Sober.Q2

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober.Q2 ist verstärkt per E-Mail unterwegs. Im Anhang enthält die E-Mail eine ZIP-Datei,
mit der Bezeichnung „pword_change.zip“, die einen Wurm der Sober-Familie enthält.
Wird dieses ZIP-File ausgeführt, zeigt Wurm Sober.Q2 ein Meldungsfenster mit dem Text
„Error in packed file“ und „CRC header must be $7ff8“. Anschließend installiert sich der Wurm im betreffenden System.

Die E-Mail hat folgendes Aussehen

Betreff: „Your new Password“

Dateianhang: ZIP-Archiv mit der Bezeichnung „pword_change.zip“

E-Mail-Text: Your password was successfully changed! Please see the attached file for detailed information.

Dateigröße: 113.551 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
%WinDIR%ConnectionStatusservices.exe
%WinDIR%ConnectionStatusnetslot.nst (BASE64 gepackt)
%WinDIR%ConnectionStatussocket.dli (E-Mail-Adressen)
%SystemDIR%bbvmwxxf.hml (Dateigröße: 0 Bytes)
%SystemDIR%gdfjgthv.cvq (Dateigröße: 0 Bytes)
%SystemDIR%langeinf.lin (Dateigröße: 0 Bytes)
%SystemDIR%nonrunso.ber (Dateigröße: 0 Bytes)
%SystemDIR%rubezahl.rub (Dateigröße: 0 Bytes)
%SystemDIR%seppelmx.smx (Dateigröße: 0 Bytes)

Folgende Einträge werden der Registry hinzugefügt:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun]
"WinINet"="%WinDIR%\ConnectionStatus\services.exe"
[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun]
"WinINet"="%WinDIR%\ConnectionStatus\services.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!