686413

Troj_Bymer

Bezeichnung

Trojan.win32.bymer

Typ

Wurm/Trojaner

Erstes Auftreten

September 2000

Verbreitung

selten

Wirkung/Schaden

Der Trojaner-Wurm Bymer versklavt befallene Computer und benutzt ihre Rechenzeit dazu, Datenpakete des Distributed Computing-Projekts DCTI zu berechnen. DCTI organisiert Computerbesitzer, die ihre Rechenzeit ehrenamtlich zur Verfügung stellen, um Rechenaufgaben zu lösen. Die Profite werden zu einem guten Teil an gemeinnützige Organisationen gespendet. DCTI hat bereits vor dem Bymer-Wurm gewarnt und alle Verdienste des DCTI-Mitglied gelöscht, auf dessen Konto die Datenberechnungen verbucht werden.

Infektionsweg

Troj_Bymer verbreitet sich, indem er auf zufällig angewählten IP-Adressen versucht, auf das C:/ Laufwerk zuzugreifen. Gelingt ihm dies, so schreibt er unter \WINDOWS\Start Menu\Programs\StartUp und \WINDOWS\SYSTEM die Dateien MSxxx.EXE, MSCLIENT.EXE, INFO.DLL, DNETC.EXE und DNETC.INI. MSxxx.EXE kann mehrere Bezeichnungen haben, da anstelle des "xxx" eine Zeichenkombination eingefügt wird, die sich aus den ersten Stellen der IP-Adresse und zufälligen Zeichen zusammensetzt. DNETC.EXE und DNETC.INI sind die offiziellen Programme von DCTI, die normalerweise an die Benutzer gegeben werden und die eigentlichen Berechungen ausführen.Die Winini des befallenen Rechners wird um den Eintrag load=c:\windows\system\msxxx.exe erweitert, nach dem ersten Start des Wurms wird die Registry unter HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\ um den Eintrag MSINIT=c:\windows\system\msxxx.exe ergänzt.

Was Sie tun können

Troj_Bymer hat keine weitere schädigende Wirkung auf den befallenen Rechner und kann relativ einfach entfernt werden, indem die entsprechenden Einträge auf Winini und Registry entfernt und die Wurm-Dateien gelöscht werden.

Weitere Infos

Antivirus , McAfee

0 Kommentare zu diesem Artikel
686413