19.07.2005 | Tipps
Die Kriminalität im Internet nimmt zu – und wird immer trickreicher. Denn während die Virensituation derzeit entspannt ist und die Zahl der Virenausbrüche im Vergleich zum Vorjahr (Januar bis Juni) um 50% gesunken ist, tauchen jedoch immer mehr Bots und neue Trojaner auf. Im Gegensatz zu wahllosen Angriffen durch Viren und Würmer können Trojaner über E-Mail-Anhänge oder Links auf Websites präzise und gezielt Unternehmen angreifen. Und nicht zuletzt wurden die ersten virtuellen Geiselnahmen gemeldet .
85 % aller Emails sind Spam
Trotz gemeinsamer Initiativen von Virenschutzanbietern, die Spam-Flut einzudämmen, ist die Zahl der unerwünschten Werbemails im ersten Halbjahr 2005 kontinuierlich gestiegen. Spam-Mails machen mittlerweile 85% des weltweiten E-Mail-Verkehrs aus.
Phishing und Pharming auf dem Vormarsch
Eine bestimmte Zielgruppe haben Virenautoren im Visier, wenn sie über Phishing- und Pharming-Methoden personenbezogene Daten ausspionieren möchten. Neben Kunden von eBay, PayPal und großen US-amerikanischen und britischen Banken sind mittlerweile auch Kunden insbesondere von Banken in Europa von Phishing-Attacken betroffen. Jüngstes Beispiel sind die Phishing-Nachrichten, die Postbank-Kunden in den vergangenen Wochen erhielten. Eine andere gefährliche Entwicklung, die F-Secure in den letzten Monaten beobachtet hat, ist Pharming. Pharming nutzt eine Sicherheitslücke in der DNS-Serversoftware aus. So haben Hacker die Möglichkeit, den Domänennamen für eine Site zu ermitteln und den Datenverkehr von dieser auf eine andere Website umzuleiten. Will der User zum Beispiel seine Bankwebsite für Online-Transaktionen aufrufen, kann es sich um eine Kopie der Website handeln. Gibt er dann Benutzerkennwörter, PIN- oder Kontonummern an, können diese gestohlen werden.
Tippfehler mit Folgen
Die Zunahme bösartiger Typosquatting-Websites im ersten Halbjahr 2005 beweist, wie Online-Kriminelle Internetsurfer auszutricksen versuchen. Ein typisches Beispiel tauchte im April diesen Jahres auf. Als User sich vertippten und statt https://www.google.com eingaben, wurden sie auf eine Seite weitergeleitet, die eine gigantische Kette von Webseiten mit verschiedenartigen Angriffen auslöste. So wurde der Computer des unwissenden Opfers durch den Tippfehler mit Malware und Spyware infiziert. F-Secure rät: Anwender sollten ihre Browser stets aktuell halten – und an ihren Tippfertigkeiten arbeiten.
Malware auf Handys
Mobile Viren sorgen weiterhin für Schlagzeilen, obwohl die meisten dieser Viren sich erst noch behaupten müssen. Bisher hat der Trojaner Skulls den meisten Schaden angerichtet. Hierbei handelt es sich um einen bösartigen SIS-Datei-Trojaner, der die Systemanwendungen durch funktionsuntaugliche Versionen ersetzt, so dass nur noch die Grundfunktionen des Telefons genutzt werden können.
Im Frühjahr gab es zahlreiche Berichte darüber, dass Cabir willkürlich in über 23 Ländern aufgetaucht ist. Cabir ist ein Wurm, der Symbian-Mobiltelefone, die eine Series 60-Plattform unterstützen, befallen kann. Cabir repliziert sich über Bluetooth-Verbindungen und erscheint im Posteingang infizierter Telefone als SIS-Datei, in der dieser Wurm enthalten ist. Sobald der unwissende Benutzer die Datei anklickt und installiert, wird der Wurm aktiviert und beginnt, nach neuen Geräten zu suchen, die er über Bluetooth infizieren kann.
Besorgniserregender für Smartphone-Besitzer ist Commwarrior – ein mobiler Virus, der sich über Bluetooth und MMS-Nachrichten ausbreitet. Er tauchte zum ersten Mal im Januar 2005 in Irland auf. Commwarrior könnte problematischer werden als Cabir, weil er in der Lage ist, sich über MMS mühelos von einem Land ins nächste auszubreiten. In der ersten Jahreshälfte 2005 wurden in 15 verschiedenen Ländern Telefone mit Commwarrior infiziert, darunter USA, Irland, Indien, Italien, Deutschland, Philippinen und Finnland.
