Aktueller Channel Fokus:

Komponenten & Peripherie

Removal-Tool für Backdoor-Wurm Yonsole verfügbar

Neuer Wurm Yonsole überschreibt wie Zimuse Master Boot Record (MBR)

29.06.2010 | Redakteur: Peter Schmitz

Der Wurm Backdoor.Yonsole versucht Windows Systeme zu übernehmen und kann auf Befehl auch den Master Boot Record (MBR) überschreiben.
Der Wurm Backdoor.Yonsole versucht Windows Systeme zu übernehmen und kann auf Befehl auch den Master Boot Record (MBR) überschreiben.

Vor 20 Jahren gab es die ersten Viren, die sich per Diskette und Infektion des Master Boot Record (MBR) verbreitet haben. Diese alte Technik scheinen Würmer wie Zimuse und jetzt neu Backdoor.Yonsole zum Teil wieder aufzugreifen. Die Hauptfunktion des neuen Trojaners ist aber die Fernkontrolle des infizierten Rechners. Das Überschreiben des MBR dient nur zur absichtlichen Zerstörung des Zielsystems.

Der Trojaner Zimuse hat als MBR-Infektor zum Jahresbeginn für Aufsehen gesorgt. Jetzt gibt es mit Backdoor.Yonsole einen Nachahmer, der den Master Boot Record (MBR) einer lokalen Festplatte überschreibt und somit das Starten von Windows verhindert. Backdoor.Yonsole taucht in zwei Varianten (A und B) auf. Diese unterscheiden sich in der Art, wie sie die Windows-Dienste unterwandern.

Nach erfolgreicher Infektion schreibt die Malware eine DLL-Datei namens comres.dll auf die Festplatte des infizierten Rechners. Die Variante A speichert die Datei in das Windows-Verzeichnis (%windir%), die variante B ins Programmverzeichnis des Internet Explorers (%programfiles%\Internet Explorer\). Die Variante A speichert außerdem eine zweite Instanz der Malware unter dem Namen f[zufällige Buchstaben]k.cmd im Windows Systemverzeichnis (%windir%\system32). Die Variante B versucht sich dagegen in den Speicherbereich des Internet Explorer (iexplorer.exe) zu schreiben, um einer Entdeckung und Entfernung zu entgehen.

Yonsole erstellt nach der Infektion einen Windows Systemdienst, der als Hintertür auf Port 8000 auf Befehle des Malware-Urhebers lauscht. Die Hintertür auf dem kompromittierten Rechner erlaubt es den Angreifern, via Fernzugriff Kontrolle über das System zu erlangen und sogar den Master Boot Record zu überschreiben, um das System aus der Ferne lahmzulegen.

Antivirus-Spezialist Bitdefender stellt ein kostenloses Removal Tool zur Verfügung, mit dem Anwender ihren infizierten Rechner wieder säubern können. Solange der MBR noch nicht überschrieben wurde, erkennt das Tool den Schädling, entfernt ihn und führt einen Neustart durch. BitDefender hat zudem ein Update der Signaturen seiner Virenscanner veröffentlicht, um beide Varianten von Yonsole zu blockieren und zu löschen.

Ist der MBR bereits überschrieben besteht noch eine kleine Chance das System zu reparieren. Man muss dazu von der Installations CD booten und dann unter Windows XP den Befehl fixmbr, bzw. unter Windows Vista oder Windows 7 bootrec.exe /fixmbr und bootrec.exe /fixboot eingeben.

Kommentare werden geladen....

Sie wollen diesen Beitrag kommentieren? Schreiben Sie uns hier

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2045769 / Technologien & Lösungen)