Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Sober.G
Alias: W32/Sober-G, I-Worm.Sober.g, W32/Sober.g@MM
Ein weiterer Sober-Worm, Verbreitung über E-Mail, es wird die eigene SMTP Engine verwendet.
Er kopiert sich selbst in das Windows-Systemverzeichnis und setzt den folgenden Registrier-
Eintrag, um sich wieder starten zu können:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
logcrypt = \.exe %1
und werden von der folgenden Liste gebildet:
sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32
Wenn I-Worm.Sober.G zum ersten Mal gestartet wird, bildet er im Temp-Direktory eine .TXT-Datei
und zeigt mit Notepad.exe folgenden Text an:
File not found
Special -UnZip Data- Module is missing
Open with Notepad?
Converted_
notepad
Folgende Files werden angelegt, um Informationen zu speichern:
%System%\bcegfds.lll
%System%\cvqaikxt.apk
%System%\datsobex.wwr
%System%\wincheck32.dats
%System%\winexpoder.dats
%System%\winzweier.dats
%System%\xdatxzap.zxp
%System%\zhcarxxi.vvx
%System% ist eine Variable - I-Worm.Sober.G orientiert sich an der Windows-Installation
(Zum Beispiel C:\Windows\System or C:\Winnt\System32
Die E-Mail-Adressen sucht sich I-Worm.Sober.G in Dateien mit folgenden Endungen:
.PMR,.STM,.SLK,.INBOX,.IMB,.CSV,.BAK,.IMH,.XHTML,.IMM,.IMH,.CMS,.NWS,.VCF,.CTL,.DHTM,.CGI,
.PP,.PPT,.MSG,.JSP,.OFT,.VBS,.UIN,.LDB,.ABC,.PST,.CFG,.MDW,.MBX,.MDX,.MDA,.ADP,.NAB,.FDB,
.VAP,.DSP,.ADE,.SLN,.DSW,.MDE,.FRM,.BAS,.ADR,.CLS,.INI,.LDIF,.LOG,.MDB,.XML,.WSH,.TBB,.ABX,
.ABD,.PL,.RTF,.MMF,.DOC,.ODS,.NCH,.XLS,.NSF,.TXT,.WAB,.EML,.HLP,.MHT,.NFO,.PHP,.ASP,.SHTML,.DBX
Das E-Mail hat folgendes Aussehen:
Betreff:
hi there
hey dude!
wazzup!!!
yeah dude :P
Details
Oh God i'ts
damn!
#
Registration confirmation
Confirmation
Your Password
Your mail account
Delivery failure notice
Faulty mail delivery
Mail delivery failed
Mailing Error
Illegal signs in E-Mail
Invalid mail length
Mail Delivery failure
mail delivery status
Warning!
error in dbase
DBase Error
ups, i've got your mail
Sorry, that's your mail
why do you do that?
Inhalt:
I was surprised, too! :-( Who could suspect something like that?
All OK :) see, what i've found!
hi its me i've found a shity virus on my pc. check your pc, too! follow the
steps in this article. bye
I 've told you!:-) sometime I grab your passwords!
I hope you accept the result! Follow the instructions to read the message.
Please read the document
Registration confirmation
Confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.
++++ Service: http://www.
++++ Mail To: User-info
*** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said
:_554_delivery_error:_dd_Sorry_your_message_cannot_be_delivered.
_This_account_has_been_disabled_ or_discontinued_[#102]._-_mta134.mail.dcn.com
** End of Transmission The original message is a separate attachment.
--- Web: http://www.
--- Mail To: UserHelp
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of +++ http://www. Mail
Der Anhang hat einen Random-Namen und ist ein .ZIP-File.
Entfernung:
Sperren Sie die System-Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Bearbeiten der Registrierungseinträge:
Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken
Sie Enter. Es öffnet sich der Registrierungseditor.
Suchen Sie unter HKEY_LOCAL_MACHINE die Einträge:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
logcrypt = \.exe %1
Löschen Sie die Einträge, sofern sie existieren.
Schließen Sie den Registrierungseditor.
|
