MSRT vs. Win32/Renocide

Eine Wurmfamilie im Visier

Microsofts kleine Wurmkur, das "Windows-Tool zum Entfernen bösartiger Software", hat in der neuesten Version die Wurmfamilie Win32/Renocide im Visier. Die Würmer verbreiten sich über lokale Datenträger, Wechselmedien, Netzwerkfreigaben und P2P-Netze.

Win32/Renocide

© Frank Ziemann

Win32/Renocide

Beim Patch Day am 8. März hat Microsoft nicht nur ein paar Sicherheitslücken beseitigt sondern auch sein Anti-Malware-Programm MSRT (Malicious Software Removal Tool) aktualisiert. Die neue Version 3.17 des "Windows-Tool zum Entfernen bösartiger Software", wie es auf Deutsch heißt, zielt auf die Wurmfamilie "Win32/Renocide"Renocide sucht das lokale Netzwerk mit der Netzwerkmaske 255.255.0.0 nach Freigaben ab, auf die sich der Schädling kopieren kann. Außerdem nutzt Renocide das Netbios-Protokoll, um weitere Infektionskandidaten zu entdecken. Doch Renocide versucht auch, sich über das Internet zu verbreiten, indem der Schädling Dateitauschbörsen instrumentalisiert. Er greift auf einige Torrent-Seiten zu, lädt sich die 100 populärsten Titel herunter und wählt 50 davon aus. Er erstellt dann im Freigabeordner einer installierten P2P-Anwendung Kopien von sich selbst, die die Dateinamen der P2P-Downloads tragen. Renocide ergänzt diese um eine dieser Zeichenfolgen: ".Crack", ".Activator", ".Keygen", ".Validator", "-Razor1911", "-RELOADED" oder "-KeyMaker". Renocide erzeugt eine Datei namens "Readme.txt", die einen dieser Namen enthält. Er benutzt WinRAR oder 7zip, sofern vorhanden, um damit eine komprimierte Archivdatei zu erzeugen, die eine Wurmkopie sowie die Textdatei enthält. Notfalls lädt sich der Wurm eine Kopie von 7zip herunter.Der Schädling bringt Backdoor-Funktionen mit und kommuniziert via IRC (Internet Relay Chat) mit seinem Herrn und Meister. Er kennt mehr als 50 Befehle, die er ausführen kann. Dazu gehört auch das Kommando "cometerharakiri", das ihn veranlasst alle Spuren der Infektion zu entfernen. Außerdem kann Renocide Befehle aus Textdateien ausführen, die er aus dem Internet lädt. In jeder Wurmvariante sind dafür verschiedene Web-Adressen enthalten.Mit dem "Windows-Tool zum Entfernen bösartiger Software", Version 3.17, können Sie Ihren PC auf Infektionen mit W32/Renocide untersuchen und diese gegebenenfalls beseitigen.

Mehr zum Thema

Windows Update: Screenshot
Windows Update jetzt ausführen

Windows Update: Microsoft schließt mit Patch KB3079904 eine kritische Sicherheitslücke, mit der Angreifer ein System komplett übernehmen können.…
Whatsapp-Logo
Abofallen und Gewinnspiele

Erhalten Sie per Whatsapp Werbe-Nachrichten zu Whatsapp Gold, klicken Sie getrost auf Löschen. Dahinter verbergen sich Abofallen und dubiose…
Symbolbild: Sicherheit
Kundenpasswörter im Klartext

Bitdefender-Hack: Der Hacker fordert 15.000 US-Dollar, ansonsten würden Nutzerdaten veröffentlicht. Diese speicherte Bitdefender übrigens im…
Flash-Lücke entdeckt
Schädlinge über Flash-Werbung

Yahoo-Webseiten lieferten vom 28. Juli bis 3. August Malware über Flash-Werbung aus. Das entdeckte das Sicherheitsunternehmen Malwarebytes.
Symbolbild für Internet-Sicherheit und Spionage
Teslacrypt

Die Ransomware "TeslaCrypt" ist ein Trojaner, der vor allem Zockern zu schaffen macht. Savegames werden verschlüsselt, die angeblich erst gegen…