Eigenschappen
Oror is een mass-mailer internetworm die zich verspreidt via
e-mail en het IRC-kanaal. Het virus wordt geactiveerd door het
bijlagebestand te openen.
OF automatisch indien bepaalde patches van Microsoft Explorer/Outlook
niet zijn geinstalleerd, zie hieronder.
Nadat het zichzelf heeft geinstalleerd op het getroffen systeem
verstuurt het virus zich door in een e-mail, met wisselende
eigenschappen, als antwoord op binnenkomende berichten.
Daarnaast installeert het virus zich binnen het getroffen
systeem binnen gedeelde (P2P) netwerken en directories.
Payload/schade
-Versturing van virusbericht, met wisselende eigenschappen,
richting alle binnenkomende berichten. (Als reply/antwoord)
-Installatie van virus in gedeelde netwerken en directories.
-Uitschakeling en/of verwijdering van een aantal antivirus-
en firewallproducten.
-Het virus sluit allerlei Windows-vensters af. Hierdoor wordt
het systeem voor gebruikers tamelijk onbruikbaar.
Eigenschappen van het e-mailbericht:
- Onderwerp: [willekeurig, één
van onderstaande;]
of/of:
HeY
ZzZz
Bla Bla
HoWie
Happy
Hi Again
Wow
Just A Letter
Hello
Hey Ya
Boom
Hi There
Preventieve maatregelen:
Oror kan gebruikmaken van het zgh. MiME-exploit. Dit "lek"
in Microsoft Explorer zorgt ervoor dat het bijlagebestand
automatisch wordt gestart indien het bericht in de voorbeeldweergave
wordt bekeken.
Wij adviseren om uw microsoft software te controleren op
de installatie van deze patches. Indien deze niet zijn geinstalleerd
kunt u deze via dezelfde website binnenhalen.
Ga voor analyse en installatie naar de gratis Microsoft Update
website: klik
hier
Herkenning van besmetting:
- Op binnenkomende e-mailberichten is automatisch (door
het virus) een antwoord/reply bericht gezonden. Dit bericht
heeft bovenstaande e-maileigenschappen.
Hiervoor heeft het gebruik gemaakt van het emailprogramma,
in dat geval kunt u de berichten nalezen in de map "verzonden
items".
- Bepaalde AV-software op uw systeem werkt niet meer, bekend
is de uitschakeling en/of verwijdering van de volgende AV-software:
kaspersky
mcafee,
norton
panda
Zonelabs
- Binnen de aangesloten netwerken of openstaande mappen is
een copie van het virus geplaatst. De naamstelling van dit
bestand wordt willekeurig gemaakt, en bestaat uit 4 delen:
deel 1: cmd
deel 2: naam van computer, in omgekeerde volgorde geschreven
deel 3: 16
deel 4: .exe (het betreft altijd een .exe bestand)
stel naam computer is: aap
dan kan de naam luiden: cmdpaa16.exe
Vensters
1.- Weergave van een windows venster met de tekst:
[titel] Windows
[tekst] Cannot open file: it does not appear to be a valid
program If you downloaded this file, try downloading file
again.
Bestanden
2.- Aanwezigheid van het .exe virusbestand in de standaard
Windows\directorie. De naamstelling van dit bestand wordt
willekeurig gemaakt, en bestaat uit 4 delen:
deel 1: cmd
deel 2: naam van computer, in omgekeerde volgorde geschreven
deel 3: 16
deel 4: .exe (het betreft altijd een .exe bestand)
stel naam computer is: aap
dan kan de naam luiden: cmdpaa16.exe
3.- Het virus selecteert een standaard Windows-bestand uit
de \Windows directorie. Hierin plaatst het een copie van het
virus. Aan de naamstelling van dit bestand wordt toegevoegd:
OF/OF:
2K
16
32
4. In het bestand WIN.INI wordt een regel opgenomen waardoor
het virus iedere keer opnieuw wordt opgestart na het opstarten
van uw systeem:
Deze regel luidt:
[windows]
run=C:\Windows\
Registry
5.-Het virus maakt een registry-verwijzing naar het
bestand genoemd onder punt 3, in de registry-sleutel:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\LoadProfile
&
HKCR\exefile\shell\open\command\ |
