virus-informer.de: Hohe Verbreitung des Wurms W32.Sobig.A@mm!!!

20.07.04 09:40 Age: 6 yrs

Hohe Verbreitung des Wurms W32.Sobig.A@mm!!!

By: admin

Name: W32.SobigA@mm

Alias: W32/Sobig [McAffee], I-Worm.Sobig [Kaspersky], W32/Sobig-A[Sophos], Sobig-A[F-Secure]

Art: Wurm

Größe des Anhangs: 65.536 Bytes

Betriebssystem: Microsoft Windows

Art der Verbreitung: Massenmailing/Netzfreigaben

Verbreitung: hoch

Risiko : bei Ausführung des Attachments: hoch

Schadensfunktion: Massenmail

bekannt seit: Januar 2003

Sobig ist ein Wurm, der sich als Zubehör an infizierte E-Mails anhängt. Er lädt auch ein Backdoor-Programm herunter und installiert es.

Infizierte Nachrichten haben folgende Eigenschaften:

Der Absender der E-Mail ist immer: big@boss.com

Betreff:

Re: Movies

Re: Sample

Re: Document

Re: Here is the sample

Der Anhang ist einer der folgenden Dateien:

Movie_0074.mpeg.pif

Document003.pif

Untitled1.pif

Sample.pif

Ein weiteres Kennzeichen ist die Größe des Wurms.

Er ist 65.536 Bytes groß.

Wird der Wurm ausgeführt kopiert er sich zunächst in das Systemverzeichnis von Windows unter dem Namen Winmgm32.exe.

Der Prozess sendet eine Message an eine Adresse bei pagers.icq.com.

Er versucht Dateien von einer Website aus dem Internet zu laden.

Er kopiert sich in alle erreichbaren Autostartverzeichnisse.

HKLM\Softwarte\Microsoft\Windows\CurrentVersion\Run "WindowsMGM"=\winmgm32.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run"WindowsMGM"=\winmgm32.exe

Der Wurm versucht sich selbst per E-Mail an alle Adressen zu versenden, die er in Dateien mit folgenden Endungen findet:

.WAB

.DBX

.HTM

.HTML

.EML

.TXT

HKEY_LOCAL_MACHINE\Software\Microsoft

\Windows\CurrentVersion\Run

wird der Wert

WindowsMGM %Windir%\Winmgm32.exe

hinzugefügt.

Es wird empfohlen, den Versand/Empfang von ausführenden Programmen (Extend.COM, .EXE, .BAT,...) oder anderer Dateien, die Programmcode enthalten können (EXTEND .DO*, XL*, PPT, VBS...) vorher telefonisch abzustimmen.

Dadurch wird abgesichert , daß die Datei vom angegebenen Absender geschickt und nicht vom Virus verbreitet ist. ;)

<- Back to: virus-informer.de


	20.07.04 09:40 Age: 6 yrs Hohe Verbreitung des Wurms W32.Sobig.A@mm!!! By: admin Name: W32.SobigA@mm Alias: W32/Sobig [McAffee], I-Worm.Sobig [Kaspersky], W32/Sobig-A[Sophos], Sobig-A[F-Secure] Art: Wurm Größe des Anhangs: 65.536 Bytes Betriebssystem: Microsoft Windows Art der Verbreitung: Massenmailing/Netzfreigaben Verbreitung: hoch Risiko : bei Ausführung des Attachments: hoch Schadensfunktion: Massenmail bekannt seit: Januar 2003 Sobig ist ein Wurm, der sich als Zubehör an infizierte E-Mails anhängt. Er lädt auch ein Backdoor-Programm herunter und installiert es. Infizierte Nachrichten haben folgende Eigenschaften: Der Absender der E-Mail ist immer: big@boss.com Betreff: Re: Movies Re: Sample Re: Document Re: Here is the sample Der Anhang ist einer der folgenden Dateien: Movie_0074.mpeg.pif Document003.pif Untitled1.pif Sample.pif Ein weiteres Kennzeichen ist die Größe des Wurms. Er ist 65.536 Bytes groß. Wird der Wurm ausgeführt kopiert er sich zunächst in das Systemverzeichnis von Windows unter dem Namen Winmgm32.exe. Der Prozess sendet eine Message an eine Adresse bei pagers.icq.com. Er versucht Dateien von einer Website aus dem Internet zu laden. Er kopiert sich in alle erreichbaren Autostartverzeichnisse. HKLM\Softwarte\Microsoft\Windows\CurrentVersion\Run "WindowsMGM"=\winmgm32.exe HKCU\Software\Microsoft\Windows\CurrentVersion\Run"WindowsMGM"=\winmgm32.exe Der Wurm versucht sich selbst per E-Mail an alle Adressen zu versenden, die er in Dateien mit folgenden Endungen findet: .WAB .DBX .HTM .HTML .EML .TXT HKEY_LOCAL_MACHINE\Software\Microsoft \Windows\CurrentVersion\Run wird der Wert WindowsMGM %Windir%\Winmgm32.exe hinzugefügt. Es wird empfohlen, den Versand/Empfang von ausführenden Programmen (Extend.COM, .EXE, .BAT,...) oder anderer Dateien, die Programmcode enthalten können (EXTEND .DO, XL, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert , daß die Datei vom angegebenen Absender geschickt und nicht vom Virus verbreitet ist. ;) <- Back to: virus-informer.de
home Impressum