Norman advarer mot Sobig

En ny e-postorm, første gang beskrevet i slutten av forrige uke, blir rangert som en høy risiko av Norman.

Norman varslet denne helgen om e-postormen W32/Sobig.A@mm, også kjent som W32/Sobig@MM, som siden lørdag har fått betydelig spredning.

Når ormen første gang eksekveres på en Windows-basert PC, kopierer den seg til Windows-katalogen ved å bruke navnet WINMGM32.EXE. Denne filen blir ved hver oppstart satt i gang av en nøkkel i registeret. Da søker den gjennom lokale filer og adressebøker for å finne e-postadresser den kan sende seg selv til.

Les også:


I tillegg forsøker ormen å laste ned en fil fra www.geocities.com. Ifølge Norman er denne filen for øyeblikket bare en tekstfil som inneholder en URL-referanse til en annen fil på en annen amerikansk server. Denne filen er en trojansk hest som åpner en bakdør. Den trojanske hesten blir lastet ned og eksekvert av Sobig.


Ifølge McAfee er det snakk om trojaneren BackDoor AOT, som gir uvedkommende tilgang til trojanerens vertsmaskin.

For å fjerne Sobig må du enten la et oppdatert antivirusprogram skanne harddiskene dine, eventuelt kan du slette den nevnte filen fra Windows-katalogen og oppføringen HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run WindowsMGM = WINMGM32.EXE fra Registeret. Hvis maskinen også er blitt infisert av trojaneren, kan også denne register-oppføringen med fordel slettes:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "MPtask Services" = C:\WINDOWS\SYSTEM\mptask.exe

Til toppen