Sober.B 19.02.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Sober.B lockt zurzeit mit angeblich verbilligten Eintrittskarten für das Fußball-Event in Südafrika.
Im Anhang der E-Mail befinden sich natürlich keine Informationen über die Eintrittskarten zum Schnäppchenpreis,
stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „Reduced in price: Tickets for the world championship 2010 in South Africa”
Dateianhang: „Tickets.txt.exe“.
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\
Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe
Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys
Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!