Rootkits als Wirtschaftsspione
So genannte Rootkits ermöglichen Hackern, Schleusenprogramme in Systemen zu erstellen – auch wenn diese von herkömmlicher Virenschutzsoftware überwacht werden. Obwohl Angriffe dieser Art nicht weit verbreitet sind, gab es zahlreiche Fälle von Unternehmensspionage in den USA, die große Beachtung in den Medien fanden. Dank der F-Secure BlackLight-Technologie haben Systemadministratoren seit der CeBIT 2005 ein neues Tool zur Hand, mit dem sie gegen unsichtbare Rootkits gewappnet sind.
Lösegeld für Dateien
Ende Mai wurde ein Schädling bekannt, der Geiseln nehmen und Lösegeld fordern kann. Der Trojaner Gpcode (auch bekannt als PGPCoder) verschlüsselt Dateien mit bestimmten Erweiterungen und fordert anschließend ein Lösegeld dafür, die Daten wieder zu entschlüsseln. Dies ist ein gutes Beispiel dafür, wie eine neue Technologie angepasst wird, um sie für kriminelle Aktivitäten zu nutzen. F-Secure Anti-Virus enthält jetzt einen Decodierer für die verschlüsselten Dateien, der die von Gpcode verschlüsselten Dateien erkennen und decodieren kann.
Bankgeschäfte unter Beobachtung von Dritten
Im Mai wurde der Trojaner Agent.aa Trojan (auch als Trojan-PSW.Win32.Agent.aa oder Bancos.NL bekannt) entdeckt, der Daten stiehlt und aktive Internet Explorer-Vorgänge überwacht. Sobald Webseiten mit bestimmten Domänennamen von einem infizierten Computer aufgerufen werden, zeichnet der Trojaner Daten wie Tastenkombinationen auf, und erstellt Screenshots der Browserfenster. Insgesamt waren 2.764 Niederlassungen verschiedener Banken in über 100 Ländern von dieser Betrugsmasche betroffen.
08.07.2005 | Tipps
Der Schädling https://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?IdVirus=81012&sind=0“ target=“_blank“>Prex.AM
Sie verbreiten sich gemeinsam über mehrere Wege in einer einzigen RAR Datei (allerdings ist dies eine selbstausführende Datei und der User sieht eine .Exe Endung) Startet der User die infizierte Datei entpackt sie sich automatisch und erstellt zwei Dateien, die beide Würmer enthält.
Gaobot.IUF erstellt eine Hintertür auf dem infizierten Rechner, verbindet sich mit einem IRC Server und wartet auf Kommandos des Angreifers. So können z.B. Registrierungscodes für einige Computerspiele gestohlen werden oder aber ein Upgrade für den Wurm selbst herunter geladen werden.
Prex.AM sendet Nachrichten über den MSN Messenger mit dem Text: hmm like my friend said dont look ahaha, SICK pictures und einem Link zu einer Internetadresse. Daher ist er leichter zu erkennen. Klickt der User auf den Link wird eine RAR Datei mit beiden Würmern herunter geladen.
Beide unterstützen sich also gegenseitig und laden bei erfolgreicher Infektion den anderen Wurm herunter. TruPrevent konnte diese beiden Würmer erfolgreich blocken, ohne sie über eine Virussignaturdatei überhaupt zu kennen.
JAVAPRXY.DLL
Ist ein Sicherheitsproblem, das Microsoft im Security Bulletin SecAdv903144 reportet hat. Eine Komponente des Internet Explorers in Rechnern mit Windows 2003/XP/2000/Me/98 Version 5.01, 5.5 und 6 werden angegriffen.
Diese Verwundbarkeit kann über eine spezielle Webseite ausgenutzt werden und ermöglicht dem Angreifer bei erfolgreicher Infektion die Kontrolle über den Computer zu übernehmen. Dies geschieht mit denselben Rechten, wie sie auch der User hatte. Um sich zu schützen sollte das Microsoft Update eingespielt werden.
Application/KeySpy
Diese Anwendung zeichnet alle Tastaturanschläge vom Hochfahren des Rechners bis zum Abschalten auf. Dies beinhaltet also auch Passwörter die eingegeben werden. Zusätzlich erscheint auf dem Desktop ein Icon. Klickt man den Icon an erscheint ein Fenster, das alle aufgezeichneten Tastaturanschläge anzeigt.
