Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

I-Worm.Sobig.F


I-Worm.Sobig.F alaias W32.Sobig.F

I-Worm.Sobig.F ist erstmals am 19.08.2003 gesichtet worden und hat innerhalb von knapp 2 Stunden den Internetverkehr in Österreich beinahe zum erliegen gebracht.

Mit der integrierten SMTP-Engine ist er nicht auf Outlook angewiesen um sich per eMail verbreiten zu können sowie benützt er ein vorhandenes Netzwerk um sich auf die angeschlossenen Rechner zu verbreiten.

Wird der I-Worm.Sobig.F durch Doppelklick aktiviert so kopiert er sich in das Windows-Verzeichnis mit dem Namen "WINPPR32.EXE" und legt ein Konfigurationsdatei mit dem Namen "WINSTT32.DAT" im gleichen Verzeichnis ab.

Um beim nächsten Systemstart aktiv zu werden legt er folgende Einträge in der Registry ab:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"TrayX" = C:\WINNT\WINPPR32.EXE /sinc

Wie der I-Worm.Sobig.A durchsucht diese neue Variante den infizierten PC nach eMailadressen in den Dateien .DBX, .HLP, .MHT, .WAB, .HTML und versendet sich an diese mit seiner integrierten SMTP-Engine.

Das eMail könnte folgendes Aussehen haben:

Subject:

Re: Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie
Thank you!
Your Details

Attachment:

your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

Text:

See the attached file for details
Please see the attached file for details

Die Absenderadresse wird ebenfalls aus den gefundenen eMailadressen entnommen und somit wird eine Verfolgung des tatsächlichen Absenders erschwert.

I-Worm.Sobig.F enthält eine Liste von IP-Adressen welche er mit NTP-Paketen am Port 123 überflutet.

Manuelle Entfernung:

1. Löschen der Registryeinträge
2. Reboot des PC
3. Löschen der Dateien "WINPPR32.EXE" und "WINSTT32.DAT" aus dem Windows-Verzeichnis








Linktipps: Projekt Controlling