W32.Sober.F@mm
Virus-Warnung - Virus-Beschreibung
| Name: | W32.Sober.F@mm |
| Alias: | W32/Sober.f@MM [McAfee], Win32.Sober.F [Computer Associates], W32/Sober-F [Sophos], WORM_SOBER.F [Trend] |
| Art: | Wurm |
| Größe des Anhangs: | 42.496 Bytes |
| Betriebssystem: | Microsoft Windows |
| Art der Verbreitung: | Massenmailing |
| Verbreitung: | hoch |
| Risiko: | mittel |
| Schadensfunktion: | Massenmailing, lädt Programm aus dem Internet nach |
| Spezielle Entfernung: | Tool |
| bekannt seit: | 03.04.2003 |
Beschreibung:
W32.Sober.F@mm ist ein Internet-Wurm, der sich mit seiner eigenen SMTP-Maschine verbreitet.
Die E-Mail hat folgende Charakteristik:
Von:
Webmaster
Fehler-Info
Administrator
RobotMailer
AutoMailer
Register
Service
Info
Passwort
Kundenservice
Liste
Schwarze-Liste
Information
Administrator
Webmaster
Home
Register
Service
Info
admin
Error_Info
RobotMailer
AutoMailer
User-info
account
webmaster
oder eine Adresse aus Benutzername, gefolgt von:
@abuse.de
@yahoo.com
@yahoo.de
@gmx.de
@gmx.net
@web.de
@freenet.de
@lycos.de
Betreff:
Einzelheiten
Hallo Du!
Hallo!
Hey Du
Hi, Ich bin's
Ich bin es .-)
Verdammt
Na, überrascht?!
Info
Information
Fehlerhafte Mailzustellung
Mailzustellung fehlgeschlagen
Fehler
Illegale Zeichen in Mail-Routing
Verbindung fehlgeschlagen
Fehler in E-Mail
Bestätigung
Registrierungs-Bestätigung
Ihr neues Passwort
Ihr Passwort
Datenbank-Fehler
Warnung!
Details
Oh my God
Hey
Hi!
Hi, it's me
hey you
damn!
Well, surprised?
Info
Information
Faulty mail delivery
Mail delivery failed
Mail Error
Illegal signs in Mail-Routing
Connection failed
Invalid mail sentence length
Mail Delivery failure
Message Error
mail delivery status
Confirmation Required
Bad Gateway
Warning!
Your document
Nachricht:
Ich war auch ein wenig
überrascht!
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann
Alles klaro bei dir?
Schau mal was Ich gefunden habe!
Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben
ist!
Bye
Ich habs dir doch gesagt, irgendwann schaffe ich es
deine Passwörter rauszubekommen!!!
Passwoerter.txt
Details entnehmen Sie bitte dem Attachment
Nähere Informationen befinden sich im Anhang.
*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte überprüfen Sie nochmals diese E-Mail auf mügliche Fehlerquellen.
attach: AMD-System.txt
* End Transmission
Virenschutz
--- Web: http:/ /www.<randomly choosen domain>
--- Mail To: User-Hilfe
Passwort und Benutzername wurde erfolgreich geändert
Ihre Benutzernamen und Passwörter befinden sich im Anhang dieser
E-Mail
++++ Im www erreichbar unter: http:/ /www.<randomly choosen domain>
++++ E-Mail: KundenInfo
Wegen eines Datenbank- Fehlers könnte es möglicherweise
zu einem Verlust Ihrer persönlichen Daten wie Kennwörter gekommen sein.
Wenn Sie Unregelmäßigkeiten festgestellt haben, melden Sie uns bitte umgehend
den Datenverlust.
Vielen Dank für Ihr Verständnis
+++ Ein Service von
+++ http:/ /www.<randomly choosen domain>
+++ E-Mail: Kundenservice
Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:
I was surprised, too! :-(
Who could suspect something like that?
All OK :)
see, what i've found!
hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
bye
I 've told you!:-) sometime I grab your passwords!
I hope you accept the result!
Follow the instructions to read the message.
Please read the document
Registration confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.
++++ Service: http:/ /www.<randomly choosen domain>
++++ Mail To: User-info
*** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said:_554_delivery_error:
_dd_Sorry_your_message_cannot_be_delivered._This_account_has_been_disabled_
or_discontinued_[#102]._-_mta134.mail.dcn.com *** this line has been modified by
Symantec for the purpose of formatting ***
** End of Transmission
The original message is a separate attachment.
--- Web: http:/ /www.<randomly choosen domain>
--- Mail To: User-Hilfe
Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of <randomy choosen domain>
+++ http:/ /www.<randomly choosen domain>
+++ Mail: home
The message has been attached.
Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha
Anybody use your accounts!
For further details see the attachment.
I have received your document. The
corrected document is attached.
greets
Name des Anhangs: (Datei hat als Erweiterung .pif oder .zip)
Oh-Mann
Dokument
KurzText
AntiVirus-Text
Anleitung
Passwoerter.txt
Text-Inhalt
AMD-System.txt
Benutzer-Daten
Datenbank-Fehler
abuse-liste
schwarze-listen
Block-Lists
anitv_text
instructions
your_article
your_passwords
messagedoc
corrected_text-file
attach-message
<random>-attachment
<random>_attach
pass-message
text
Textdocument
Infektion des Systems
Der Wurm kopiert sich im infizierten System unter
%System%\<unterschiedlicherName>.exe
Der Dateiname <unterschiedlicherName> ist einer der folgenden
sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32
Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen
Dateipfad enthält. %System% bezeichnet das Systemverzeichnis von Windows und ist
in den verschiedenen Versionen unterschiedlich (Beispiel:C:\Windows\System oder
C:\Winnt\System32).
Mit dem Registrierungs-Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\<unterschiedlicherName> = %System%\<unterschiedlicherName>.exe
und
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce\<unterschiedlicherName> = %System%\<unterschiedlicherName>.exe %1
wird Sober.F beim Rechnerstart aktiviert.
Bei Windows XP wird zusätzlich fogender Schlüssel angelegt:
HKEY_USERS\S-1-5-21-??????????-??????????-?????????-???\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run
Sober.F legt folgende Dateien an:
%System%\zmndpgwf.kxx
%System%\zhcarxxi.vvx
%System%\bcegfds.lll
%System%\syst32win.dll
%System%\winsys32xx.zzp
%System%\winhex32xx.wrm
%System%\spoofed_recips.ocx
Verbreitung:
Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:
abc, abd, abx, adb, ade, adp, adr, asp, bas, cfg, cgi, cls, ctl, dbx, dhtm, doc, dsp, dsw, eml, fdb, frm, hlp, ini, jsp, ldb, ldif, log, mbx, mda, mdb, mde, mdw, mdx, mht, mmf, msg, nab, nch, nfo, nsf, ods, oft, php, pl, pp, ppt, pst, rtf, shtml, sln, tbb, txt, uin, vap, vbs, wab, wsh, xls, xml
Gefundene Adressen werden in der Datei %System%\syst32win.dll gespeichert.
Bei den Betriebssystemen Windows ME oder XP, muß vor der
Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muß der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP
Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine
Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools
und durchsuchen Sie damit den Computer.
Symantec (FixSober.exe)
Direkt-Download
oder
Download mit englischer Beschreibung
NAI (Stinger.exe):
Direkt-Download
oder
Download mit englischer Beschreibung