Application/GoldenKeyLog
Dieses Hacking Tool ist an sich nicht gefährlich, kann es in den falschen Händen jedoch werden. Das Programm beobachtet die Tastaturanschläge beim Hochfahren des PC´s, so können z.B. die Login Daten aufgezeichnet werden. Außerdem verändert er Einträge im Registry Bereich „Settings-Add or Remove Programms“.
Banker.XP
Ist ein Trojaner, der versucht vertrauliche Daten wie Passwörter von dem infizierten Computer zu stehlen. Hat er genug gesammelt sendet er alles an einen Hacker. Banker.XP nutzt alle Eintrittswege die denkbar sind, er beschränkt sich nicht nur auf zwei oder drei. Mit diesem Trojaner kann man überall in Kontakt kommen.
15.06.2005 | Tipps
Der neuste Typ dieser Malware der von Panda Software entdeckt wurde schimpft sich Downloader.DBR und will uns über einen angeblichen Selbstmord von Michael Jackson informieren.
Eine neue Episode in der Serie „Social Engineering“. Diese immer wiederkehrende Art der Verbreitung nutzt die Popularität bestimmter Persönlichkeiten und das dadurch vorhandene Interesse der Öffentlichkeit aus um möglichst viele Rechner zu infizieren.
Die Infektionsstrategie von Downloader.DBR ist kompliziert und bindet gleich mehrere weitere Malwarearten mit in: Die Nachricht, die über das Internet als Massen eMail weiter verbreitet wurde beinhaltet einen Link zu einer Webseite. Auf dieser Seite wird durch die Malware Phel.J, eine Browserschwäche ausgenutzt um die HTML Applikation Inor.AK auf den Rechner zu bringen. Das wiederum ermöglicht den Zugriff, der benötigt wird um Downloader.DBR auf dem Computer zu installieren. Damit nicht genug lädt der Trojaner nun die AU Variante des Dedler Wurms herunter, welche schließlich die schädlichen Aktionen auf dem Rechner ausführt.
Zurzeit ist Britney Spears unter den Virenautoren das beliebteste Mittel zum Zweck. Attraktive junge Prominente sind ein häufiges Lockmittel. Meistens werden dem User intime Fotos oder Videos versprochen wenn er auf bestimmte Webseiten oder Links klickt. Normalerweise ist alles was man dann erhält Malware auf dem Rechner. Weitere zurzeit häufig genutzte Namen sind Jennifer López oder Shakira. Auch Pornostars erfreuen sich immer großer Beliebtheit.
Auch Bill Gates und Osama Bin Laden werden noch häufig eingesetzt um Malware zu verbreiten. Die Titel dieser eMails lauten dann häufig auf die Ergreifung oder den Tod von Bin Laden.
Und hier das Ranking der am häufigsten genutzten Persönlichkeiten:
{code:
| Position |
Name |
| 1 |
Britney Spears |
| 2 |
Bill Gates |
| 3 |
Jennifer Lopez |
| 4 |
Shakira |
| 5 |
Osama Bin Laden |
| 6 |
Michael Jackson |
| 7 |
Bill Clinton |
| 8 |
Anna Kournikova |
| 9 |
Paris Hilton |
| 10 |
Pamela Anderson |
}
13.06.2005 | Tipps
Im heutigen Bericht gibt es ein buntes Gemisch aus Trojanern, Würmern, Hackertools und Spyware….
Amplusnet
Ist zwar ein legales und nützliches Tool, kann aber von Usern mit böswilligen Absichten zum Ausspähen von privaten Daten Dritter genutzt werden. Das Tool kann genutzt werden, um die Aktivitäten von Usern auf verschiedenen Webseiten zu beobachten. Damit das Programm bei jedem Systemstart wieder aktiv wird erstellt es einen entsprechenden Eintrag in der System Registy.
Mytob.EN und Mytob.EP
Obwohl sie zur gleichen Familie gehören zeigen sie sehr unterschiedliche Eigenschaften auf. Mytob.EP verbreitet sich als Attachment mit einer eMail und erhält via IRC Anweisungen. Mytob.EN ist die erste Variante in dieser großen Familie, die sich mit den Eigenschaften eines Trojaners verbreitet. Er nutzt Techniken wie wie sie bei Onlinebetrug oder Phishing gebraucht werden. Er sendet eMails, die anstatt eines Attachment eine URL enthalten, bei der der eMail Empfänger seine Account Details hinterlassen kann. Beim betreten der Webseite wird der Trojaner mit Backdoorcharakteristiken herunter geladen. Zusätzlich kann er die Prozesse von Antivirenlösungen beenden.
