Viren, Spyware, Datenschutz 11.211 Themen, 94.124 Beiträge

News: Zimuse treibt Unwesen

Alarm: Neuer Virus frisst Daten

Michael Nickles / 46 Antworten / Flachansicht Nickles

Der Virus-Scanner-Experte Bitdefender warnt vor einem neuen Virus namens "Zimuse". Im Gegensatz zu vielen "harmlosen" Viren und Trojaner, die Rechner nur mit Spyware verseuchen oder in Bot-Netze für Spam-Maschinerien einbinden, ist Zimuse extrem bösartig und zerstört Datenbestände.

Gemäß Bericht von Bitdefender ist Zimuse eine Kombination aus Virus, Rootkit und Wurm, die sich an 7 - 11 kritischen Stellen in Windows einnistet. Bislang wurden zwei Varianten des Schädlings entdeckt.

Die besonders fiese Variante "Win32.Worm.Zimuse.A" überschreibt die ersten 50 KByte des Master Boot Records von Festplatten, was zu empfindlichem Datenverlust führen kann. Der Schädling aktiviert sich bei jedem Windows-Start automatisch, was sich laut Bitdefender an diesem Registry-Eintrag erkennen lässt:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Dump"="%programfiles%\Dump\Dump.exe

Außerdem nistet Zimuse zwei Treiber ein, die sich hier im Windows-System befinden

%system%\drivers\Mstart.sys
%system%\drivers\Mseu.sys
%system% steht für das Windows-Installationsverzeichnis.

Glück haben anscheinend Nutzer einer 64-Bit Version von Windows 7 oder Windows Vista. Hier werden digital signierte Treiber gefordert, was der Schädling nicht erfüllen kann. Heimtückisch: man kriegt es anfangs nicht mit, dass Zimuse im System ist. Die Variante A schlägt erst 20 Tage nach der Infizierung zu, die Variante B lässt sich gar 40 Tage Zeit.

Dann erscheint laut Bitdefender am Bildschirm ein Fehler-Hinweisdialog. Der teilt mit, dass angeblich schädlicher Code von eine Webseite übertragen wurde und bietet an, das System per Klick auf die "Ok"-Taste zu entseuchen. Nach Klick auf Ok wird beim nächsten Systemstart dann die Festplatte "gegrillt".

itdefender hat auf Youtube ein Video eingestellt, das zeigt, wie Zimuse ein System infiziert und was passiert, wenn der Schädling zuschlägt:

bei Antwort benachrichtigen
babbage gelöscht_200504 „wWas mich interessiert: werden nur von C: diese 50 Kbyte überschrieben oder bei...“
Optionen

C:\ ist im prinzip ein "mountpoint"

mit mountvol/ diskmgmt.msc kannst du dir ausgeben wohin dieses laufwerk den wirklich zeigt.

Gemeint ist hier der "Anfang" der fesplatte.
Also ab dem 1.Sektor der disk.

Ich nehme mal an dass es sich hier um "disk0", die erste aufgelistete disk handelt da hier in den meisten fällen von dieser Disk das OS geladen wird und das "überschreiben" warscheinlich eine attacke auf den bootloader darstellen soll.

sind jetzt aber nur meine vermutungen

bei Antwort benachrichtigen