Sober.F

Der altbekannte Wurm Sober.F ist wieder verstärkt per E-Mail unterwegs und verstopft viele Postfächer. In der E-Mail ist zu lesen, dass angeblich illegale Internetseiten besucht worden sind. Nähere  Informationen über die besuchten Seiten könne man dem Anhang der E-Mail entnehmen. Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine weiteren Informationen, stattdessen installiert sich der Wurm auf dem betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: Warnung!

Dateianhang: Schwarze-Liste

Größe des Dateianhangs: 42.496 Bytes

E-Mail-Text: Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen. Bitte beachten Sie folgende Liste: Schwarze-Liste

Betroffene Betriebssysteme: Alle Windows-Versionen.

Installation auf dem System

Eine Kopie seiner selbst wird hier erzeugt:

  • %SYSDIR%\%zufällige Wörter%.exe

%zufällige Wörter%:
   • sys
   • host
   • dir
   • expolrer
   • win
   • run
   • log
   • 32
   • disc
   • crypt
   • data
   • diag
   • spool
   • service
   • smss32

Es werden folgende Dateien erstellt:
   • %SYSDIR%\winhex32xx.wrm
   • %SYSDIR%\winsys32xx.zzp

Die folgenden Registry-Schlüssel werden hinzugefügt um den Wurm nach einem Neustart des Systems zu starten:
– [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
   %zufällige Wörter%]
   • %zufällige Wörter% = %SYSDIR%\%zufällige Wörter%.exe

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern – besonders gegenüber E-Mails mit Links oder mit Anhang!