Sobig.F: So werden Sie den lästigen Wurm wieder los!

Wird der "I-Worm.Sobig.F" durch Doppelklick aktiviert, so schreibt er sich in das Windows-Verzeichnis mit dem Namen "WINPPR32.EXE" und legt eine Konfigurationsdatei mit dem Namen "WINSTT32.DAT" im gleichen Verzeichnis ab. Um beim nächsten Systemstart aktiv zu werden, legt er Einträge in der Registry ab.

Wie der "I-Worm.Sobig.A" durchsucht auch diese neue Variante den infizierten PC nach eMail-Adressen in den Dateien .DBX, .HLP, .MHT, .WAB, .HTML und versendet sich an diese mit seiner integrierten SMTP-Engine.

Die Absenderadresse wird ebenfalls aus den gefundenen eMail-Adressen entnommen - was eine Verfolgung des tatsächlichen Absenders erschwert.

Ein infiziertes E-Mail könnte in etwa folgendes Aussehen haben:

Subject:
Re: Thank you!
Re: Details
Re: Re: My details
Re: Approved
Re: Your application
Re: Wicked screensaver
Re: That movie

Attachment:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

Text:
See the attached file for details
Please see the attached file for details

Manuelle Entfernung des Virus:

  • 1. Löschen der Registry-Einträge
  • 2. Reboot des PC
  • 3. Löschen der Dateien "WINPPR32.EXE" und "WINSTT32.DAT" aus dem Windows-Verzeichnis

Ikarus bietet ein Gratis-Entfernungstool an
Die österreichischen Virenexperten Ikarus-Software stellen darüberhinaus auf ihrer Homepage ein Gratis-Tool zum Download bereit, dass den Virus erfolgreich bekämpfen soll.

(apa/red)