Infos zu w32.sobig.f |
Willkommen, Gast ( Anmelden | Registrierung )
Infos zu w32.sobig.f |
Gast_Bo Derek_* |
19.08.2003, 15:22
Beitrag
#1
|
Gäste |
Heute verbreitet sich dieser Wurm besonders stark. Deshalb diese kleine Zusammenfassung:
1. Infektion Der Wurm kommt als Anhang einer E-Mail. Dieser Anhang muss angeklickt werden, damit sich ein Computer infiziert. 2. Absender der Mail Auch Personen mit denen man Kontakt hat bzw. hatte, können Absender dieser Mail sein. 3. Betreff der Mail Folgende Wörter sind für gewöhnlich in der Betreffzeile enthalten: "Re: That movie", "Re: Wicked screensaver", "Re: Your application", "Re: Approved", "Re: Re: My details", "Re: Details", "Your details", "Thank you!" oder "Re: Thank you!" 4. Der Inhalt der Mail Im Textbereich der Mail steht meist "Please see the attached file for details." oder "See the attached file for details". 5. Der Anhang Der Anhang kann wie folgt benannte sein: “movie0045.pif", "wicked_scr.scr", "application.pif", "document_9446.pif", "details.pif", "your_details.pif", "thank_you.pif", "document_all.pif" oder "your_document.pif" 6. Wohin kopiert sich der Wurm? Er kopiert sich in das Windows Verzeichnis. Die kopierte Datei hat den Namen "winppr32.exe". Aufgerufen wird die Datei über die Registry: HKLM\Software\Microsoft\Windows\Run\CurrentVersion\TrayX with value: %WINDIR%\winppr32.exe /sinc HKCU\Software\Microsoft\Windows\Run\CurrentVersion\TrayX with value: %WINDIR%\winppr32.exe /sinc 7. Was macht der Wurm? Er sucht in allen erdenklichen Dokumenten, welche sich auf dem befallenen Computer befinden, nach E-Mail Adressen und verschickt sich darüber selbst. Auch Netzwerkfreigaben dienen ihm als Verbreitungswerkzeug. 8. Wie entfernt man den Wurm? Bisher gibt es nur ein rumänisches Tool, mit dem man PCs überprüfen kann. Dieses ist unter der Adresse http://www.bitdefender.com/html/free_tools.php zu finden. Die Datei "Antisobig-RO.exe" muss man nur doppelt anklicken. Danach startet das Programm und initialisiert sich selbst. Zum Start der Überprüfung muss nur der oberste Button gedrückt werden. Nach dem Scan sollte unter "Infectate" eine Null zu sehen sein. |
|
|
Gast_SHAKAL_* |
03.09.2003, 12:41
Beitrag
#2
|
Gäste |
Hi Leute, ich habe mal einen Bericht geschrieben, in dem ich ein wenig auf die Schadenswerte durch Sobig.F eingehe, Unternehmen hier dazu befragt und das ganze ausgewertet habe.
Wer Interesse hat, kann HIER den Artikel nachlesen. Kritik und Anregungen jederzeit willkommen. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 21.06.2024, 01:35 |