|
Geschrieben von Ste
|
|
Am 14 Mai 2005 haben Rechner die mit dem Sober.P Virus infiziert
sind, angefangen eine neue Version des Sober Virus runter zuladen den Sober.Q
und daraufhin E-Mails mit Rechtsextremer Propaganda zu verbreiten. In den E-Mail
sind links zur NPD Website, aber auch bekannte Tageszeitungen. Die Absender
sind gefälscht, das bedeutet dass die Versender gar nicht die wahren Versender
sind. Das interessante an Soper.q ist die hohe Anzahl an E-Mails den er
versand, so das man richtig von einer FLUTWELLE reden kann.
Sober.q auch bekannt als:
W32.Sober.P@mm, Win32.Sober.O [Computer Associates],
Email-Worm.Win32.Sober.q [Kaspersky Lab], W32/Sober.q@MM [McAfee], Troj/Sober-Q
[Sophos], WORM_SOBER.U [Trend Micro], Trojan.Ascetic.C
Der Sober.q Virus hat seinen einen SMTP versand Mechanismus.
Sobald Sober.q aktiv ist, werden 3 neue Dateien in das Windowsverzeichnis
c:\windows\help\help\ kopiert. Die Dateien nennen sich „services.exe“, „csrss.exe“
und „smss.exe“
Des Weiteren fügt sober.q die „service.exe“ in die Registry
ein, damit diese beim start gestartet wird.
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemBoot"
= "%WinDir%\Help\Help\services.exe"
Ausserdem werden folgende dateien in das
installationsverzeichnis kopiert
sacri2.ggg
sacri3.ggg
voner1.von
voner2.von
voner3.von
sysonce.tst
fastso.ber
Löschen vom Sober.q
|
|
Letzte Aktualisierung ( Monday, 11 July 2005 )
|
![[Valid RSS]](valid-rss_1421.png "Validate my RSS feed"){kind=small}