Bobax.AO und Downloader.CZR
Diese beiden arbeiten eng zusammen…Downloader.CZR verbreitete sich über verschiedene Wege und lädt den Wurm Bobax.AO herunter. Dieser Code kann über einen Remotezugriff gemanagt werden, was ihn sehr beweglich macht. Er kann Dateien herunterladen und starten, Massenmailings versenden und sich selbst updaten. Er schützt sich selbst, indem er den Zugriff auf bestimmte Webseiten verweigert, meistens die von Antivirenherstellern.
Smitfraud und Smitfraud.A
Smitfraud ist ein Spywareprogramm, das sich selbst auf dem Computer installiert, ohne dass der User etwas bemerkt. Sobald es gestartet wird ändert er den Bildschirm in einen Blue Screen und empfiehlt die Nutzung eines Antispywareprogramms um das Problem zu lösen. Das besagte Spywareprogramm wird die Lösung PSGurard installieren und schließlich die Malware erkennen. Der User muss sich jedoch registrieren, um sie desinfizieren zu können.
Smitfraud.A wird von dem Spywareprogramm genutzt um die wininet.dll Datei zu infizieren und durch die Datei oleadm32.dll zu ersetzen sobald das System wieder gestartet wird. Smitfraud ist ein weiteres Beispiel für Malware die durch CoolWebSearch herunter geladen werden wird und kann den Computer infizieren beim Ansehen von verbotenen oder „Erwachsenen“-Webseiten.
02.06.2005 | Tipps
Es kommt vor, dass ein Virenschutzprogramm einen Virus oder Wurm entdeckt und diesen gerne entfernen möchte. Doch selbst, wenn die aufpoppende Nachfrage bestätigt wird: Der virtuelle Schädling verbleibt auf der Festplatte, wird beim nächsten Mal vom Virenschutz erneut moniert. Falls das passiert, befindet sich der virtuelle Schädling höchstwahrscheinlich in einem geschützten Bereich von Windows, im „Restore“-Ordner. Hier merkt sich Windows XP Einstellungen und Dateien, die bei Beschädigungen oder beim Entfernen von Programmen zurück kopiert werden sollen.
Allerdings darf nichts und niemand, auch kein Virenschutz auf diesen Ordner schreibend zugreifen. Deshalb ist es auch nicht möglich, einen dort eventuell eingenistetes Virus zu erntfernen. Es sein denn, die „Systemwiederherstellung“ von Windows wird ausdrücklich manuell abgeschaltet. Bei diesem Vorgang werden allerdings alle im Restore-Ordner enthaltenen Dateien gelöscht – also auch eventuelle Systemzustände von Windows XP. Alle Wiederherstellungspunkte gehen verloren. Das ist jedoch nicht weiter tragisch, wenn der Rechner bereits eine ganze Weile ohne Mucken arbeitet – mit Ausnahme des Virenbefalls.
Um das blockierte Virus zu entfernen, die [Win]-Taste und die [Pause]-Taste gleichzeitig drücken. Es erscheinen die Systemeigenschaften. Danach auf „Systemwiederherstellung“ klicken. Hier lässt sich nun gezielt für alle oder einzelne Laufwerke die Systemwiederherstellung abschalten. Sofern mehrere Festplatten eingebaut sind, nur für das betroffene Laufwerk abschalten. Danach bestätigen und den Rechner neu starten. Anschließend die Systemwiederherstellung wieder einschalten. Da der Restore-Ordner nun entfernt wurde, sollte auch der virtuelle Schädling entfernt worden sein. Es empfiehlt sich aber, den Virenschutz die Festplatte untersuchen zu lassen.
02.06.2005 | Tipps
Ein neuer Onlinedienst zeigt die Bedrohung durch so genannte Zombie-PC: Gekaperte Rechner, die von Dritten zu allen möglichen Aufgaben missbraucht werden können, vor allem zum Versand von Spam.
CipherTrust, ein führendes Unternehmen im Bereich E-Mail-Sicherheit, stellt mit dem so genannten ZombieMeter einen neuen Online-Dienst zur weltweiten Beobachtung von Zombie-Aktivitäten in Echtzeit vor. Der ZombieMeter steht auf der CipherTrust Homepage zur Verfügung. Er vereinigt die Ergebnisse der fortlaufenden Forschungen von CipherTrust zur Identifizierung der neuesten Messaging-Security-Angriffe mit den Erfahrungen aus dem Schutz von weltweit mehr als 1.500 Unternehmens-Messaging-Systemen.
