, fügt er sich selbst ins Windows Verzeichnis ein und modifiziert die "Load=Line" in der Win.ini
Datei.
Folgender String wird in der Datei eingefügt:
[windows]
load=C:\WINDOWS\SYSTEM\WININIT.EXE
Damit hat er das Zielsystem erfolgreich infiziert, den beim Neustart dieses Rechners wird auch
der Wurm geladen und das Spiel beginnt von vorne.
Folgende Dateien werden in das Windows\system-Verzeichnis kopiert:
WININIT.EXE - Body des Wurms - 22016 bytes long
DNETC.EXE - Distributed Net RC5 client 186188 bytes long
DNETC.INI - INI-file with settings for RC5 client
Zur Tarnung droppt (=kopiert) das Virus, je nach Version, auch den Dnetc Client der selbst kein
Virus und auch keine Bedrohung darstellt. Das Virus selbst ist relativ einfach zu entfernen.
Löschen Sie einfach alle Dateien, die von Ihrem Virenschutzprogramm als W32.Bymer.Worm
(oder siehe alias oben) erkannt werden. Ändern sie die "Load=Line" Ihrer Win.ini und löschen sie
die vom Wurm angelegten Registry Einträge.
|
|
Linktipps: Kostenlose Kleinanzeigen
|
|
|
|
