![]() |
Willkommen, Gast ( Anmelden | Registrierung )
![]() |
Gast_Bo Derek_* |
![]()
Beitrag
#1
|
Gäste ![]() |
Heute verbreitet sich dieser Wurm besonders stark. Deshalb diese kleine Zusammenfassung:
1. Infektion Der Wurm kommt als Anhang einer E-Mail. Dieser Anhang muss angeklickt werden, damit sich ein Computer infiziert. 2. Absender der Mail Auch Personen mit denen man Kontakt hat bzw. hatte, können Absender dieser Mail sein. 3. Betreff der Mail Folgende Wörter sind für gewöhnlich in der Betreffzeile enthalten: "Re: That movie", "Re: Wicked screensaver", "Re: Your application", "Re: Approved", "Re: Re: My details", "Re: Details", "Your details", "Thank you!" oder "Re: Thank you!" 4. Der Inhalt der Mail Im Textbereich der Mail steht meist "Please see the attached file for details." oder "See the attached file for details". 5. Der Anhang Der Anhang kann wie folgt benannte sein: “movie0045.pif", "wicked_scr.scr", "application.pif", "document_9446.pif", "details.pif", "your_details.pif", "thank_you.pif", "document_all.pif" oder "your_document.pif" 6. Wohin kopiert sich der Wurm? Er kopiert sich in das Windows Verzeichnis. Die kopierte Datei hat den Namen "winppr32.exe". Aufgerufen wird die Datei über die Registry: HKLM\Software\Microsoft\Windows\Run\CurrentVersion\TrayX with value: %WINDIR%\winppr32.exe /sinc HKCU\Software\Microsoft\Windows\Run\CurrentVersion\TrayX with value: %WINDIR%\winppr32.exe /sinc 7. Was macht der Wurm? Er sucht in allen erdenklichen Dokumenten, welche sich auf dem befallenen Computer befinden, nach E-Mail Adressen und verschickt sich darüber selbst. Auch Netzwerkfreigaben dienen ihm als Verbreitungswerkzeug. 8. Wie entfernt man den Wurm? Bisher gibt es nur ein rumänisches Tool, mit dem man PCs überprüfen kann. Dieses ist unter der Adresse http://www.bitdefender.com/html/free_tools.php zu finden. Die Datei "Antisobig-RO.exe" muss man nur doppelt anklicken. Danach startet das Programm und initialisiert sich selbst. Zum Start der Überprüfung muss nur der oberste Button gedrückt werden. Nach dem Scan sollte unter "Infectate" eine Null zu sehen sein. |
|
|
![]() |
![]()
Beitrag
#2
|
|
AV-Spezialist ![]() Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 ![]() |
ZITAT(JFK @ 22. August 2003, 17:34) Quelle: Kaspersky Newsletter Hast du dir mal den Link zur Beschreibung von Sobig genauer angesehen? Inzwischen ist der Deutsche Newsletter zwar besser geworden, aber richtig professionell ist das noch nicht. Ich meine nicht die Informationen, sondern mehr das drum herum. -------------------- MfG Ralf
|
|
|
![]() ![]() |
Vereinfachte Darstellung | Aktuelles Datum: 27.06.2024, 13:45 |