248005

Trojaner versklavt PCs

13.10.2000 | 11:21 Uhr |

Der Trojaner-Wurm Bymer nutzt die Rechenzeit eines befallenen Computers aus, um fremde Datenpakete zu berechnen. Er lädt hierzu von einem Hostserver die Daten herunter, wodurch nicht nur das System als Ganzes, sondern besonders die Netzverbindung langsamer wird.

Der Trojaner-Wurm Bymer versklavt befallene Computer und benutzt ihre Rechenzeit dazu, Datenpakete des Distributed Computing-Projekts DCTI zu berechnen. DCTI organisiert Computerbesitzer, die ihre Rechenzeit ehrenamtlich zur Verfügung stellen, um Rechenaufgaben zu lösen. Die Profite werden zu einem Großteil an gemeinnützige Organisationen gespendet. DCTI hat bereits vor dem Bymer-Wurm (siehe Glossar) gewarnt und alle Rechen-Zeiten des DCTI-Mitglieds gelöscht, auf dessen Konto die Datenberechnungen verbucht werden.

Troj_Bymer verbreitet sich, indem er versucht bei zufällig angewählten IP-Adressen auf das C:\ Laufwerk zuzugreifen. Gelingt ihm dies, so schreibt er unter \WINDOWS\Start Menu\Programs\StartUp und \WINDOWS\SYSTEM die Dateien MSxxx.EXE, MSCLIENT.EXE, INFO.DLL, DNETC.EXE und DNETC.INI. Die Datei MSxxx.EXE kann unterschiedliche Bezeichnungen haben, da anstelle des "xxx" eine Zeichenkombination eingefügt wird, die sich aus den ersten Stellen der IP-Adresse und zufälligen Zeichen zusammensetzt. DNETC.EXE und DNETC.INI sind die offiziellen Programme von DCTI, die normalerweise an die Benutzer gegeben werden und die eigentlichen Berechungen ausführen.

Die WIN.INI des befallenen Rechners wird um den Eintrag load=c:\windows\system\msxxx.exe erweitert, nach dem ersten Start des Wurms wird die Registry unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ um den Eintrag MSINIT=c:\windows\system\msxxx.exe ergänzt.

Der Wurm lädt dann Datenpakete von DCTI herunterladen, berechnet diese und verschickt die Ergebnisse an DCTI. Er hat keine weitere schädigende Wirkung auf den befallenen Rechner und kann relativ einfach entfernt werden, indem die entsprechenden Einträge auf WIN.INI und Registry entfernt und die Wurm-Dateien gelöscht werden. (PC-WELT, 13.10.2000, meh)

Troj_Bymer in der PC-WELT Virendatenbank

ZoneAlarm im PC-WELT Download-Bereich

Secure4U 4.2 im PC-WELT Download-Bereich

PC-WELT Test: Neue Firewalls

PC-WELT Webtipp: Schutz vor Trojanern

Scanner findet Virus im Scanner (PC-WELT Online, 6.10.2000)

Qaz-Wurm tarnt sich als Notepad (PC-WELT Online, 13.9.2000)

Auch Sie werden von Trojanern gescannt (PC-WELT Online, 23.8.2000)

0 Kommentare zu diesem Artikel
248005