0%
0%
Sober kommt als Wurm und agiert wie ein Virus
Der seit Ende Oktober 2003 verstärkt aktive Wurm "Sober" ist nicht nur verbreiteter, sondern auch trickreicher, als bislang von den meisten Virenschutz-Experten eingeschätzt. Sobald der über verschiedene Email-Anhänge eingeschleuste Wurm in Windows NT, 2000 oder XP aktiviert ist, entwickelt er vielfältige Methoden, um die meisten Antiviren-Scanner zu narren und seine Entfernung erfolgreich zu verhindern. Wie die Sicherheitsspezialisten von H+BEDV außerdem herausfanden, infiziert und überschreibt Sober sämtliche EXE-Dateien im Windows Verzeichnis "My Shared Folder" und agiert damit wie ein Virus.
Einmal aktiviert läuft Sober fortan in 2 Prozessen gleichzeitig im System. Dabei sperrt ein Prozess jeweils den Zugriff auf den anderen und trickst damit die meisten Antivirenscanner aus. Auch der Versuch, den "Autostart Run" Eintrag des Wurms zu entfernen, erwies sich bisher als erfolglos, weil stets ein Prozess aktiv ist und den gerade gelöschten Eintrag in die Registry sofort wieder automatisch erneuert.
Außerdem infiziert der Wurm beim ersten Start sämtliche ausführbaren Dateien im Windows-Verzeichnis "My Shared Folder", indem er sich generell an die erste Stelle im File setzt. Der Wurm agiert damit als sogenannter "Overwriter" und beschädigt die EXE-Dateien unreparierbar. Ist die "Wirtsdatei" kleiner als der Wurm selber, so wird sie mit dem kompletten Wurm überschrieben.
H+BEDV schließt daraus, dass Sober offensichtlich nicht nur bestrebt ist, sich über Massen-Emails zu verbreiten, sondern auch über Filesharing-Netzwerke (z.B. Musiktauschbörsen). Diese legen ihre Austauschdateien nämlich bevorzugt in dem "My Shared Folder" Verzeichnis ab.
Einmal aktiviert läuft Sober fortan in 2 Prozessen gleichzeitig im System. Dabei sperrt ein Prozess jeweils den Zugriff auf den anderen und trickst damit die meisten Antivirenscanner aus. Auch der Versuch, den "Autostart Run" Eintrag des Wurms zu entfernen, erwies sich bisher als erfolglos, weil stets ein Prozess aktiv ist und den gerade gelöschten Eintrag in die Registry sofort wieder automatisch erneuert.
Außerdem infiziert der Wurm beim ersten Start sämtliche ausführbaren Dateien im Windows-Verzeichnis "My Shared Folder", indem er sich generell an die erste Stelle im File setzt. Der Wurm agiert damit als sogenannter "Overwriter" und beschädigt die EXE-Dateien unreparierbar. Ist die "Wirtsdatei" kleiner als der Wurm selber, so wird sie mit dem kompletten Wurm überschrieben.
H+BEDV schließt daraus, dass Sober offensichtlich nicht nur bestrebt ist, sich über Massen-Emails zu verbreiten, sondern auch über Filesharing-Netzwerke (z.B. Musiktauschbörsen). Diese legen ihre Austauschdateien nämlich bevorzugt in dem "My Shared Folder" Verzeichnis ab.
