|
W32.Sober.D@mm
Virus-Warnung -
Virus-Beschreibung
| Name: |
W32.Sober.D@mm |
| Alias: |
I-Worm.Sober.D, W32/Sober.D@mm,
W32/Roca-a, Win32/Roca.A@mm |
| Art: |
Wurm |
| Größe des Anhangs: |
33.792 Bytes (exe), 33.926 Bytes (zip) |
| Betriebssystem: |
Microsoft Windows |
| Art der Verbreitung: |
Massenmailing |
| Verbreitung: |
hoch |
| Risiko: |
mittel |
| Schadensfunktion: |
Massenmailing |
| Spezielle Entfernung: |
keine |
| bekannt seit: |
08.03.2004 |
Beschreibung:
W32.Sober.D@mm ist ein Massenmailer-Wurm, der sich
über seine eigene SMTP-Maschine
versendet.
Die Absender-Adresse wird dabei gefälscht!
Der Betreff und der Nachrichtentext ist in englisch oder in deutsch. Der Name
des Anhanges ist variabel und besitzt die Dateierweiterungen
.zip oder .exe.
Die E-Mail hat folgende Charakteristik.
Von (gefälscht; eine der folgenden):
Info@microsoft.de
Center@microsoft.de
UpDate@microsoft.de
News@microsoft.de
Help@microsoft.de
Studio@microsoft.de
Alert@microsoft.de
Patch@microsoft.de
Security@microsoft.de
Hinweis:
Die Top-Level-Domain (.de) kann auch
.at und .com sein.
Betreff (einer der folgenden):
Microsoft Alert: Please Read!
Microsoft Alarm: Bitte Lesen!
Nachrichtentext in deutsch:
Neue Virus-Variante W32.Mydoom verbreitet sich schnell.
Eine neue Mydoom-Variante verbreitet sich derzeit
rasend schnell im Internet.
Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-
Rechnern per E-Mail an weitere Adressen.
Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner!
Führende Virenspezialisten melden bereis ein vermehrtes Aufkommen des
W32.Mydoom alias W32.Novarg.
Bitte daten Sie Ihr System mit dem
Patch ab, um sich vor diesem Schädling
zu schützen!
+++ c2004 Microsoft Corporation. Alle Rechte vorbehalten.
+++ Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1
+++ 85716 Unterschleissheim, HRB 70438, DE 129 415 943
Nachrichtentext in englisch:
New MyDoom Virus Variant Detected!
A new variant of the W32.Mydoom (W32.Novarg) worm spread rapidly
through
the Internet.
Anti-virus vendor Central Command claims that 1 in 45 e-mails contains
the MyDoom virus.
The worm also has a backdoor Trojan capability.
By default, the Trojan component listens on port 13468.
Protection:
Please download this digitally signed attachment.
This Update includes the functionality of previously released patches.
+++ c2004 Microsoft Corporation. All rights reserved.
+++ One Microsoft Way, Redmond, Washington 98052
+++ Restricted Rights at 48 CFR 52.227-19
Die E-Mail hat als Anhang eine der
folgenden Dateien:
Patch
MS-Security
MS-UD
UpDate
sys-patch
Diese Dateinamen können zusätzlich eine beliebige mehrstelligen
Nummer enthalten:
Beispiel: MS-UD12345.exe oder MS-UD12345.zip
Die Erweiterung lautet .exe oder .zip.
Die Anhänge sind 33.792 Bytes (exe) oder 33.926 Bytes (zip) lang.
Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:
ini, log, mdb, tbb, abd, adb, pl, rtf, doc, xls, txt, wab, eml, php, asp,
shtml, dbx, wab, tbb, abd, adb, pl
Der Wurm kopiert sich im infizierten System unter verschiedenen Namen in das
Windows-System-Verzeichnis. Die Dateinamen werden aus folgenden
Wortteilen zusammengesetzt:
sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32
Sober.D aktiviert sich beim Systemstart mit den
Windows-Registrierungs-Schlüsseln
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Darin wird die Datei aus dem Windows-System-Verzeichnis aufgerufen.
Es wird keine infizierte E-Mail an Adressen gesendet,
die folgende Adressteile haben:
abuse
winrar
domain
host
viren
bitdefender
spybot
hotmail
detection
ewido
emsisoft
linux
google
@foo
winzip
@arin
mozilla
@iana
@avp
@msn.
microsoft
@sophos
@panda
symant
ntp- ntp@
@ntp
@kaspers
free-av
antivir
virus
verizon
@ikarus
@nai
@messagelab
clock
info@
t-online
Quelle:
BSI - Bundesamt für Sicherheit in der Informationstechnik, Bonn
| 
