Nickles - Team Seti 1.753 Themen, 10.321 Beiträge

W32.Sober

triff / 1 Antworten / Flachansicht Nickles

Name: W32.Sober@mm
Alias: Sober [F-Secure]
W32/Sober@mm [McAfee]
Worm_Sober.A [TrendMicro]
Win32/Sober-A [Sophos]
Art: Wurm
Größe des Anhangs: 63.488 (variiert) (upx-gepackt)
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing, Netzwerk
Verbreitung: mittel - hoch
Risiko: mittel
Schadensfunktion: Massenmailing
Spezielle Entfernung: Tool
bekannt seit: 24.Oktober 2003

Beschreibung:

W32.Sober@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen SMTP-Maschine an Adressen, die er auf dem Rechner findet versendet.

Wichtiger Hinweis:
Bei der Verbreitung des Wurms werden immer gefälschte Absender Adressen verwendet.

Achtung: Aufgrund der deutschen Betreffzeilen werden von vielen Empfängern die beigefügten Dateien durch Doppelklick aktiviert, was zu einer höheren Verbreitung in Deutschland führt.

Eine infizierte E-Mail hat eine der folgenden Betreffzeilen:

* Neuer Virus im Umlauf!
* Sie versenden Spam Mails (Virus?)
* Ein Wurm ist auf Ihrem Computer!
* Langsam reicht es mir
* Sie haben mir einen Wurm geschickt!
* Hi Schnuckel was machst du so ?
* VORSICHT!!! Neuer Mail Wurm
* Re: Kontakt
* RE: Sex
* Sorry, Ich habe Ihre Mail bekommen
* Hi Olle, lange niks mehr geh
* Re: lol
* Viurs blockiert jeden PC (Vorsicht!)
* _berraschung
* Ich habe Ihre E-Mail bekommen !
* Jetzt rate mal, wer ich bin !?
* Neue Sobig Variante (Lesen!!)
* Back At The Funny Farm
* Ich Liebe Dich
* New internet virus!
* You send spam mails (Worm?)
* A worm is on your computer!
* Now, its enough
* You have sent me a virus!
* Hi darling, what are you doing now?
* Be careful! New mail worm
* Re: Contact
* Sorry, Ive become your mail
* Hey man, long not see you
* Viurs blocked every PC (Take care!)
* Surprise
* Ive become your mail!
* Advise who I am!
* New Sobig-Worm variation (please read)
* I love you (Im not a virus!)

und enthält einen der folgenden Anhänge:

* anti-Sob.bat
* Anti-Sob.bat
* anti-trojan.exe
* anti_virusdoc.pif
* AntiTrojan.exe
* AntiVirusDoc.pif
* Bild.scr
* check-patch.bat
* Check-Patch.bat
* CM-recover.com
* CM-Recover.com
* funny.scr
* Funny.scr
* Hengst.pif
* Liebe.com
* little-scr.scr
* love.com
* Mausi.scr
* nacked.com
* NackiDei.com
* NAV.pif
* Odin_Worm.exe
* perversion.scr
* Perversionen.scr
* pic.scr
* playme.exe
* potency.pif
* Privat.exe
* private.exe
* removal-tool.exe
* Removal-Tool.exe
* robot_mail.scr
* robot_mailer.pif
* RobotMailer.com
* schnitzel.exe
* screen_doc.scr
* Screen_Doku.scr
* security.pif

Beim Ausführen des E-Mail-Anhangs wird der Wurm in das Systemverzeichnis des Rechners (Standard-Einstellung: Windows 95/98/Me/XP: C:\\Windows\\System32; Windows NT/2000: C:\\Winnt\\System32) unter einem der folgenden Namen abgelegt:

* drv.exe
* similare.exe
* systemchk.exe
* systemini.exe
* winreg.exe
* filexe.exe
* sysrunll.exe
* Macromed\\Help\\Media.dll (das Verzeichnis %SYSTEM%\\Macromed\\Help wird vom Wurm angelegt.

Durch einen Eintrag in der Registrierung wird dafür gesorgt, dass bei jedem Neustart des Rechners der Wurm mitgestartet wird. Dann versendet er sich selbst.

Ein weiteres Erkennungszeichen des Wurmes ist die folgende zusammenhangslose Fehlermeldung, die bei Ausführen des Wurms auf dem Rechner angezeigt wird.

Fehlermeldung W32.Sober@mm



Hinweise zur Entfernung des Wurms

Suchen und Entfernen des Wurms über ein kostenloses Entfernungstool von

NAI : Laden Sie von den NAI-Seiten die Datei stinger.exe (Direkt-Download externer Link oder Download mit Informationen externer Link).



Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, daß die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

(Erstellt: 27.10.2003, geändert: 30.10.2003)

bei Antwort benachrichtigen
REPI triff „W32.Sober“
Optionen

1. Du bist im falschen Forum !
2. Ich habe Linux !



repi

Es empfiehlt sich immer, etwas Linux im Hause zu haben.
bei Antwort benachrichtigen