######################################################################

             CERT-Bund  --  Warn- und Informationsdienst             

######################################################################

            INFORMATION ZU PROGRAMMEN MIT SCHADFUNKTIONEN

              ID: CB-V05/0007
           Titel: neue Sober Varianten im Umlauf
           Datum: 15.11.2005
            Name: W32.Sober.S@mm
           Alias: W32/Sober-R [Sophos],
                  W32/Sober.v@MM, [McAfee],
                  Worm/Sober.V [H+BEDV]
             Art: Wurm
     Dateianhang: variable Groesse 127.888 Bytes (services.exe)
  Betriebssystem: Microsoft Windows
     Verbreitung: Massenmailing
Verbreitungsgrad: hoch
          Risiko: mittel
Schadensfunktion: Massenmailing und Beenden von Stinger-Prozessen
    Bekannt seit: 15.11.2005
      Entfernung: aktuelle Virensignaturen

######################################################################

W32.Sober.S@mm ist ein Massenmailer-Wurm, der sich ueber seine eigene SMTP-Maschine mit gefaelschten Absender-Adressen versendet. Prozesse mit dem Namen Stinger.exe werden beendet und dem Benutzer eine Meldung in der Form "No Viruses, or Trojans or Spyware found! Status: OK"
anzeigt.

Neben dem Wurm W32.Sober.S@mm sind die beiden Trojaner DR/Sober.W [H+BEDV] und DR/Sober.X [H+BEDV] bekannt, die eine aehnliche Funktionsweise wie W32.Sober.S@mm haben. Sie fungieren als Dropper.

Der Betreff ist in Englisch oder in Deutsch und beinhaltet den Text "Thanks for your registration", "Hi, ich bin`s", "Your email", "Haben Sie diese E-Mail verschickt", "Registration Confirmation" oder "Ihre eMail!" Der Name des Anhanges ist variabel (reg_text.zip, excel_table.zip, registration.zip, word-text.zip und Liste.zip) und besitzt die Dateierweiterungen .zip.