51510

Wurm versteckt sich in defekten Sektoren

28.02.2008 | 16:06 Uhr |

Ein neu entdeckter Wurm benutzt einen alten Trick, den Virenforscher schon seit längerer Zeit nicht mehr bei aktueller Malware gesehen haben. Er markiert Festplattensektoren als defekt, in denen er sich dann versteckt.

Wie es scheint, kramen Malware-Programmierer derzeit verstärkt in den Quelltexten alter Viren, um ein paar Tricks zu finden, mit denen heute keiner mehr rechnet. Diese Rechnung geht für den Wurm "W32.Joydotto" allerdings nicht auf, denn Liam OMurchu und seine Kollegen von Symantec haben den Trick entdeckt, mit dem sich der Schädling verstecken will. Der Wurm kopiert sich auf externe Datenträger wie USB-Sticks oder Festplatten, benutzt dabei jedoch keinen Dateinamen. Vielmehr schreibt er sich direkt auf den Datenträger und markiert die benutzten Sektoren als defekt.

Damit dieser Trick funktionieren kann, braucht der Wurm jedoch ein Programm, das die Sektoren wieder ausliest, um den den Schädling zu starten. Dieses Ladeprogramm kann jedoch recht klein sein und vor allem ganz harmlos erscheinen. Das eigentliche Wurmprogramm ist zudem mit drei zufällig erzeugten Schlüsseln chiffriert, die im Ladeprogramm zusammen mit dem genauen Speicherort enthalten sein müssen. Dieses residiert als "L.exe" im Papierkorb des Laufwerks und wird über eine Startdatei "autorun.inf" in dessen Hauptverzeichnis aufgerufen.

Der Schädling befällt nur Datenträger mit dem Dateisystem FAT. Formatieren des Datenträgers entfernt den Wurm und stellt auch die als defekt markierten Sektoren wieder zur Verfügung. Durch einige Fehler im Wurm-Code kann der Schädling eine Menge Platz verbrauchen, zumal er nicht überprüft, ob er sich schon früher auf einen Datenträger kopiert hat. Deshalb verseucht er den Datenträger bei jeden Einlegen oder Anschließen erneut.

Tricks dieser Art sind schon von DOS-Viren aus grauer Vorzeit bekannt, als Windows bestenfalls eine Startrampe für Programme mit grafischer Oberfläche war. Sie wurden jedoch seit dieser Zeit nicht mehr bei frei herum laufender Malware beobachtet.

0 Kommentare zu diesem Artikel
51510