OROR.AI löscht Schutzprogramme
Der Wurm wird als Anhang einer Email verschickt,
die verschiedene Überschriften und
Texte beinhalten kann. Eine verlässliche
Identifikation darüber ist somit nicht
möglich.
Wird die Datei zum ersten Mal ausgeführt,
zeigt sich eine Fehlermeldung als Message-Box:
Cannot open file
it does not appear to be a valid program.
If you download this file, try downloading
file again.
Anschließend legt der Wurm verschiedene
Schlüssel in der Windows-Registry an:
HKEY_LOCAL_MACHINE/Software/Microsoft Windows/CurrentVersion/Run
LoadSystemProfile = ?%S%%F%%T%.exe powprof.dll,
LoadCurrentUserProfile
Mit diesem Eintrag stellt der Wurm seinen
Autostart bei jedem Systemstart sicher.
HKEY_CLASSES_ROOT>exefile>shell>open>command
<Dateiname> %1" %*
(Dateiname steht für verschiedene Namen
des Wurms. Der Teil vor %1" %* ist
zu löschen)
Danach legt OROR.AI Einträge in der
Initialisierungsdatei an:
WIN.INI
run= <Dateiname>
Anschließend durchsucht der Wurm den
infizierten Rechner nach installierten Schutzprogrammen
und beendet die Prozesse von Virenscannern
und Firewallsystemen.
Infektionsweg
OROR.AI durchsucht den Rechner nach Email-Adressen und versendet sich dann als Kopie an alle gefundenen Adressen.
Zur Information:
Besonders Benutzer von Email-Clienten wie MS Outlook oder Outlook-Express und
andere Email-Clienten mit automatischer
Vorschau sollten besonders vorsichtig mit
Nachrichten wie dieser umgehen, denn auch
das Attachment wird automatisch gestartet.
Zudem sollten unbedingt die Signaturfiles
des bevorzugten Virenscanners aktualisiert
werden. Bei Verdacht auf Virenbefall kann
auch ein Online-Scan des Rechners durchgeführt
werden:
HouseCall
[Link entfernt]