Ein Zombie ist ein mit einer Breitbandverbindung vernetzter Computer ohne Firewall oder Virenschutz, der ohne Wissen des Nutzers mit einem bösartigen Virus oder Wurm infiziert ist. Das betroffene Gerät startet auf Befehl beispielsweise Denial-of-Service- (DoS) Attacken oder versendet Spam und Phishing E-Mails.
Im Laufe des Monats Mai identifizierten die Analysten von CipherTrust durchschnittlich 172.009 neue Zombies pro Tag. Hiervon stammen ungefähr 20 Prozent aus den Vereinigten Staaten und 15 Prozent aus China. Für die Volksrepublik ist gegenüber der letzten Untersuchung von Ende März bis Anfang April ein leichter Rückgang um ca. 5 Prozentpunkte zu verzeichnen. Da aber an jedem Tag rund um die Welt Computer infiziert werden können, ändert sich der Ursprung der Zombie-Maschinen ständig. Wie die Studie von CipherTrust zeigt, kamen nach den USA und China in den ersten drei Mai-Wochen mit insgesamt 26 Prozent die meisten Zombies aus der Europäischen Union. Dabei entfielen 6 Prozent auf Deutschland, 6 Prozent auf Frankreich und drei Prozent auf Großbritannien.
Insgesamt verteilten sich die Zombie-Herkunftsgebiete wie folgt:
{list|1. USA: 20%
2. China: 15%
3. Süd Korea: 10%
4. Deutschland: 6%
5. Frankreich: 6%
6. Brasilien: 5%
7. Japan: 4%
8. Großbritannien: 3%
9. Spanien: 3%
10. Taiwan: 2%}
Durch Daten des weltweiten IronMail-Netzwerkes, einer Anwendung, die mehr als 10 Millionen E-Mail Accounts in Unternehmen schützt, ist der ZombieMeter von CipherTrust in der Lage stündlich die neuesten Zombies zu erkennen. Nutzer des ZombieMeters können sich rund um die Welt Real-Time-Updates der Zombie-Aktivitäten anschauen und Informationen zur Entstehung der Nachrichten und der Anzahl der durch Zombie-Aktivitäten befallenen Geräte erhalten.
Mit über 1.500 Kunden, die IronMail in ihren Unternehmen einsetzen, hat CipherTrust einen umfassenden Überblick über die gefährlichen Entwicklungen im Internet und den damit weltweit verbundenen Risiken. Mit der Schaffung des ZombieMeter verstärkt CipherTrust sein Engagement diese Informationen der E-Mail-Gemeinschaft zugänglich zu machen. Durch das Monitoring weltweiter Messaging-Aktivitäten und der Identifizierung von Verhaltensschemata, können wir prädiktiven Schutz vor Angriffen anbieten, bevor sie den Nutzer gefährden, erklärt Dr. Paul Judge, Chief Technology Officer bei CipherTrust.
Die kontinuierliche Forschung von CipherTrust bringt einen signifikanten Einblick in die Natur der Messaging-Security-Angriffe. Die preisgekrönte Anwendung IronMail wird durch diese Bemühungen immer auf dem neuesten Stand gehalten. Wesentlich für die Studie ist vor allem eine der Schlüsselkomponenten von IronMail gewesen: das E-Mail-Reputationssystems TrustedSource SM. TrustedSource basiert auf realtime Beobachtung des Unternehmens-E-Mail-Verkehrs. Es reagiert umgehend auf Veränderungen im Verhalten des Absenders und verhindert so Zombie-Attacken. Darüber hinaus ist TrustedSource ein Schlüssellieferant für die Threat Response Updates (TRU) von CipherTrust. TRU wurde entwickelt um Effektivität und Schutz der IronMail-Kunden durch Festlegung und Vorbereitung optimaler Konfigurationen für IronMail zu erhöhen.
30.05.2005 | Tipps
In dieser Woche haben Mytob.DN, Gorgs.A und PGPCoder.A vermehrt für Aufmerksamkeit gesorgt.
Mytob.DN
Dieser Wurm mit Backdoor Charakteristiken verbindet sich mit einem Server und wartet auf Anweisungen eines Remote Users. Zusätzlich lädt er weitere Malware, Faribot.A auf den infizierten Rechner herunter. Er verändert die Hosts Datei um den Zugriff auf Webseiten von Antivirenherstellern zu vermeiden.
