BitDefender warnt heute vor einer neu ausgemachten Bedrohung im World-Wide-Web. Als IQ-Test kommt die neue Malware daher, die auf den Namen Win32.Worm.Zimuse.A hört.

Dieser Schädling vereint dabei die geschickte Verbreitung eines Wurm-Artgenossen mit der zerstörerischen Wirkung manch eines Virus. Nach der Ausführung der entsprechenden Datei bemerkt man zunächst gar nichts. Dabei wurde zu diesem Zeitpunkt die infizierte Datei bereits 7 bis 11 mal dupliziert und in verschiedenen Orten des Systems abgelegt. Allgemein ist eine Infektion schwer auszumachen und kaum zu erkennen. Erst nach einem längeren Zeitraum (je nach Variante 40 oder 20 Tage), taucht eine Fehlermeldung auf, die auf einen Kernel-Error aufgrund bösartiger IP-Pakete hinweist. Startet man den Rechner neu, soll laut BitDefender das System durch Zerstörung der Festplatte unbrauchbar gemacht worden sein.

Dazu geht der Wurm wie folgt vor. Zunächst wird ein Eintrag in der Registry durch den Wurm vorgenommen, um beim Systemstart mitgeladen zu werden:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run]“Dump”=”%ProgramFiles%\Dump\Dump.exe.

Außerdem werden zwei Treiber-Dateien installiert mit den Bezeichnungen:

%system%\drivers\Mstart.sys

%System%\drivers\Mseu.sys.

Nach Ablauf der Frist wird dann der Master-Boot-Record überschrieben und das System auf der Festplatte zerstört. Davor gefeit sind scheinbar nur die Betriebssystem Windwos Vista x64, sowie Windows 7 x64, da diese einer digitalen Treibersignierung bedürfen.
Als Schutz wird eine aktuelle, umfassende Internet-Security Suite genannt, nähere Details scheinen momentan noch nicht verfügbar. Die Wirkungsweise von Zimuse.A zeigt dieses Youtube-Video über einen Laborversuch: