Viren, Spyware, Datenschutz 11.212 Themen, 94.154 Beiträge

News: Zimuse treibt Unwesen

Alarm: Neuer Virus frisst Daten

Michael Nickles / 46 Antworten / Flachansicht Nickles

Der Virus-Scanner-Experte Bitdefender warnt vor einem neuen Virus namens "Zimuse". Im Gegensatz zu vielen "harmlosen" Viren und Trojaner, die Rechner nur mit Spyware verseuchen oder in Bot-Netze für Spam-Maschinerien einbinden, ist Zimuse extrem bösartig und zerstört Datenbestände.

Gemäß Bericht von Bitdefender ist Zimuse eine Kombination aus Virus, Rootkit und Wurm, die sich an 7 - 11 kritischen Stellen in Windows einnistet. Bislang wurden zwei Varianten des Schädlings entdeckt.

Die besonders fiese Variante "Win32.Worm.Zimuse.A" überschreibt die ersten 50 KByte des Master Boot Records von Festplatten, was zu empfindlichem Datenverlust führen kann. Der Schädling aktiviert sich bei jedem Windows-Start automatisch, was sich laut Bitdefender an diesem Registry-Eintrag erkennen lässt:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Dump"="%programfiles%\Dump\Dump.exe

Außerdem nistet Zimuse zwei Treiber ein, die sich hier im Windows-System befinden

%system%\drivers\Mstart.sys
%system%\drivers\Mseu.sys
%system% steht für das Windows-Installationsverzeichnis.

Glück haben anscheinend Nutzer einer 64-Bit Version von Windows 7 oder Windows Vista. Hier werden digital signierte Treiber gefordert, was der Schädling nicht erfüllen kann. Heimtückisch: man kriegt es anfangs nicht mit, dass Zimuse im System ist. Die Variante A schlägt erst 20 Tage nach der Infizierung zu, die Variante B lässt sich gar 40 Tage Zeit.

Dann erscheint laut Bitdefender am Bildschirm ein Fehler-Hinweisdialog. Der teilt mit, dass angeblich schädlicher Code von eine Webseite übertragen wurde und bietet an, das System per Klick auf die "Ok"-Taste zu entseuchen. Nach Klick auf Ok wird beim nächsten Systemstart dann die Festplatte "gegrillt".

itdefender hat auf Youtube ein Video eingestellt, das zeigt, wie Zimuse ein System infiziert und was passiert, wenn der Schädling zuschlägt:

bei Antwort benachrichtigen
WVB-38 Michael Nickles „Alarm: Neuer Virus frisst Daten“
Optionen

also, wenn ich davon ausgehen kann, dass Michael recht hat, dann weiss ich auch wo ich den "Teufel" suchen soll..

- wenn ich die ausführbaren Dateien
- Mstart.sys und Mseu.sys in den angegebenen Ordnern, oder irgenwo auf meinen System finde, werde ich diese löschen, meinen PC neu starten und nochmals nach den Dateien suchen...
-- waren die vorher vorhanden und jetzt nicht mehr, Schlussvolgerung, ich war infiziert und habe den Virus entfernt..!
-- Waren die Dateien vorher vorhanden, sind nach einm "neuBoot" wieder da, Kopsgreif, das Biest konnte nicht entfernt werden..! ! !
-- sind die Dateien nicht mehr da, und in der REG die
Einträge auch nicht mehr vorhanden,

-- triumpf-- Ich habe den Satan entfernt..!

-- Ob er vorhanden war und entfernt wurde, oder ob er überhaut nicht, bei mir, vorhanden war,--- ich habe folgende Möglichkeit:....

- ich schliesse meine zweite Festplatte an den zweiten Port an, starte das System neu, damit die 2. erkannt wird, starte mein "PQMAGIC8" und nun kann ich die uninfizierten Partitionen von der ersten Platte, (alle, Partitionen, bootfähig) auf die Reserveplatte copieren und habe dann auf der Reseveplatte -- bootfähige Coopien des Betribsystems und auch aller anderen Partitionen...
-- Warnung ! !..
-- der Umgang mit solchen Toools ist nicht unumstritten, nicht garantiert...

- ich kann nur aus meiner Erfahrung berichten.......

-- Wenn dann eine aktuelle Platte, Bootpartition den Löffel abgibt, schalte ich aus, stecke die Reserveplatte an, und Boote neu.....ohne Virus
-- Bemerkung: Interesanterweise meckert Windows-XP die andere Platte nicht an...
-- Eine registrierte WXP-Version kann ja angeblich nicht auf eine andere Festplatte (PC) übertragen werden...., Aber, vielleicht läuft ja auch bei meiner methode, nur ein Zhähler, und "killt"dann meine XP-Installetion..

Wünsche Euch allen, dass ihr diese Viren, PC-Killer nicht zu gesicht bekommt..

Wolfgang.

bei Antwort benachrichtigen