Der Wurm verbreitet sich via LSASS Verwundbarkeit, die er über Angriffe auf zufällige IP Adressen auszunutzen versucht. Außerdem versucht er noch sich über gesammelte eMail Adressen via englischer eMail weiter auszubreiten und nutzt durch Faribot.A den MSN Messenger aus.
“ target=“_blank“>PGPCoder.A
Diese Malware hat einen neuen Trend „Ransom-Ware“ eingeleitet. Hierbei soll Geld durch Erpressung ergaunert werden. Der Trojaner verschlüsselt alle Dokumente mit DOC (Word), JPG (Bilder), XLS (Excel), HTML (Webseiten) Endung oder ZIP und RAR Formate. Die Erpressung setzt sich durch eine Text Datei mit Anweisungen für das Opfer in jedem Verzeichnis fort. Der User bekommt eine E-Mail-Adresse über die er dann sein Anliegen vortragen kann. Nach einer Zahlung von 200$ erhält man dann ein Decodierungsprogramm.
Der Inhalt der Textnachricht lautet im Einzelnen wie folgt:
{list|Some files are coded.
To buy decoder mail: n781567@yahoo.com
with subject: PGPcoder 000000000032}
Wichtig ist jetzt, seine Antivirenlösung auf den neusten Stand zu bringen. Panda Software hat die nötigen Updates bereits seinen Kunden zugängig gemacht.
18.05.2005 | Tipps
Kaspersky Lab, ein international führender Experte im Bereich IT-Sicherheit, informiert über eine neue gefährliche Modifikation des Email-Worm.Win32.Sober – Email-Worm.Win32.Sober.q.
Der Wurm wird von Maschinen herunter geladen, die bereits mit Sober.p infiziert sind. Der Wurm ist nicht in der Lage, sich selbst zu replizieren, vielmehr versendet er Spam mit rechtradikalem Inhalt an die E-Mail-Adressen, die er auf der infizierten Maschine vorfindet.
Ist Sober.q gestartet und aktiviert, kopiert er sich in das Windows Systemverzeichnis und registriert sich im Schlüssel für den Autostart des Systemregisters und im Schlüssel für den Start auszuführender Dateien. So übernimmt der Wurm bei jedem Start einer beliebigen auszuführenden Datei im infizierten System die Steuerung. Weiterhin erstellt er im Windows Systemverzeichnis einige Hilfsdateien mit diversen Namen. Anschließend scannt Sober.q das Datei-System des infizierten Computers und trägt in spezielle Dateien alle aufgefundenen E-Mail-Adressen ein, ausgenommen der Adressen führender Antivirus-Unternehmen und anderer Programmhersteller.
Das Schadprogramm führt eine Reihe von Aktivitäten durch, die auf die Standard-Aktivitäten der Wurmfamilie Sober nicht passen. Der Wurm erstellt eine Datei mit der Bezeichnung %system%\Spammer.ReadMe und dem folgenden Text in deutscher Sprache: „Ich bin immer noch kein Spammer! Aber sollte vielleicht einer werden 🙂 In diesem Sinne“. Dann verschickt das Schadprogramm an alle aufgefundenen Adressen, die zu den Domänen de, ch, at, li und gmx gehören, Briefe mit Texten rechtsradikalen Inhalts in deutscher Sprache, an alle übrigen Adressen versendet er englischsprachige E-Mails. Im Wurmkörper befindet sich ein Dutzend verschiedener Text-Versionen für den Versand dieser Art Texte.
Und schließlich, analog der Vorversionen, überprüft Sober.q regelmäßig die Systemzeit, indem er sich an einige NTP-Server wendet. Sollte das Datum dem 11. Mai 2005 oder einem späteren Datum entsprechen, so versucht das Schadprogramm, beliebige Dateien aus dem Internet zu laden. Sober.q sucht ferner im Systemspeicher nach Programmen, die in ihrer Bezeichnung die Zeilen microsoftanti, gcas, gcip, giantanti, inetupd, nod32kui, nod32, fxsob, s-t-i-n-g, hijack und sober enthalten und beendet diese.
Schutz-Prozeduren vor „Email-Worm.Win32.Sober.q“ sind bereits in der Datenbank von Kaspersky® Anti-Virus ergänzt.
Umfangreichere Informationen finden sie in unserer Virus-Enzyklopädie unter https://www.viruslist.com/de/viruses/encyclopedia?virusid=80864.
