Rubrik: Virenwarnung/Aktuelle Meldungen

Computervirus "Worm/Sober.M" verbreitet sich über massenhaften E-Mail-Versand

Texte werden mit deutsch- oder englischsprachigem Inhalt verfasst

(25.02.05) - Alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 müssen vor der neuen Variante des Internet-Wurms Sober.M auf der Hut sein. Wie seine Vorgänger verbreitet sich der Schädling mit sehr hoher Geschwindigkeit über den massenhaften E-Mail-Versand.

Anzeige

Worm/Sober.M hat eine Größe von 51.688 Bytes. Er versendet sich mit Hilfe einer eigenen SMTP-Engine an E-Mail-Adressen, die er auf dem betroffenen System in Dateien mit bestimmen Datei-erweiterungen sammelt. Die E-Mail-Texte werden je nach Domainnamen mit deutsch- oder englischsprachigem Inhalt verfasst.

Dateierweiterungen sind:

pmr, phtm, stm, slk, inbox, imb, csv, bak, imh, xhtml , imm, imh, cms, nws, vcf , ctl , dhtm, cgi, pp, ppt, msg, jsp, oft, vbs, uin, ldb, abc, pst, cfg, mdw, mbx, mdx, mda, adp, nab, fdb, vap, dsp, ade, sln, dsw, mde, frm, bas, adr, cls, ini, ldif, log, mdb, xml, wsh, tbb, abx, abd, adb, pl, rtf, mmf, doc, ods, nch, xls, nsf, txt, wab, eml, hlp, mht, nfo, php, asp, shtml, dbx

Wird diese neue Variante des Worm/Sober ausgeführt, so erstellt er folgende Dateien:

·         /%WinDIR%/msagent/win32/smss.exe

·         /%WinDIR%/msagent/win32/csrss.exe

·         /%WinDIR%/msagent/win32/winlogon.exe

·         /%WinDIR%/msagent/win32/zipedso1.ber (MIME)

·         /%WinDIR%/msagent/win32/zipedso2.ber (MIME)

·         /%WinDIR%/msagent/win32/zipedso3.ber (MIME)

·         /%WinDIR%/msagent/win32/datamx1.dat

·         /%WinDIR%/msagent/win32/datamx2.dat

·         /%WinDIR%/msagent/win32/datamx3.dat

·         /%WinDIR%/msagent/win32/GoTo1.dat

·         /%WinDIR%/msagent/win32/GoTo2.dat

·         /%WinDIR%/msagent/win32/GoTo3.dat

·         /%WinDIR%/msagent/win32/runnowso.ber (Dateigröße: 0 Bytes)

·         /%SysDIR%/read.me (TextFile)

und erstellt folgende Registry Einträge:

·         [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft /Windows/CurrentVersion/Run]

·         " winsystem.sys"="C://%WinDIR%//msagent//win32//smss.exe"

·         [HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Run]

·         "_winsystem.sys"="C://%WinDIR%//msagent//win32//smss. exe"

Die Datei READ.ME im Windows Systemverzeichnis ist eine Textdatei und enthält folgenden Text:

Ist eine weitere Test-Version. Läuft nur ein paar Tage!

In diesem Sinne:

Odin alias Anon

(H+BEDV: ma)
 

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken