Nieuwe variant van Sober-worm zeer actief
Datum: 22 februari 2005
Omschrijving
Er is een nieuwe variant van de Sober-worm, bekend onder de namen Sober.K en Sober.I. Deze variant ontvangt u in een
e-mailbericht met een Duitse of een Engelse tekst. Het e-mailbericht kan verschillende teksten bevatten. Het bericht bevat
als bijlage een .zip bestand, waarin het virus is verpakt.
Mogelijke onderwerpen van het e-mailbericht zijn:
- Alert! New Sober Worm!
- EMail-Empfang fehlgeschlagen
- Ihr neues Passwort
- Ihr Passwort wurde geaendert
- Paris Hilton Nackt!
- Paris Hilton, pure!
- Paris Hilton SexVideos
- Seitensprung gesucht?
- Vorsicht! Neuer Sober Wurm!
- You visit illegal websites
- Your new Password
Hoe kan mijn computer besmet raken?
Uw computer raakt besmet wanneer u de bijlage van het e-mailbericht opent.
Hoe voorkom ik dat mijn computer besmet raakt?
Om besmetting tegen te gaan, moet u geen bijlagen van e-mails die u niet verwacht openen, ook als deze verstuurd lijken te zijn door bekenden.
- Zorg ervoor dat uw anti-virusprodukt up-to-date is en voer een complete scan uit van uw systeem.
- Installeer een firewall op uw computer. Met behulp van een dergelijk programma kunt u controleren of een worm contact
wil maken met andere computers.
- Beveilig uw e-mailprogramma zodat virussen en wormen minder kans hebben om op uw computer binnen te dringen.
Wat gebeurt er als mijn computer besmet is?
Hoe weet ik of mijn computer besmet is?
Controleer op de aanwezigheid van de volgende bestanden. Wanneer een of meer van deze bestaan, dan is uw computer besmet.
%Windir% staat hier voor de Windowsmap.
Dit is de map C:\Windows\(Windows 95/98/Me/XP), C:\Winnt\(Windows NT/2000).
- %windir%\MSAGENT\WIN32\DATAMX1.DAT
- %windir%\MSAGENT\WIN32\DATAMX2.DAT
- %windir%\MSAGENT\WIN32\DATAMX3.DAT
- %windir%\MSAGENT\WIN32\GOTO1.DAT
- %windir%\MSAGENT\WIN32\GOTO2.DAT
- %windir%\MSAGENT\WIN32\GOTO3.DAT
- %windir%\MSAGENT\WIN32\ZIPEDSO1.BER
- %windir%\MSAGENT\WIN32\ZIPEDSO2.BER
- %windir%\MSAGENT\WIN32\ZIPEDSO3.BÉR
- %windir%\MSAGENT\WIN32\CSRSS.EXE
- %windir%\MSAGENT\WIN32\DATAMX1.DAT
- %windir%\MSAGENT\WIN32\DATAMX2.DAT
- %windir%\MSAGENT\WIN32\DATAMX3.DAT
- %windir%\MSAGENT\WIN32\GOTO1.DAT
- %windir%\MSAGENT\WIN32\GOTO2.DAT
- %windir%\MSAGENT\WIN32\GOTO3.DAT
- %windir%\MSAGENT\WIN32\RUNNOWSO.BER
- %windir%\MSAGENT\WIN32\SMSS.EXE
- %windir%\MSAGENT\WIN32\WINLOGON.EXE
- %windir%\MSAGENT\WIN32\ZIPEDSO1.BER
- %windir%\MSAGENT\WIN32\ZIPEDSO2.BER
- %windir%\MSAGENT\WIN32\ZIPEDSO3.BER
- %windir%\MSAGENT\WIN32\GOTO3.DAT
- %windir%\MSAGENT\WIN32\RUNNOWSO.BER
- %windir%\MSAGENT\WIN32\SMSS.EXE
- %windir%\MSAGENT\WIN32\WINLOGON.EXE
- %windir%\MSAGENT\WIN32\ZIPEDSO1.BER
- %windir%\MSAGENT\WIN32\ZIPEDSO2.BER
- %windir%\MSAGENT\WIN32\ZIPEDSO3.BER
- %windir%\system32\NONRUNSO.BER (0bytes)
- %windir%\system32\READ.ME (96bytes - harmless ACSII file)
- %windir%\system32\STOPRUNS.ZHZ (0 bytes)
Controleer op de aanwezigheid van de volgende register-sleutels. Wanneer deze aanwezig zijn, dan is uw computer besmet.
- HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Run "_winsystem.sys" =%WINDIR%\ MSAGENT\ WIN32\SMSS.EXE
- HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run "_winsystem.sys" = %WINDIR%\ MSAGENT\ WIN32\ SMSS.EXE
Wat moet ik doen als mijn computer besmet is?
Verwijder de worm via uw anti-virusprogramma. Zorg ervoor dat uw scanner eerst is voorzien van de laatste updates.
In het uiterste geval kunt u ook de hierbovengenoemde bestanden verwijderen en de computer herstarten.
Dit zorgt in ieder geval ervoor dat het virus niet meer actief is op de computer.
Voordat u gegevens uit het register verwijdert, is het raadzaam om een backup te maken van het register. Meer over het
maken van een back-up leest u hier. Indien u geen ervaringen heeft met het verwijderen van sleutels uit het register,
raden wij u aan om de aanpassingen uit te laten voeren door personen die gespecialiseerd zijn in Microsoft Windows.
Bron: waarschuwingsdienst
|
