OROR.AI löscht Schutzprogramme

Der Wurm wird als Anhang einer Email verschickt, die verschiedene Überschriften und Texte beinhalten kann. Eine verlässliche Identifikation darüber ist somit nicht möglich.

Wird die Datei zum ersten Mal ausgeführt, zeigt sich eine Fehlermeldung als Message-Box:

Cannot open file
it does not appear to be a valid program.
If you download this file, try downloading
file again.

Anschließend legt der Wurm verschiedene Schlüssel in der Windows-Registry an:

HKEY_LOCAL_MACHINE/Software/Microsoft Windows/CurrentVersion/Run

LoadSystemProfile = ?%S%%F%%T%.exe powprof.dll, LoadCurrentUserProfile

Mit diesem Eintrag stellt der Wurm seinen Autostart bei jedem Systemstart sicher.

HKEY_CLASSES_ROOT>exefile>shell>open>command

<Dateiname> %1" %*

(Dateiname steht für verschiedene Namen des Wurms. Der Teil vor %1" %* ist zu löschen)

Danach legt OROR.AI Einträge in der Initialisierungsdatei an:

WIN.INI
run= <Dateiname>

Anschließend durchsucht der Wurm den infizierten Rechner nach installierten Schutzprogrammen und beendet die Prozesse von Virenscannern und Firewallsystemen.

Infektionsweg

OROR.AI durchsucht den Rechner nach Email-Adressen und versendet sich dann als Kopie an alle gefundenen Adressen.

Zur Information:
Besonders Benutzer von Email-Clienten wie MS Outlook oder Outlook-Express und andere Email-Clienten mit automatischer Vorschau sollten besonders vorsichtig mit Nachrichten wie dieser umgehen, denn auch das Attachment wird automatisch gestartet.
Zudem sollten unbedingt die Signaturfiles des bevorzugten Virenscanners aktualisiert werden. Bei Verdacht auf Virenbefall kann auch ein Online-Scan des Rechners durchgeführt werden:
HouseCall [Link entfernt]