Wurmgefahr

newknow

Meister
Registriert
3. April 2003
Beiträge
195
http://www.freenet.de/freenet/computer/internet/antivirus/sobig_f/index.html



Name: WORM_SOBIG.F
Alias-Name(n): Win32.HLLM.Reteras
Risiko-Potenzial: Mittel
Schadens-Potenzial: Hoch
Verbreitungs-Potenzial: Hoch

Bei Aufruf des Anhanges aktiviert sich der Wurm und kopiert sich selbst in den Windows-Ordner als "winppr32.exe.a". Zudem wird eine Datei mit dem Namen "winstt32.dat" im Windows-Ordner abgelegt, die bei jedem Windows-Neustart folgende Einträge in der Registry vornimmt, um das Ausführen der Routinen zu gewährleisten:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run TrayX = "%Windows%\winppr32.exe /sinc" HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\Run TrayX = "%Windows%\winppr32.exe /sinc"

Ich habe Glück gehabt,
es hat sich zwar keine .exe bei mir installiert, aber in der REG hab ich die Einträge gefunden.

Gruß
 

Ring

Meister
Registriert
29. Juli 2003
Beiträge
387
Das ist die Warnung die heute von GMX versandt wurde:
Sobig.F Kurzprofil (Quelle: Sophos)

W32/Sobig-F ist ein Wurm, der sich via E-Mail und über Netzwerkfreigaben verbreitet. Der Wurm versendet sich unter Verwendung seiner eigenen SMTP-Engine als Attachment an e-mail-Adressen, die er in verschiedenen Dateien auf dem Computer des Opfers findet. Wenn er sich per e-mail versendet, fälscht er die Adresse des Senders, so dass nur schwer ermittelt werden kann, wessen Computer tatsächlich infiziert ist.

Die e-mail hat folgendes Format:

Betreffzeile: Ausgewählt aus:
Re: That movie / Re: Wicked screensaver / Re: Your application / Re: Approved / Re: Re: My details / Re: Details / Your details / Thank you!

Text: Ausgewählt aus:
Please see the attached file for details. / See the attached file for details

Attachment: Ausgewählt aus:
movie0045.pif / wicked_scr.scr / application.pif / document_9446.pif / details.pif / your_details.pif / thank_you.pif / document_all.pif / your_document.pif

W32/Sobig-F versucht außerdem, sich zu verbreiten, indem er sich auf Windows-Netzwerkfreigaben kopiert und verwendet das Network Time Protocol eines von verschiedenen Servern, um das aktuelle Datum und die Uhrzeit festzustellen. Wenn das Datum der 10. September 2003 oder später ist, deaktiviert sich der Wurm.

MfG

Ring
 

newknow

Meister
Registriert
3. April 2003
Beiträge
195
...genau solche Dinger habe ich heúte bekommen.
Aberrrr nix da :twisted:
Ungeöffnet in die Tonne.
Wat ne Wonne :mrgreen:
 

Giacomo_S

Ehrenmitglied
Registriert
13. August 2003
Beiträge
2.834
Unser Mitgefühl für alle DOSen User.

Von euren Freunden mit 'nem Apple. :p
 

forcemagick

Forenlegende
Registriert
12. Mai 2002
Beiträge
6.038
der pinguin kennt keinen windowsordner :)

aber trotzdem mein beileid...

betreffen wird mich der spaß trotzdem weil ich dadurch unerwünschte zusatzarbeit bekomm ... schließlich werden alle möglichen bekannten und kunden rumfluchen mit dem ekligen gewürm.

nicht zu vergessen dass das netz wieder mal langsamer werden könnte, dass meine pops und smtps wieder mal rumnölen werden..

irgendwie kotzen mich diese wurmspezialisten an... wenn sie was gegen windows und microsoft haben sollen sie doch ne verfluchte demo vor der firmenzentrale machen.. von mir aus auch mit tomaten nach bill werfen... aber bitte man möchte doch die pc-infrastruktur verschonen...

nervensägen.
 

tsuribito

Erleuchteter
Registriert
27. September 2002
Beiträge
1.092
Ach nur ein Wurm der die Sicherheitslücke zwischen Stuhl und Keyboard ausnutzt.
Nur durch absolute Dummheit zu bekommen. Oder man hat Outlook.
Der deaktiviert sich auch am 10.9
:arrow: Am 11.9 startet dann wohl der Nachfolger
 

forcemagick

Forenlegende
Registriert
12. Mai 2002
Beiträge
6.038
da fällt mir wieder der rumänische virus ein :lol: ein geiles ding war das :)

"hallo
dies ist ein rumänischer virus.
leider sind unsere technischen möglichkeiten etwas beschränkt, deswegen hoffen wir auf ihre kooperation.

bitte wechseln sie auf die windows-kommandozeile und geben sie folgenden befehlt ein: format c:
bestätigen sie anschließend bitte eventuelle fragen ihres computers mit y.
vielen dank für ihr verständnis und ihre unterstützung.
"

naja oder so ähnlich.
 
Oben