das ist kein Spaß, ich hatte das Ding auch...
In Antwort auf:
Meldung vom 27.10.2003
Quizfrage: Was ist Ihre erste Reaktion, wenn jemand behauptet, einen Beweis für Ihren Spam- oder Virenversand zu haben? Richtig: Sie wollen den angeblichen Beweis sehen. Und statt des Beweises steckt in der Mail-Beilage ein Wurm drin. Der Sober-Wurm baut auf Psychologie, wie so viele andere Würmer zuvor.
Die bisher bekannten Würmer bedienten sich schon stark der Psychologie. Unglücklich Verliebte sahen ihre Hoffnungen mit Betreffzeilen wie «I love you» erfüllt und fingen sich den Loveletter-Wurm ein. Viele männliche Mail-Benutzer wurden durch angebliche Sex-Bilder von Promi-Frauen zum Öffnen von Mail-Beilagen verleitet und durften danach den Anna-Kournikova-Wurm loswerden. Und fast das ganze Jahr 2003 wurde beherrscht von gefälschten Microsoft-Updates, die nur den Swen- oder Dumaru-Wurm bescherten.Der schon recht weit verbreitete Wurm namens «Sober» bedient sich einer neuen psychologischen «Öffne-Mich»-Masche: Seine Mails behaupten, Sie hätten Viren oder Spam verschickt; und der Beweis stecke in der Beilage. Da die Betreffzeilen und Mailtexte auch noch in Deutsch sind, könnten sich sogar fortgeschrittene Benutzer zum Öffnen der Beilage verleiten lassen.
Die ersten Informationen, die wir über diesen Wurm fanden, stammen von F-Secure [1]. Die Mails, in denen sich der Sober-Wurms verbreitet, haben diese Kennzeichen:
Eine dieser Betreff-Zeilen:
Neuer Virus im Umlauf!
Back At The Funny Farm
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
_berraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Ich Liebe Dich
Und der Name der Beilage könnte einer von diesen sein:
AntiVirusDoc.pif
Check-Patch.bat
Screen_Doku.scr
Removal-Tool.exe
Perversionen.scr
CM-Recover.com
Bild.scr
schnitzel.exe
robot_mail.scr
RobotMailer.com
Privat.exe
AntiTrojan.exe
Mausi.scr
NackiDei.com
Anti-Sob.bat
security.pif
Funny.scr
Liebe.com
Odin_Worm.exe
check-patch.bat
anti_virusdoc.pif
perversion.scr
removal-tool.exe
screen_doc.scr
potency.pif
CM-Recover.com
pic.scr
playme.exe
robot_mailer.pif
private.exe
anti-trojan.exe
love.com
nacked.com
anti-Sob.bat
NAV.pif
funny.scr
little-scr.scr
Wer sich verleiten lässt, die Beilage auszuführen, erlaubt dem Wurm, sich im System zu installieren. Dies äussert sich darin, dass der Wurm Dateien auf der Festplatte ablegt und ein paar Einträge in der Windows-Registry ändert oder hinzufügt.
Die Einträge in der Registry finden in einem oder in beiden dieser Registry-Zweige statt:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
oder
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Darin finden sich Verweise auf eine dieser Dateien, die der Wurm im Windows-System-Ordner (z.B. C:\Windows\System32\) ablegen könnte und die Kopien des Wurms sind:
drv.exe
similare.exe
systemchk.exe
sysrunll.exe
winreg.exe
filexe.exe
Der Wurm verbreitet sich danach mit den oben erwähnten Eigenschaften an gefundene Mail-Adressen weiter.
Um den Sober-Wurm loszuwerden, müssen Sie die von ihm erstellten Registry-Einträge löschen, ebenso wie die von ihm angelegten Dateien. Bis Montag-Abend, dem 27. Okt. 2003 sollten eigentlich alle Antivirus-Hersteller den Wurm aufspüren können.
McAfee kennt den Wurm auch bereits als W32/Sober@MM [2], Norton als W32.Sober@mm [3] und Kaspersky als I-Worm.Sober. (sal)
Link(s) aus dem Artikel:
http://www.f-secure.com/v-descs/sober.shtml
http://vil.nai.com/vil/content/v_100778.htm
http://www.sarc.com/avcenter/venc/data/w32.sober@mm.html
URL dieses Artikels: http://www.pctipp.ch/helpdesk/virenticker/archiv/25587.asp
Sie sind vermutlich noch nicht im Forum angemeldet - Klicken Sie hier um sich kostenlos anzumelden
Offline
