Win32.Worm.Zimuse.A ist eine extrem gefährliche Art von Malware. Einmal ausgeführt, erstellt der Wurm zwischen sieben und elf Kopien von sich selbst (je nach Variante) in den kritischen Bereichen des Windows-Systems.
Im Vergleich zu herkömmlichen Würmern verursacht Win32.Worm.Zimuse.A einen totalen Datenverlust, da er die ersten 50 KB des Master Boot Record - ein besonders wichtiger Bereich der Festplatte - überschreibt. Um sich bei jedem Windows-Start erneut auszuführen, setzt der Wurm den folgenden Registry-Eintrag:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]"Dump"="%ProgramFiles%\Dump\Dump.exe.
Zudem werden zwei Treiber-Dateien installiert mit den Bezeichnungen:
%system%\drivers\Mstart.sys sowie %System%\drivers\Mseu.sys.
Da die 64-Bit-Versionen von Windows Vista und Windows 7 über digital signierte Treiber verfügen, kann der Wurm die Treiberdateien bei diesen Systemen nicht installieren.
System-Tod nach wenigen Tagen
Leider macht es dieser Threat den PC-Usern bereits in einem frühen Stadium seiner Aktivierung nahezu unmöglich zu erkennen, dass sie Opfer einer Malware-Infektion geworden sind. Ist eine bestimmte Anzahl von Tagen verstrichen (40 Tage für Variante A bzw. 20 Tage für die Variante B), erhält der Benutzer eine Fehlermeldung. Diese teilt ihm mit, dass ein Problem aufgetreten ist, welches aus bösartigen Inhalten in IP-Paketen einer seltsam aussehenden Web-Adresse resultiert. Der User wird gebeten, sein System neu zu starten, indem er auf "OK" klickt. Nach Betätigung wird die Festplatte des PCs beim nächsten Neustart aufgrund des erwähnten Registry-Eintrags zerstört. Das System ist fortan unbrauchbar.
Unter http://www.youtube.com/... ist ein Video zu finden, dass den Angriff des Zimuse-Wurms detailliert beschreibt.
Um sich vor einem derartigen Angriff zu schützen, empfiehlt BitDefender den Download und die Installation einer kompletten Anti-Malware-Suite mit Antiviren-, Antispam-, Antiphishing- und Firewall-Schutz. PC-Nutzer sollten zudem davon absehen, in ihren E-Mails Dateien von unbekannten Absendern zu öffnen oder verdächtig aussehende Links zu aktivieren.
Weitere Informationen unter: www.bitdefender.de.