1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen

Achtung Viren-Warnung

Dieses Thema im Forum "Kaffeeklatsch" wurde erstellt von gisela, 13. Januar 2004.

  1. gisela

    gisela kleine Käsemaus

    Registriert seit:
    30. April 2003
    Beiträge:
    3.078
    Zustimmungen:
    1
    Hallo an alle,
    zur Zeit geht anscheinend der unten genannte Virus um. Ich habe heute schon zwei solche Mails gelöscht. Falls jemand unter meinem Namen "GiselaWeltin" Mails mit blöden Betreffs bekommen hat (sorry), bitte sofort löschen. Allerdings ist mein Rechner lt. Virenscan-Programm Viren und Seuchen frei... Die Mails müssen von Anderen, die mich im in Ihren Mailinglisten (Outlook-Adressen) eingetragen haben, verbreitet worden sein.


    Virenfreie Grüße
    gisela


    Beschreibung des Virus!!!!!!!!!!!!!!!!!!!!
    --------------------------------------------------------------------------------
    Name: W32.Sober.C@mm
    Alias: WORM_SOBER.C [Trend],
    W32/Sober.c@MM [McAfee]
    Art: Wurm
    Größe des Anhangs: variabel (mindest Größe 74,346 Bytes)
    Betriebssystem: Microsoft Windows
    Art der Verbreitung: Massenmailing
    Verbreitung: hoch
    Risiko: mittel
    Schadensfunktion: Massenmailing
    Spezielle Entfernung: Tool
    bekannt seit: 20. Dezember 2003

    Beschreibung:

    W32.Sober.C@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine versendet.
    Die Absender-Adresse wird dabei gefälscht!

    Der Betreff ist in Englisch oder in Deutsch. Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen
    .bat, .com, .cmd, .exe, .pif oder .scr.

    Wird der Wurm aktiviert geschieht folgendes:

    1. Der Wurm kopiert sich selbst unter "<zufälligername>" in das Windows-Systemverzeichnis.

    2. Danach durchsucht er das System nach E-Mail-Adressen in Dateien mit folgenden Dateierweiterungen:

    .htt
    .rtf
    .doc
    .xls
    .ini
    .mdb
    .txt
    .htm
    .html
    .wab
    .pst
    .fdb
    .cfg
    .ldb
    .eml
    .abc
    .ldif
    .nab
    .adp
    .mdw
    .mda
    .mde
    .ade
    .sln
    .dsw
    .dsp
    .vap
    .php
    .nsf
    .asp
    .shtml
    .shtm
    .dbx
    .hlp
    .mht
    .nfo

    und speichert diese im Windows-Systemverzeichnis unter dem Namen savesyss.dll.
    Die gefundenen E-Mail-Adressen werden dann für die Weiterverbreitung verwendet.

    3. Ein neuer Wert "<zufälliger Text>"="<zufälliger Pfad und Dateiname>" wird den beiden folgenden Registrierungsschlüsseln zugewiesen:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    Durch den Eintrag in die Registry wird der Wurm beim jedem Start des Systems aktiviert.

    4. Bei der ersten Aktivierung des Wurms erscheint folgende Meldung:



    5. Die E-Mail hat eine der folgenden Betreffs und eine der folgenden Anhänge:

    Betreff:

    Betr: Klassentreffen
    Testen Sie ihren IQ
    Bankverbindungs- Daten
    Neuer Dialer Patch!
    Ermittlungsverfahren wurde eingeleitet
    Deutschland sucht den ...
    RTL: DSDS
    Ihre IP wurde geloggt
    Sie sind ein Raubkopierer
    Sie tauschen illegal Dateien aus
    Ich hasse dich
    Ich zeige sie an!
    Sie Drohen mir!!
    Anime, Pokemon, Manga, Handy ...
    AnmeldebestStigung
    Neu! Legales Filesharing
    Umfrage: Rente erst mit 80!
    du wirst ausspioniert
    Ein Trojaner ist auf Ihrem Rechner!
    Du hast einen Trojaner drauf!
    Hi, Ich bin's
    ups, i've got your mail
    Sorry, that's your mail
    hi, its me
    Thank You very very much
    you are an idiot
    why me?
    I hate you
    Preliminary investigation were started
    Your IP was logged
    You use illegal File Sharing ...
    A Trojan horse is on your PC
    a trojan is on your computer!
    Anime, Pokemon, Manga, ...

    Anhang:

    www.free4manga.com
    www.free4share4you.com
    www.tagespolitik-umfragen.com
    www.iq4you-german-test.com
    www.freewantiv.com
    www.free4share4you.com
    www.onlinegamerspro-worm.com
    www.freegames4you-gzone.com
    www.anime4allfree.com
    www.animepage43252.com

    aktenz#####.txt.*
    alledigis.*
    DrohMails.*
    haha_sehr_witzig.*
    Klassenfoto.*
    Kundendat####BaB.*
    remove-lsass.*
    remove-smss.*
    SysDial-patch.*
    Zugangsdaten.*
    downloader.*
    yourmail.*

    Wobei:

    # beliebige Ziffer
    * Dateierweiterung txt., doc, bat, cmd, pif, scr, exe, com

    Die Texte zu den deutschsprachigen Betreff-Zeilen finden Sie hier.

    Hinweise zur Entfernung des Wurms

    Wenn Ihr Betriebssystem Windows ME oder XP ist, müssen Sie vor der Entfernung die Systemwiederherstellung deaktivieren.

    Den Wurm auf einem infizierten Rechner lokalisieren und entfernen können Sie über eines der kostenlosen Entfernungstools von

    Symantec: FixSober.exe Direkt-Download oder Download mit Informationen
    NAI : stinger.exe (Direkt-Download oder Download mit Informationen ) oder
    Bitdefender: (Download mit Informationen)

    Generelle Hinweise:

    Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

    Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

    (Erstellt: 22.12.2003, geändert: 30.12.2003)