• IT-Karriere:
  • Services:

Sober.B wehrt sich gegen Anti-Viren-Tools

Neuer Wurm setzt auf aktuelle deutschsprachige Betreffzeilen

Anti-Viren-Hersteller warnen vor einer neuen Variante des Sober-Wurms, den sie "Worm/Sober.B" oder "W32/Sober.b@MM" getauft haben. Sober.B verbreitet sich per E-Mail, wobei die Dateigröße des Attachments zwischen 54 und 60 KByte variiert. Auch die Betreffzeilen sind unterschiedlich und recht aktuell.

Artikel veröffentlicht am ,

Wird das Attachment der E-Mail ausgeführt, erscheint eine gefälschte Messagebox mit der Fehlermeldung "Header is missing". Im Hintergrund kopiert sich Worm/Sober.B an diverse Stellen im Windows-Systemverzeichnis. Sober.B sammelt auf dem System enthaltende E-Mail-Adressen in der Datei "mscolmon.ocx" und versendet sich über eine eigene STMP-Engine.

Stellenmarkt
  1. Allianz Lebensversicherungs - AG, Stuttgart
  2. BASF Digital Solutions GmbH, Ludwigshafen

Dabei verwendet Sober.B diverse Betreffzeilen und Mail-Texte, unter anderem "Re: George W.Bush plans new wars", "Ich habe Sie Ge-hackt", "You Got Hacked" und "Fwd: Der Kannibale von Rotenburg".

Der Wurm startet sich generell in zwei Instanzen, wobei der eine Prozess den jeweils anderen Prozess mit "exklusivem Zugriff" öffnet. Ist der Wurm aktiv, können daher die infizierten Dateien von den meisten Antivirenscannern nicht mehr gescannt werden, da kein Zugriff auf das System gestattet wird. Beendet man einen der Prozesse, erkennt das der zweite Prozess und startet über die vom Wurm erstellte Datei spooler.exe den zweiten Wurm-Prozess neu.

Wird versucht, den Run-Eintrag in der Windows Registry zu entfernen, während der Wurm noch aktiv ist, schreibt dieser sich automatisch wieder in die Registry. Dies erfolgt mit Hilfe eines Visual-Basic-Timer-Objekts, welches in Intervallen die Registry des Run-Eintrags abfragt, berichtet unter anderem H+BEDV, deren Tools - wie die der meisten anderen Anti-Virenhersteller auch - den Wurm mittlerweile erkennen und beseitigen können.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. G.Skill 16GB DDR4-3200 Kit für 54,90€, AMD Ryzen 9 3900XT für 419€, MSI B450 Tomahawk...
  2. mit 222,22€ neuer Bestpreis auf Geizhals
  3. (u. a. 970 Evo Plus PCIe-SSD 500GB für 69,30€, T7 Touch Portable SSD 1TB für 137,99€)

Yannik 22. Dez 2003

Nö, natürlich gehe ich darauf nicht ein :-) Grüße Yannik

Jörg D 20. Dez 2003

Na, das ist vielleicht ein Kuhhandel. Glaubst Du wirklich, Yannik würde darauf eingehen?

sansan 19. Dez 2003

Na Gott sei dank...hab erst letzte Woche AntiVir deinstalliert und AVG installiert...*g*

Martin 19. Dez 2003

Jo, und in den zukünftigen Windowsversionen darf dann auch nur Software installiert...

Maxxu 19. Dez 2003

Ja, wenn man es so sieht :-) allerdings sei angemerkt, dass Unternehmen wie Adobe...


Folgen Sie uns
       


Assassin's Creed Valhalla - Fazit

Im Video stellt Golem.de das Action-Rollenspiel Assassins's Creed Valhalla vor, das Spieler als Wikinger nach England schickt.

Assassin's Creed Valhalla - Fazit Video aufrufen
    •  /