Ames Sat Settings Board

Register Calendar Members List Team Members Search Frequently Asked Questions Go to the Main Page

Home


Ames Sat Settings Board » Computer Ecke » Security » Wurm: Sober.Q2 » Hello Guest [Login|Register]
Last Post | First Unread Post Print Page | Recommend to a Friend | Add Thread to Favorites
Post New Thread Post Reply
Go to the bottom of this page Wurm: Sober.Q2
Posts in this Thread Author Date
 Wurm: Sober.Q2 Ham.Master 03.09.2010 14:34

Author
Post « Previous Thread | Next Thread »
s-modHam.Masters-mod Ham.Master is a male
S-MOD


images/avatars/avatar-312.jpg



Registration Date: 14.11.2005
Posts: 2,212
Receiver / Box: Humax 5400; Dreambox 7020; Technisat; Ferguson


Info Wurm: Sober.Q2 Reply to this Post Post Reply with Quote Edit/Delete Posts Report Post to a Moderator       Go to the top of this page

Sober.Q2 02.09.2010

Verbreitung:--->*****
Schaden:------>*****

Der Wurm Sober.Q2 ist verstärkt per E-Mail unterwegs. Im Anhang enthält die E-Mail eine ZIP-Datei,
mit der Bezeichnung „pword_change.zip“, die einen Wurm der Sober-Familie enthält.
Wird dieses ZIP-File ausgeführt, zeigt Wurm Sober.Q2 ein Meldungsfenster mit dem Text
„Error in packed file“ und „CRC header must be $7ff8“. Anschließend installiert sich der Wurm im betreffenden System.

Die E-Mail hat folgendes Aussehen


Betreff: „Your new Password“

Dateianhang: ZIP-Archiv mit der Bezeichnung „pword_change.zip“

E-Mail-Text: Your password was successfully changed! Please see the attached file for detailed information.

Dateigröße: 113.551 Bytes

Betroffene Betriebssysteme: Alle Windows-Versionen

Installation auf dem System

Wird der Wurm ausgeführt, erstellt er folgende Dateien:
\%WinDIR%\ConnectionStatus\services.exe
\%WinDIR%\ConnectionStatus\netslot.nst (BASE64 gepackt)
\%WinDIR%\ConnectionStatus\socket.dli (E-Mail-Adressen)
\%SystemDIR%\bbvmwxxf.hml (Dateigröße: 0 Bytes)
\%SystemDIR%\gdfjgthv.cvq (Dateigröße: 0 Bytes)
\%SystemDIR%\langeinf.lin (Dateigröße: 0 Bytes)
\%SystemDIR%\nonrunso.ber (Dateigröße: 0 Bytes)
\%SystemDIR%\rubezahl.rub (Dateigröße: 0 Bytes)
\%SystemDIR%\seppelmx.smx (Dateigröße: 0 Bytes)

Folgende Einträge werden der Registry hinzugefügt:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.exe"
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"WinINet"="%WinDIR%\\ConnectionStatus\\services.exe"

So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!


__________________

MfG Ham.Master
(This Posting was sent using 100% recycled electrons.)
Technisat HD S2
Ferguson 8900HD
Dreambox 7020 S mit 160GB
Humax 5400
03.09.2010 14:34 Ham.Master is offline Send an Email to Ham.Master Search for Posts by Ham.Master Add Ham.Master to your Buddy List
Der Betreiber und die Moderatoren vom ass-media.net distanzieren sich hiermit ausdrücklich durch den von s-modHam.Masters-mod am 03.09.2010 um 14:34 verfassten Beitrag.
Sollte dieser Beitrag Ihre Rechte verletzen bitten wir um Benachrichtigung

Tree Structure | Board Structure
Post New Thread Post Reply
Ames Sat Settings Board » Computer Ecke » Security » Wurm: Sober.Q2

Privacy policy

Forum Software: Burning Board 2.3.6 pl2, Developed by WoltLab GmbH