Thema: Zimuse-Malware zerstört die Festplatte

[SiLæncer]

Der Hersteller von Sicherheits-Software BitDefender hat mit Win32.Worm.Zimuse.A. einen neuen Schädling identifiziert. Das Besondere an ihm: Er greift auch die Hardware eines PCs an.

Dabei kombiniert Zimuse die zerstörerische Verhaltensweise eines Virus und nutzt gleichzeitig die effektiven Verbreitungsmechanismen eines Wurms, teilte das Unternehmen mit. Die Malware versucht sich als harmloser IQ-Test getarnt beim Nutzer einzuschleichen. Bislang sind zwei Varianten bekannt.

Win32.Worm.Zimuse.A sei eine extrem gefährliche Art von Malware, hieß es weiter. Einmal ausgeführt, erstellt der Wurm zwischen sieben und elf Kopien von sich selbst in den kritischen Bereichen eines Windows-Systems.

Im Vergleich zu herkömmlichen Würmern verursacht Win32.Worm.Zimuse.A einen totalen Datenverlust, da er die ersten 50 KB des Master Boot Record der Festplatte überschreibt. Um sich bei jedem Windows-Start erneut auszuführen, setzt der Wurm den folgenden Registry-Eintrag:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]"Dump"="%ProgramFiles%\Dump\Dump.exe

Zudem werden zwei Treiber-Dateien installiert mit den Bezeichnungen: %system%\drivers\Mstart.sys sowie %System%\drivers\Mseu.sys.

Da die 64-Bit-Versionen von Windows Vista und Windows 7 über digital signierte Treiber verfügen, kann der Wurm die Treiberdateien bei diesen Systemen nicht installieren.

Ist eine bestimmte Anzahl von Tagen verstrichen (40 Tage für Variante A bzw. 20 Tage für die Variante B), erhält der Benutzer eine Fehlermeldung. Diese teilt ihm mit, dass ein Problem aufgetreten ist, welches aus bösartigen Inhalten in IP-Paketen einer resultiert. Der User wird gebeten, sein System neu zu starten, indem er auf "OK" klickt. Nach Betätigung wird die Festplatte des PCs beim nächsten Neustart unbrauchbar.

BitDefender warnte noch einmal davor, Dateien unbekannter Herkunft zu öffnen. Außerdem sei es geboten, eine komplette Anti-Malware-Suite mit Antiviren-, Antispam-, Antiphishing- und Firewall-Schutz zu installieren, um sich vor Gefahren wie Zimuse zu schützen.

Quelle : http://winfuture.de

[berti]

hab ich was beim obigen posting übersehen? wenn nur das MBR zerstört wurde, warum kann ich dann nicht via externen bootmedium den bootsector wieder herstellen?
ad hoc fällt mir da "Fdisk /mbr " ein, oder z.b. via win xp, vista oder w7 die recovery shell.
Die passenden befehle für linux fallen mir grade nicht ein, mach so etwas auch meist mittels Gpart oder supergrub via GUI..

wieso wird da von "hardware zerstören" gesprochen?

Ne andere sache wäre es,wenn der service-track der festplatte modifiziert wäre, aber auch hier gibt es genügend tools, den wieder herzustellen (hersteller tools)

Danach ist dann zwar noch das herstellen der daten mittels recovery programmen notwendig (zb. get data back, active recovery usw) aber eine richtige hardware zerstörung ist das kaum.

Ist das als panicmache eines av-hersteller zu sehen oder ist da was anderes mit gemeint??

[Jürgen]

Du hast vollkommen recht, auch für mich klingt das eher nach Pressestelle / Werbeabteilung, als nach einer Experten-Auskunft.

Typische Schlipsträger-Schreibe eben.

Von Datenverlust kann auch keine Rede sein, wenn man die Scheibe durch Erneuern des MBR wieder startfähig machen oder z.B. per USB-Adapter an einen anderen Rechner (mit bereits laufender Sicherheitssoftware) hängen kann, um Daten zu retten oder die Infektion zu beheben.

[dvb_ss2]

Wurde auch in einer neuen Meldung bei Heise relativiert:
http://www.heise.de/newsticker/meldung/Scareware-wird-zu-Ransomware-Teil-2-913560.html

dvb_ss2

[berti]

danke für die kommentare, da war mein erster eindruck nicht falsch.

obwohl: ein virus zu schreiben, der wirklich  hardware zerstört, wäre nicht undenkbar.

speziell neuere festplatten sind da sehr anfällig !

[Warpi]

hab ich was beim obigen posting übersehen? wenn nur das MBR zerstört wurde, warum kann ich dann nicht via externen bootmedium den bootsector wieder herstellen?
ad hoc fällt mir da "Fdisk /mbr " ein, oder z.b. via win xp, vista oder w7 die recovery shell.
Die passenden befehle für linux fallen mir grade nicht ein, mach so etwas auch meist mittels Gpart oder supergrub via GUI..

Supergrub ist eine gute Idee.
Dann gibt es da noch DD  
Man sollte immer eine Rettungscd im Regal stehen haben