Forscher von Sophos haben seit langem wieder eine Malware gefunden, deren einziges Ziel die Zerstörung einer Windows-Installation ist.

Die Schadsoftware W32/Scar-H verbreitet sich zunächst wie ein Autostart-Wurm und manipuliert Dateien wie ntldr.exe, WinNT.exe und AutoRun.inf.

Hat sich die Malware auf einem System eingenistet, beginnt sie damit, sämtliche Dateien im Windows-Verzeichnis mit einer Kopie von Scar-H zu ersetzen.

Eine der ersten Dateien, welche die Malware überschreibt, ist Drwtsn32.exe, dieser Prozess sendet unter anderem die Fehlermeldungen an Microsoft.

Das perfide dabei: Stürzt nun ein anderes Programm ab, wird dir Drwtsn32.exe automatisch aufgerufen, wodurch wiederum eine neue Instanz von Scar-H gestartet wird. Früher oder später sorgt der Schädling dafür, dass sich das Windows-System nicht mehr booten lässt. Im Endeffekt hilft nur eine komplette Neuinstallation des Systems.