MSRT vs. Win32/Renocide
Eine Wurmfamilie im Visier
Microsofts kleine Wurmkur, das "Windows-Tool zum Entfernen bösartiger Software", hat in der neuesten Version die Wurmfamilie Win32/Renocide im Visier. Die Würmer verbreiten sich über lokale Datenträger, Wechselmedien, Netzwerkfreigaben und P2P-Netze.
Beim Patch Day am 8. März hat Microsoft nicht nur ein paar Sicherheitslücken beseitigt sondern auch sein Anti-Malware-Programm MSRT (Malicious Software Removal Tool) aktualisiert. Die neue Version 3.17 des "Windows-Tool zum Entfernen bösartiger Software", wie es auf Deutsch heißt, zielt auf die Wurmfamilie "Win32/Renocide"Renocide sucht das lokale Netzwerk mit der Netzwerkmaske 255.255.0.0 nach Freigaben ab, auf die sich der Schädling kopieren kann. Außerdem nutzt Renocide das Netbios-Protokoll, um weitere Infektionskandidaten zu entdecken. Doch Renocide versucht auch, sich über das Internet zu verbreiten, indem der Schädling Dateitauschbörsen instrumentalisiert. Er greift auf einige Torrent-Seiten zu, lädt sich die 100 populärsten Titel herunter und wählt 50 davon aus. Er erstellt dann im Freigabeordner einer installierten P2P-Anwendung Kopien von sich selbst, die die Dateinamen der P2P-Downloads tragen. Renocide ergänzt diese um eine dieser Zeichenfolgen: ".Crack", ".Activator", ".Keygen", ".Validator", "-Razor1911", "-RELOADED" oder "-KeyMaker". Renocide erzeugt eine Datei namens "Readme.txt", die einen dieser Namen enthält. Er benutzt WinRAR oder 7zip, sofern vorhanden, um damit eine komprimierte Archivdatei zu erzeugen, die eine Wurmkopie sowie die Textdatei enthält. Notfalls lädt sich der Wurm eine Kopie von 7zip herunter.Der Schädling bringt Backdoor-Funktionen mit und kommuniziert via IRC (Internet Relay Chat) mit seinem Herrn und Meister. Er kennt mehr als 50 Befehle, die er ausführen kann. Dazu gehört auch das Kommando "cometerharakiri", das ihn veranlasst alle Spuren der Infektion zu entfernen. Außerdem kann Renocide Befehle aus Textdateien ausführen, die er aus dem Internet lädt. In jeder Wurmvariante sind dafür verschiedene Web-Adressen enthalten.Mit dem "Windows-Tool zum Entfernen bösartiger Software", Version 3.17, können Sie Ihren PC auf Infektionen mit W32/Renocide untersuchen und diese gegebenenfalls beseitigen.
Weiter zur Startseite
