[ Sober.I - Neue Wurmvariante ]
Seit heute morgen verbreitet sich eine neue Variante des Soberwurms sehr schnell....
Sober.I kommt als .com-, .bat, .scr- oder pif-Anhang in Mails, deren deutsche Betreffzeilen und Inhaltstexte stark variieren und tarnt sich gerne als .doc., txt und xls- Datei.
Die Hersteller werken noch am Virenschutz...bis dahin sollte man keine Anhänge öffnen!
der Wurm befällt: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP, Windows Server 2003
Schadensroutine: Emailversand
versendet sich mit Hilfe eigener SMTP Engine an die im System vorhandenen Mailadressen.
Betreff kann sein:
\%systemDIR%\%filename%.exe (46.056 Bytes)
\%systemDIR%\%filename%.exe (46.056 Bytes)
\%systemDIR%\nonzipsr.noz (BASE64-Archiv)
\%systemDIR%\clsobern.isc (BASE64-Archiv)
\%systemDIR%\zippedsr.piz (BASE64-Archiv)
\%systemDIR%\clonzips.ssc (BASE64-Archiv)
\%systemDIR%\winmprot.dal
\%systemDIR%\winroot64.dal
\%systemDIR%\winsend32.dal
Die Dateinamen für die beiden erstellten EXE Dateien, sowie die Key-Namen der Registry Einträge werden zufällig aus folgenden Zeichn zusammengefügt:
sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service oder smss32
Worm/Sober.I erstellt folgenden Einträge in der Windows Registry:
HKEY_CURRENT_USER\Software\Microsoft\W indows\CurrentVersion\Run\
"%random%"="\%systemDIR%\%filename%.exe"
"%random%"="\%systemDIR%\%filename%.exe %srun%"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\
"%random%"="\%systemDIR%\%filename%.exe"
"%random%"="\%systemDIR%\%filename%.exe %srun%"
Sober.I kommt als .com-, .bat, .scr- oder pif-Anhang in Mails, deren deutsche Betreffzeilen und Inhaltstexte stark variieren und tarnt sich gerne als .doc., txt und xls- Datei.
Die Hersteller werken noch am Virenschutz...bis dahin sollte man keine Anhänge öffnen!
der Wurm befällt: Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP, Windows Server 2003
Schadensroutine: Emailversand
versendet sich mit Hilfe eigener SMTP Engine an die im System vorhandenen Mailadressen.
Betreff kann sein:
- Re: Auftragsbestätigung
- Ungültige Zeichen in Ihrer E-Mail -SMTP: 7407
- Registration confirmation
- Mailzustellung fehlgeschlagen -Damon: 4440
- Re: Lieferungs-Bescheid
- FwD: Mail_Delivery_failure
- FwD: Mailer Error -Damon: 4639
- invalid mail
- Ihre E-Mail wurde verweigert
- Mail- Verbindung wurde abgebrochen -Code: 4358
- Mailer-Fehler -8362
- Re: Ihre neuen Account-Daten
\%systemDIR%\%filename%.exe (46.056 Bytes)
\%systemDIR%\%filename%.exe (46.056 Bytes)
\%systemDIR%\nonzipsr.noz (BASE64-Archiv)
\%systemDIR%\clsobern.isc (BASE64-Archiv)
\%systemDIR%\zippedsr.piz (BASE64-Archiv)
\%systemDIR%\clonzips.ssc (BASE64-Archiv)
\%systemDIR%\winmprot.dal
\%systemDIR%\winroot64.dal
\%systemDIR%\winsend32.dal
Die Dateinamen für die beiden erstellten EXE Dateien, sowie die Key-Namen der Registry Einträge werden zufällig aus folgenden Zeichn zusammengefügt:
sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service oder smss32
Worm/Sober.I erstellt folgenden Einträge in der Windows Registry:
HKEY_CURRENT_USER\Software\Microsoft\W indows\CurrentVersion\Run\
"%random%"="\%systemDIR%\%filename%.exe"
"%random%"="\%systemDIR%\%filename%.exe %srun%"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\
"%random%"="\%systemDIR%\%filename%.exe"
"%random%"="\%systemDIR%\%filename%.exe %srun%"
superkalifragili - 19. Nov, 11:44
0 Kommentare - Kommentar verfassen - 0 Trackbacks
Trackback URL:
https://superkalifragili.twoday.net/stories/407316/modTrackback