Sober.AB7 23.08.2009
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Sober ist per E-Mails unterwegs.
Mit einem angeblich eingerichteten Account versucht der Wurm Anwender zu verleiten,
die im Anhang befindliche Datei zu öffnen. In dem Anhang steckt natürlich keine Zugangsdaten zu dem Konto,
sondern der Wurm selbst, der das betreffende System dann infiziert.
Die E-Mail hat folgendes Aussehen
Betreff: „Ihr Account wurde eingerichtet!“.
Dateianhang: Service.pdf.exe
E-Mail-Text: „ Danke dass Sie sich für uns entschieden haben.“
Virus: Sober.AB7
Virustyp: Wurm
Dateigröße: 89.274 Bytes
Betroffene Betriebssysteme: Alle Windows-Versionen.
Installation auf dem System
Es wird folgendes Verzeichnis erstellt:
• %WINDIR%\PoolData\
Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
– An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
• smss.exe
• csrss.exe
• services.exe
Eine Datei wird überschrieben:
– %SYSDIR%\drivers\tcpip.sys
Es wird folgende Datei erstellt:
– Eine Datei für temporären Gebrauch. Diese wird möglicherweise wieder gelöscht.
• %WINDIR%\PoolData\xpsys.ddr
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– WinData • c:\windows\\PoolData\\services.exe
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!