|
|
W32.Sober.C@mm
Virus-Warnung - Virus-Beschreibung
|
Name: |
W32.Sober.C@mm |
|
Alias: |
WORM_SOBER.C [Trend], |
|
Art: |
Wurm |
|
Größe des Anhangs: |
variabel |
|
Betriebssystem: |
Microsoft Windows |
|
Art der Verbreitung: |
Massenmailing |
|
Verbreitung: |
hoch |
|
Risiko: |
hoch |
|
Schadensfunktion: |
Massenmailing |
|
Spezielle Entfernung: |
|
|
bekannt seit: |
20. Dezember 2003 |
Beschreibung:
W32.Sober.C@mm ist ein Massenmailer-Wurm,
der sich über seine eigene
SMTP-Maschine
versendet.
Die Absender-Adresse wird dabei gefälscht!
Der Betreff ist in Englisch oder in
Deutsch. Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen
.bat, .com, .cmd, .exe, .pif oder .scr.
Wird der Wurm aktiviert geschieht folgendes:
1. Der Wurm kopiert sich selbst unter "<zufälligername>" in das Windows-Systemverzeichnis.
2. Danach durchsucht er das System nach E-Mail-Adressen in Dateien mit folgenden Dateierweiterungen:
|
.htt |
.cfg |
.dsw |
und speichert diese im
Windows-Systemverzeichnis unter dem Namen savesyss.dll.
Die gefundenen E-Mail-Adressen werden dann für die Weiterverbreitung verwendet.
3. Ein neuer Wert "<zufälliger Text>"="<zufälliger Pfad und Dateiname>" wird den beiden folgenden Registrierungsschlüsseln zugewiesen:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Durch den Eintrag in die Registry wird der Wurm beim jedem Start des Systems aktiviert.
4. Bei der ersten Aktivierung des Wurms erscheint folgende Meldung:
5. Die E-Mail hat eine der folgenden Betreffs und eine der folgenden Anhänge:
Betreff:
Betr:
Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Deutschland sucht den ...
RTL: DSDS
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
AnmeldebestStigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
ups, i've got your mail
Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Anhang:
www.free4manga.com
www.free4share4you.com
www.tagespolitik-umfragen.com
www.iq4you-german-test.com
www.freewantiv.com
www.free4share4you.com
www.onlinegamerspro-worm.com
www.freegames4you-gzone.com
www.anime4allfree.com
www.animepage43252.com
aktenz#####.txt.*
alledigis.*
DrohMails.*
haha_sehr_witzig.*
Klassenfoto.*
Kundendat####BaB.*
remove-lsass.*
remove-smss.*
SysDial-patch.*
Zugangsdaten.*
downloader.*
yourmail.*
Wobei:
# beliebige
Ziffer
* Dateierweiterung txt., doc, bat, cmd, pif, scr, exe, com
Hinweise zur Entfernung des Wurms
Wenn Ihr Betriebssystem Windows ME oder XP ist, müssen Sie vor der Entfernung die Systemwiederherstellung deaktivieren.
Den Wurm auf einem infizierten Rechner lokalisieren und entfernen können Sie über ein kostenloses Entfernungstool von
NAI : Laden Sie von den
NAI-Seiten die Datei stinger.exe (Direkt-Download
oder Download mit
Informationen
)
oder
von Bitdefender:
(Download mit
Informationen)
------------
Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
