Ring Zero ist zur Zeit in drei Varianten aufgetaucht. Alle Versionen sind darauf aus, Daten auszulesen (z.B. aus dem Cache), zu sammeln und dann mittels verschiedene Dienste zu versenden. 1. Variante
Nach Ausführung der Datei wird ein Programm unter dem Namen "ITS.exe" in das Windows-System Verzeichniss installiert und dazu noch zwei Dateien (Ring0.vxd und ITS.dat) in das gleiche Verzeichniss generiert. Der Trojaner baut Verbindungen zu entfernte Hosts auf, die dann an eine Adresse des Pager.Mirabilis Dienstes gesendet werden.
2. Variante
Nach Ausführung der Datei wird ein Programm unter dem Namen "PST.exe" in das Windows-System Verzeichniss installiert und dazu noch zwei Dateien (Ring0.vxd und ITS.dat) in das gleiche Verzeichniss generiert. Auch hier wird wieder während einer Online-Sitzung eine Verbindung zu einem entfernten Host hergestellt und gesammelte Daten an eine E-Mailadresse verschickt.
3. Variante
Hier wird die Datei "Telnet23.exe" in das Windows-System Verzeichniss installiert. Auch diese Version sammelt wieder Daten und verschickt diese an eine E-Mailadresse.
Da Ring Zero als Windows-Service installiert wird, ist dieser auch unter Windows NT funktionsfähig und kann auch hier erheblich Schaden anrichten.
Erkennung und Entfernung:
Ring Zero legt folgende Schlüssel in der Registrierung an (jeweils abhängig von der Variante):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- DK32 support PST "pst.exe"
- DK32 support ITS "its.exe"
- Description of EPS II "telnet23.exe"
Zur Entfernung löschst Du einfach den jeweiligen Eintrag aus der Registrierung, startest Dein System. Danach suchst und entfernst Du die Datei "pst.exe, its.exe, telnet23.exe".