| Bezeichnung |
Name |
Typ |
| Sober.C |
Win32.Sober.C@mm |
Ausführender Mass Mailer |
| Schaden |
Entdeckt |
Ermittelt |
| Mittel |
20.12.2003 |
20.12.2003 |
| Größe |
Verbreitung |
Noch unterwegs |
| ~72 KBytes |
Gering |
Ja |
| Andere Namen |
| |
|
|
 |
Symptome :
|
Präsenz folgender Dateien im %SYSTEM% Ordner:
syshostx.exe (~72 KBytes)
savesys.dll
humgly.lkur
yfjq.yqwm
und zwei weitere Kopien von syshostx.exe mit willkürlichen Namen.
- Präsenz des Registry Key:
[HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun]
[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun]
weist auf eine Kopie des Virus im %SYSTEM% Ordner.
wo %WINDOWS% weist auf den Windows Ordner (oder WinNT bei Windows NT based systems)
%SYSTEM% weist auf "System" Ordner von Windows 9x Systemen und "System32" Ordner in WinNT Systemen.
|
Technische Beschreibung:
|
Wie seine Vorläufer versendet er sich als Email und benutzt dazu seine eigene SMTP Maschine.
Bei Betrieb erfolgt dies:
- der Wurm kopiert sich als syshostx.exe im %SYSTEM% Ordner
- er schafft zwei weitere zufällig benannte Kopien im %SYSTEM% Ordner
- er schafft den o.g. Registry Key
- manchmal zeigt er falsche Message Boxen an.
Die Kopien fungieren als Backup, falls er vernichtet wird, benutzt er eine der anderen Kopien.
Der Virus schaut nach Email Adresses in Dateien mit folgenden Endungen:
htt, rtf, doc, xls, ini, mdb, txt, htm, html, wab, pst, fdb, cfg, ldb, eml, abc, ldif, nab, adp, mdw, mda, mde, ade, sln, dsw, dsp, vap, php, nsf, asp, shtml, shtm, dbx, hlp, mht, nfo.
und verstaut sie in der Datei savesyss.dll im %SYSTEM% Ordner.
Er schafft auch zwei weitere Dateien humgly.lkur und yfjq.yqwm im %SYSTEM% Ordner.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Win32.Sober.C@mm Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
