Zitat: |
W32/Sober-G ist ein Massmailing-Wurm, der sich an E-Mail-Adressen sendet, die er auf dem infizierten Computer aufgespürt hat. Wenn er gestartet wird, kopiert er sich in den Windows-Systemordner und erstellt den folgenden Registrierungseintrag, so dass er bei der Benutzeranmeldung automatisch gestartet wird:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\ logcrypt = <Pfad_zur_exe>\<exename>.exe %1 Wenn er erstmals ausgeführt wird, erstellt der Wurm eine TXT-Datei im Temp-Ordner und zeigt den Inhalt dieser Datei mit Hilfe von NOTEPAD.EXE an. Die Textdatei beginnt mit dem Text: File not found Special -UnZip Data- Module is missing Open with Notepad? Converted_ notepad Der Wurm kopiert sich als EXE-Datei in den Windows-Systemordner mit einem Namen, der aus Folgenden zusammengesetzt ist: sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32 W32/Sober-G erstellt außerdem die folgenden Dateien, um die aufgespürten Daten im Windows-Systemordner zu speichern: bcegfds.lll cvqaikxt.apk datsobex.wwr wincheck32.dats winexpoder.dats winzweier.dats xdatxzap.zxp zhcarxxi.vvx |