Sober.B 19.02.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober.B lockt zurzeit mit angeblich verbilligten Eintrittskarten für das Fußball-Event in Südafrika.
Im Anhang der E-Mail befinden sich natürlich keine Informationen über die Eintrittskarten zum Schnäppchenpreis,
stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Reduced in price: Tickets for the world championship 2010 in South Africa”

Dateianhang: „Tickets.txt.exe“.

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\

Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe

Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys

Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr

Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!