Abo
  • Services:
Anzeige

Sober.B wehrt sich gegen Anti-Viren-Tools

Neuer Wurm setzt auf aktuelle deutschsprachige Betreffzeilen

Anti-Viren-Hersteller warnen vor einer neuen Variante des Sober-Wurms, den sie "Worm/Sober.B" oder "W32/Sober.b@MM" getauft haben. Sober.B verbreitet sich per E-Mail, wobei die Dateigröße des Attachments zwischen 54 und 60 KByte variiert. Auch die Betreffzeilen sind unterschiedlich und recht aktuell.

Anzeige

Wird das Attachment der E-Mail ausgeführt, erscheint eine gefälschte Messagebox mit der Fehlermeldung "Header is missing". Im Hintergrund kopiert sich Worm/Sober.B an diverse Stellen im Windows-Systemverzeichnis. Sober.B sammelt auf dem System enthaltende E-Mail-Adressen in der Datei "mscolmon.ocx" und versendet sich über eine eigene STMP-Engine.

Dabei verwendet Sober.B diverse Betreffzeilen und Mail-Texte, unter anderem "Re: George W.Bush plans new wars", "Ich habe Sie Ge-hackt", "You Got Hacked" und "Fwd: Der Kannibale von Rotenburg".

Der Wurm startet sich generell in zwei Instanzen, wobei der eine Prozess den jeweils anderen Prozess mit "exklusivem Zugriff" öffnet. Ist der Wurm aktiv, können daher die infizierten Dateien von den meisten Antivirenscannern nicht mehr gescannt werden, da kein Zugriff auf das System gestattet wird. Beendet man einen der Prozesse, erkennt das der zweite Prozess und startet über die vom Wurm erstellte Datei spooler.exe den zweiten Wurm-Prozess neu.

Wird versucht, den Run-Eintrag in der Windows Registry zu entfernen, während der Wurm noch aktiv ist, schreibt dieser sich automatisch wieder in die Registry. Dies erfolgt mit Hilfe eines Visual-Basic-Timer-Objekts, welches in Intervallen die Registry des Run-Eintrags abfragt, berichtet unter anderem H+BEDV, deren Tools - wie die der meisten anderen Anti-Virenhersteller auch - den Wurm mittlerweile erkennen und beseitigen können.


eye home zur Startseite
Yannik 22. Dez 2003

Nö, natürlich gehe ich darauf nicht ein :-) Grüße Yannik

Jörg D 20. Dez 2003

Na, das ist vielleicht ein Kuhhandel. Glaubst Du wirklich, Yannik würde darauf eingehen?

sansan 19. Dez 2003

Na Gott sei dank...hab erst letzte Woche AntiVir deinstalliert und AVG installiert...*g*

Martin 19. Dez 2003

Jo, und in den zukünftigen Windowsversionen darf dann auch nur Software installiert...

Maxxu 19. Dez 2003

Ja, wenn man es so sieht :-) allerdings sei angemerkt, dass Unternehmen wie Adobe...



Anzeige

Stellenmarkt
  1. BLOKS. GmbH, München
  2. Seitenbau GmbH, Konstanz
  3. über Nash Direct GmbH, Ulm
  4. Bosch Software Innovations GmbH, Waiblingen


Anzeige
Top-Angebote
  1. 399,99€
  2. 699,00€ inkl. Versand statt 899,00€
  3. u. a. Corsair mechanische Tastatur, Razer Mamba Maus, Sennheiser Headset)

Folgen Sie uns
       


  1. Google

    Android 8.0 heißt Oreo

  2. KI

    Musk und andere fordern Verbot von autonomen Kampfrobotern

  3. Playerunknown's Battlegrounds

    Bluehole über Camper, das Wetter und die schussfeste Pfanne

  4. Vega 64 Strix ausprobiert

    Asus' Radeon macht fast alles besser

  5. Online-Tracking

    Händler können Bitcoin-Anonymität zerstören

  6. ANS-Coding

    Google will Patent auf freies Kodierverfahren

  7. Apple

    Aufregung um iPhone-Passcode-Entsperrbox

  8. Coffee Lake

    Intels 6C-Prozessoren erfordern neue Boards

  9. Square Enix

    Nvidia möbelt Final Fantasy 15 für Windows-PC auf

  10. Spionage

    FBI legt US-Unternehmen Kaspersky-Verzicht nahe



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nach Anschlag in Charlottesville: Nazis raus - aber nur aus PR-Gründen
Nach Anschlag in Charlottesville
Nazis raus - aber nur aus PR-Gründen
  1. Bundesinnenministerium Neues Online-Bürgerportal kostet 500 Millionen Euro
  2. EU-Transparenz EuGH bekräftigt nachträglichen Zugang zu Gerichtsakten
  3. Rücknahmepflicht Elektronikschrott wird kaum zurückgegeben

Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  2. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
  3. Workstation AMD bringt Radeon Pro WX 9100

Threadripper 1950X und 1920X im Test: AMD hat die schnellste Desktop-CPU
Threadripper 1950X und 1920X im Test
AMD hat die schnellste Desktop-CPU
  1. Ryzen AMD bestätigt Compiler-Fehler unter Linux
  2. CPU Achtkerniger Threadripper erscheint Ende August
  3. Ryzen 3 1300X und 1200 im Test Harte Gegner für Intels Core i3

  1. Die wollen doch keine schnelleren Updates...

    mcmrc1 | 03:16

  2. Re: Bauernfängerei

    Aslo | 02:54

  3. Re: die liste geht nur bis S

    amagol | 02:53

  4. Re: Icon mit Zahl

    amagol | 02:49

  5. Re: Sieht ja chic aus

    tingelchen | 02:32


  1. 20:53

  2. 18:40

  3. 18:25

  4. 17:52

  5. 17:30

  6. 15:33

  7. 15:07

  8. 14:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel