Rokop Security

Willkommen, Gast ( Anmelden | Registrierung )

> Infos zu w32.sobig.f
Gast_Bo Derek_*
Beitrag 19.08.2003, 15:22
Beitrag #1






Gäste
Heute verbreitet sich dieser Wurm besonders stark. Deshalb diese kleine Zusammenfassung:

1. Infektion

Der Wurm kommt als Anhang einer E-Mail. Dieser Anhang muss angeklickt werden, damit sich ein Computer infiziert.

2. Absender der Mail

Auch Personen mit denen man Kontakt hat bzw. hatte, können Absender dieser Mail sein.

3. Betreff der Mail

Folgende Wörter sind für gewöhnlich in der Betreffzeile enthalten:

"Re: That movie",
"Re: Wicked screensaver",
"Re: Your application",
"Re: Approved",
"Re: Re: My details",
"Re: Details",
"Your details",
"Thank you!" oder
"Re: Thank you!"

4. Der Inhalt der Mail

Im Textbereich der Mail steht meist "Please see the attached file for details." oder
"See the attached file for details".

5. Der Anhang

Der Anhang kann wie folgt benannte sein:

“movie0045.pif",
"wicked_scr.scr",
"application.pif",
"document_9446.pif",
"details.pif",
"your_details.pif",
"thank_you.pif",
"document_all.pif" oder
"your_document.pif"

6. Wohin kopiert sich der Wurm?

Er kopiert sich in das Windows Verzeichnis. Die kopierte Datei hat den Namen "winppr32.exe". Aufgerufen wird die Datei über die Registry:

HKLM\Software\Microsoft\Windows\Run\CurrentVersion\TrayX with value:
%WINDIR%\winppr32.exe /sinc

HKCU\Software\Microsoft\Windows\Run\CurrentVersion\TrayX with value:
%WINDIR%\winppr32.exe /sinc

7. Was macht der Wurm?

Er sucht in allen erdenklichen Dokumenten, welche sich auf dem befallenen Computer befinden, nach E-Mail Adressen und verschickt sich darüber selbst. Auch Netzwerkfreigaben dienen ihm als Verbreitungswerkzeug.

8. Wie entfernt man den Wurm?

Bisher gibt es nur ein rumänisches Tool, mit dem man PCs überprüfen kann. Dieses ist unter der Adresse http://www.bitdefender.com/html/free_tools.php zu finden. Die Datei "Antisobig-RO.exe" muss man nur doppelt anklicken. Danach startet das Programm und initialisiert sich selbst. Zum Start der Überprüfung muss nur der oberste Button gedrückt werden. Nach dem Scan sollte unter "Infectate" eine Null zu sehen sein.
Go to the top of the page
 
+Quote Post
 
 Start new topic
Antworten
Gast_SHAKAL_*
Beitrag 03.09.2003, 12:41
Beitrag #2






Gäste
Hi Leute, ich habe mal einen Bericht geschrieben, in dem ich ein wenig auf die Schadenswerte durch Sobig.F eingehe, Unternehmen hier dazu befragt und das ganze ausgewertet habe.
Wer Interesse hat, kann HIER den Artikel nachlesen.
Kritik und Anregungen jederzeit willkommen.
Go to the top of the page
 
+Quote Post

Beiträge in diesem Thema
- Bo Derek   Infos zu w32.sobig.f   19.08.2003, 15:22
- - Internetfan1971   „Bisher gibt es nur ein rumänisches Tool, mit dem ...   19.08.2003, 18:49
- - wizard   ZITAT(Internetfan1971 @ 19. August 2003, 19:4...   19.08.2003, 19:08
- - JFK   ZITAT(Internetfan1971 @ 19. August 2003, 19:4...   19.08.2003, 19:10
- - Bo Derek   Nachdem ich den Wurm heute morgen an alle mögliche...   19.08.2003, 20:03
- - Bo Derek   Okay, McAfee hat reagiert. Seit einer Stunde gibt ...   19.08.2003, 22:14
- - Rokop   Hätte mich auch gewundert. In letzter Zeit hat bei...   20.08.2003, 08:54
- - SkeeveDCD   Also ich habe gerade mal for fun eine 2 Monate alt...   20.08.2003, 11:46
- - Bo Derek   Da hast Du recht. Die Heuristik hat bei Sobig F ni...   20.08.2003, 11:50
- - Rokop   Ja, in diesem Falle nicht, aber in letzter Zeit sc...   20.08.2003, 11:57
- - SkeeveDCD   Bo Derek, ja, die Email-Überwachung würde das Mass...   20.08.2003, 12:03
- - SHAKAL   TrendMicro war da am schnellsten, Mailaccessclient...   20.08.2003, 12:08
- - JFK   Übrigens wird Sobig.F mit dem Titel Schnellster Wu...   21.08.2003, 15:35
- - skep   Bei solchen Meldungen, frag ich mich jedesmal was ...   21.08.2003, 15:39
- - Bo Derek   Deshalb habe ich ja auch so einen Wind gemacht. De...   21.08.2003, 15:47
- - raman   Norman musste sogar teilweise ihren Mailserver off...   21.08.2003, 17:43
- - SkeeveDCD   Ich hab Sobig.F mal entpackt (tELock 0.98) - inter...   21.08.2003, 17:55
- - Bo Derek   Wenn Sobig.F im entpackten Zustand den Computer in...   21.08.2003, 18:31
- - raman   ZITAT(SkeeveDCD @ 21. August 2003, 18:54)Wie ...   21.08.2003, 18:48
- - Rokop   Wenn ich AV Hersteller wäre, würde ich tunlichst a...   21.08.2003, 19:16
- - Catweazle   @ to all Das ganze hin und her zwecks einbauen in...   21.08.2003, 22:48
- - skep   Neues von der Front: Quelle: heise.de ZITATDie A...   22.08.2003, 15:23
- - JFK   ZITATSeit dem Auftauchen von Sobig.f haben viele A...   22.08.2003, 16:35
- - Rokop   Ein Wahnsinns Renner. Bisher habe ich "auf na...   22.08.2003, 16:37
- - raman   ZITAT(JFK @ 22. August 2003, 17:34)Quelle: Ka...   22.08.2003, 16:43
- - JFK   Wo liegt das Problem? Hatte sechs Jahre russisch ...   22.08.2003, 16:54
- - Bo Derek   ZITAT(Rokop @ 22. August 2003, 17:36)Ein Wahn...   22.08.2003, 18:58
- - SHAKAL   Hi Leute, ich habe mal einen Bericht geschrieben, ...   03.09.2003, 12:41
- - JFK   Dümmer als die Polizei erlaubt Rumäne wegen In...   04.09.2003, 18:35

« Vorhergehendes Thema · Trojaner, Viren und Würmer · Folgendes Thema »
 

Closed TopicStart new topic
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:

 

Anzeige Modus: Wechsle zu: Standard · Wechsle zu: Thema+ · Überblick

Thema abonnieren · Dieses Thema versenden · Dieses Thema ausdrucken · Forum abonnieren

Vereinfachte Darstellung Aktuelles Datum: 21.06.2024, 01:35
Powered By IP.Board © 2024  IPS, Inc.
Licensed to: Rokop Security
Impressum