W32.Sober.F kommt als E-Mail-Anhang in Dateien mit den Endungen .pif oder .zip. In der Betreffzeile des bilingualen Wurms sind Einträge wie "Fehlerhafte Mailzustellung" oder auch "Hallo Du !" beziehungsweise "Invalid Mail Sentence Lenght" oder "Well, surprise?!" zu lesen.
Beim Öffnen der knappen 43 Bytes großen Datei erstellt der Wurm auf dem infizierten System eine TXT-Datei im Temp-Ordner und zeigt seinen Inhalt in NOTEPAD.EXE an. Laut Erkenntnissen des Virenspezialisten Sophos kopiert sich Sober.F dann als .exe-Datei in den Windows-Systemordner und trägt sich in der Registry ein. Durch das Speichern des Registrierungseintrags wird der Wurm bei der Systemanmeldung gestartet. Sober.F modifiziert den Registrierungseintrag so, dass er vor anderen Programmen gestartet wird. Im Windows-Systemordner erzeuge Sober.F außerdem Dateien wie "BCEGFDS.LLL", "WINHEX32XX.WRM" oder "WINSYS32XX.ZZP".
Auf dem befallenen Computer verschickt sich Sober.F zur Vermehrung über eine eigene SMTP-Engine an die Adressen, die er in den Dateien mit Erweiterungen wie .asp, .ppt und .xml aufspürt.
Informationen zum Entfernen der Malware finden sie bei Sophos sowie Symantec. Aktuelle Warnungen finden Sie täglich in unserem Virenticker. (bsc)
tecCHANNEL Buch-Shop |
|
---|---|
Literatur zum Thema Sicherheit |
Titelauswahl |
Titel von Pearson Education |
|
PDF-Titel (50 % billiger als Buch) |