W32.SoberA@mm
Virus-Warnung - Virus-Beschreibung
| Name: | W32.Sober@mm |
| Alias: | Sober [F-Secure] W32/Sober@mm [McAfee] Worm_Sober.A [TrendMicro] Win32/Sober-A [Sophos] |
| Art: | Wurm |
| Größe des Anhangs: | 63.488 (variiert) (upx-gepackt) |
| Betriebssystem: | Microsoft Windows |
| Art der Verbreitung: | Massenmailing, Netzwerk |
| Verbreitung: | mittel - hoch |
| Risiko: | mittel |
| Schadensfunktion: | Massenmailing |
| Spezielle Entfernung: |
|
| bekannt seit: | 24.Oktober 2003 |
Beschreibung:
W32.Sober@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen SMTP-Maschine an Adressen, die er auf dem Rechner findet versendet.
Achtung: Aufgrund der deutschen Betreffzeilen werden von vielen Empfängern die beigefügten Dateien durch Doppelklick aktiviert, was zu einer höheren Verbreitung in Deutschland führt.
Eine infizierte E-Mail hat eine der folgenden Betreffzeilen:
- Neuer Virus im Umlauf!
- Sie versenden Spam Mails (Virus?)
- Ein Wurm ist auf Ihrem Computer!
- Langsam reicht es mir
- Sie haben mir einen Wurm geschickt!
- Hi Schnuckel was machst du so ?
- VORSICHT!!! Neuer Mail Wurm
- Re: Kontakt
- RE: Sex
- Sorry, Ich habe Ihre Mail bekommen
- Hi Olle, lange niks mehr geh
- Re: lol
- Viurs blockiert jeden PC (Vorsicht!)
- _berraschung
- Ich habe Ihre E-Mail bekommen !
- Jetzt rate mal, wer ich bin !?
- Neue Sobig Variante (Lesen!!)
- Back At The Funny Farm
- Ich Liebe Dich
- New internet virus!
- You send spam mails (Worm?)
- A worm is on your computer!
- Now, its enough
- You have sent me a virus!
- Hi darling, what are you doing now?
- Be careful! New mail worm
- Re: Contact
- Sorry, Ive become your mail
- Hey man, long not see you
- Viurs blocked every PC (Take care!)
- Surprise
- Ive become your mail!
- Advise who I am!
- New Sobig-Worm variation (please read)
- I love you (Im not a virus!)
und enthält einen der folgenden Anhänge:
- anti-Sob.bat
- Anti-Sob.bat
- anti-trojan.exe
- anti_virusdoc.pif
- AntiTrojan.exe
- AntiVirusDoc.pif
- Bild.scr
- check-patch.bat
- Check-Patch.bat
- CM-recover.com
- CM-Recover.com
- funny.scr
- Funny.scr
- Hengst.pif
- Liebe.com
- little-scr.scr
- love.com
- Mausi.scr
- nacked.com
- NackiDei.com
- NAV.pif
- Odin_Worm.exe
- perversion.scr
- Perversionen.scr
- pic.scr
- playme.exe
- potency.pif
- Privat.exe
- private.exe
- removal-tool.exe
- Removal-Tool.exe
- robot_mail.scr
- robot_mailer.pif
- RobotMailer.com
- schnitzel.exe
- screen_doc.scr
- Screen_Doku.scr
- security.pif
Beim Ausführen des E-Mail-Anhangs wird der Wurm in das Systemverzeichnis des Rechners (Standard-Einstellung: Windows 95/98/Me/XP: C:\Windows\System32; Windows NT/2000: C:\Winnt\System32) unter einem der folgenden Namen abgelegt:
- drv.exe
- similare.exe
- systemchk.exe
- systemini.exe
- winreg.exe
- filexe.exe
- sysrunll.exe
- Macromed\Help\Media.dll (das Verzeichnis %SYSTEM%\Macromed\Help wird vom Wurm angelegt.
Durch einen Eintrag in der Registrierung wird dafür gesorgt, dass bei jedem Neustart des Rechners der Wurm mitgestartet wird. Dann versendet er sich selbst.
Ein weiteres Erkennungszeichen des Wurmes ist die folgende zusammenhangslose Fehlermeldung, die bei Ausführen des Wurms auf dem Rechner angezeigt wird.
Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
