spyware-info.de Alles über Viren, Spyware und Trojaner

Sie befinden sich hier: News / Sober.Q löschen
Startseite Was ist Spyware? Trojaner Anti-Spyware Software Spyware löschen So schützen Sie Ihren PC Hier werben Kontakt Impressum
 

 


 

PC-Wurm Sober.Q entfernen

Jeder Rechner, der mit dem seit Anfang Mai verbreiteten Wurm Sober.P infiziert sind, versendet Spam-eMails mit übler rechter Propaganda. Sober.Q, der zuvor auch als "WM-Ticket-Wurm" bekannt war, lädt ein Trojanisches Pferd herunter, das diese unerwünschten Mails verschickt.
Dieses wird von Antivirus-Herstellern teilweise als weitere neue Sober-Variante klassifiziert (etwa "Sober.Q" bei McAfee), zum Teil wird dieser auch unter einem anderen Namen geführt. So bezeichnet Symantec den spammenden Wurm als "Trojan.Ascetic.C", während AntiVir ihn als "TR/Spam.Sober.Q" erkennt und vernichtet.

Der Wurm kopiert sich in das Windows-Verzeichnis

Sober.Q erstellt im Windows-Verzeichnis ein Unterverzeichnis mit dem Namen "help/help" und kopiert sich mit den Dateinamen "csrss.exe", "services.exe" und "smss.exe" dort hinein. Die Dateien haben eine Größe von 53.801 Bytes. Er legt in diesem Verzeichis noch weitere Dateien an, die lokal gefundene Mail-Adressen enthalten.

In der Registry des Computers legt der Wurm folgenden Eintrag an:
 
"SystemBoot = %Windir%\Help\Help\services.exe"

Somit wird er beim Start von Windows automatisch geladen. Im Windows-System-Verzeichnis erstellt Sober.Q eine Textdatei mit der Bezeichnung "Spammer.ReadMe", in der sein Programmierer mitteilt, er sei kein Spammer, könne jedoch einer werden. Am 27.05. soll Sober.Q eine weitere neue Variante nachladen. Daher ist Vorsicht geboten, sofern man über keine aktuelle Anti-Virensoftware verfügt.

Der am Pfingstsonntag erstmals in Aktion getretene Sober.Q versendet eMails mit gefälschten Absenderangaben, die Links zu Web-Seiten mit zum Teil rechtem Propagandamaterial enthalten, teils sind es Artikel in eher unverdächtigen Medien wie "Spiegel", ZDF oder "taz". Diese Mischung soll vermeintlich den Eindruck erzeugen, alle verlinkten Inhalte wiesen einen vergleichbaren Wahrheitsgehalt auf. Einige der verlinkten Seiten lagen offenbar auf Servern, deren Betreiber sich mit den Inhalten nicht wirklich identifizieren mochten. Diese Links laufen dann ins Leere.

Betreffzeilen hetzen auf übelste Art gegen Ausländer

Schon mit den Betreffzeilen wie "Massenhafter Steuerbetrug durch ausländische Arbeitnehmer", "Ausländer bevorzugt" oder "4,8 Mill. Osteuropäer durch Fischer-Volmer Erlass" wird gegen Ausländer gehetzt.

Schon vor einiger Zeit verbreitete Sober.G rechte Propaganda

Bereits im Juni 2004 gab es einen sehr ähnlichen Fall. Damals war es zunächst Sober.G, der sich per Mail verbreitete und einige Wochen später einen Spam versendenden Schädling installierte. Dieser verbreitete dann Nazi-Propaganda. Er wurde damals meistens als "Sober.H" bezeichnet, Symantec benannte ihn bald in "Trojan.Ascetic.A" um.

Quelle: spyware-info.de / America Online





Nachrichten zum Thema Spyware, Viren und Malware:
17.05.2005 : Keine Nachrichten zum Thema gefunden
Tipps & Empfehlungen zu diesem Thema:
Sober.Q löschen


 
Spyware-Hilfe Online