Wurm Sober


Verbreitung: *****

Schaden: *****

der Wurm Sober ist wieder per E-Mails unterwegs. Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten, die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto, sondern der Wurm selbst, der das betreffende System dann infiziert.

Die E-Mail hat folgendes Aussehe:

Betreff: „Ihr Account wurde eingerichtet!“

Dateianhang: Service.pdf.exe

E-Mail-Text: „Danke das Sie sich für uns entschieden haben.“

Dateigröße: 89.274 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System:

Es wird folgendes Verzeichnis erstellt:

%WINDIR%\PoolData\
Es erstellt Kopien seiner selbst mit Dateinamen von Listen:

An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
smss.exe
csrss.exe
services.exe
Eine Datei wird überschrieben:

%SYSDIR%\drivers\tcpip.sys
Es wird folgende Datei erstellt:

Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
%WINDIR%\PoolData\xpsys.ddr
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:

WinData
c:\windows\\PoolData\\services.exe
So schützen Sie Ihr System:
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!