derechtegoldi
29.01.11, 09:49
Wurm Sober.DS
Verbreitung: *****
Schaden: *****
Der Wurm Sober.DS verbreitet sich zurzeit wieder per E-Mail. Der Wurm versucht Sie mit Betreffzeilen, die das Schließen Ihres E-Mail-Anschluss androhen, zum Öffnen des beigefügten Anhangs zu verführen. Nach dem Entpacken des Anhangs und einem Doppelklick auf die scheinbare Textdatei, erscheinen dann keine Informationen, sondern der Wurm installiert sich auf Ihrem System.
Der Wurm blockiert dann das installierte Anti-Viren-Programm, um sich vor der Entdeckung zu schützen. Anschließend missbraucht er das infizierte System, um sich selbst weiter zu versenden.
Die E-Mail hat folgendes Aussehen
Betreff: "WARNING* Your Email Account Will Be Closed", "Email Account Suspension", "Notice: *** Last Warning *** ", "Your Email Account is Suspended For Security Reasons", "Account Alert" oder "Important Notification".
Dateianhang: "email-info.zip", "email-doc.zip", "account-details.zip" oder "information.zip".
Größe des Dateianhangs: 49.790 Bytes.
E-Mail-Text: Unterschiedlicher Text.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Wörter%.exe
%zufällige Wörter%:
• sys
• host
• dir
• expolrer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32
Es werden folgende Dateien erstellt:
• %SYSDIR%\winhex32xx.wrm
• %SYSDIR%\winsys32xx.zzp
Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
%zufällige Wörter%]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!
Verbreitung: *****
Schaden: *****
Der Wurm Sober.DS verbreitet sich zurzeit wieder per E-Mail. Der Wurm versucht Sie mit Betreffzeilen, die das Schließen Ihres E-Mail-Anschluss androhen, zum Öffnen des beigefügten Anhangs zu verführen. Nach dem Entpacken des Anhangs und einem Doppelklick auf die scheinbare Textdatei, erscheinen dann keine Informationen, sondern der Wurm installiert sich auf Ihrem System.
Der Wurm blockiert dann das installierte Anti-Viren-Programm, um sich vor der Entdeckung zu schützen. Anschließend missbraucht er das infizierte System, um sich selbst weiter zu versenden.
Die E-Mail hat folgendes Aussehen
Betreff: "WARNING* Your Email Account Will Be Closed", "Email Account Suspension", "Notice: *** Last Warning *** ", "Your Email Account is Suspended For Security Reasons", "Account Alert" oder "Important Notification".
Dateianhang: "email-info.zip", "email-doc.zip", "account-details.zip" oder "information.zip".
Größe des Dateianhangs: 49.790 Bytes.
E-Mail-Text: Unterschiedlicher Text.
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Eine Kopie seiner selbst wird hier erzeugt:
• %SYSDIR%\%zufällige Wörter%.exe
%zufällige Wörter%:
• sys
• host
• dir
• expolrer
• win
• run
• log
• 32
• disc
• crypt
• data
• diag
• spool
• service
• smss32
Es werden folgende Dateien erstellt:
• %SYSDIR%\winhex32xx.wrm
• %SYSDIR%\winsys32xx.zzp
Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
%zufällige Wörter%]
• %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!