MailWeb.at | Virus-Information: W32.Sober.20050307 (Detail)

zurück zur Übersicht

W32.Sober.20050307
Virus-Information

aktualisiert
09.03.2005-19:10

Name:

W32.Sober.L (W32.Sober.L@mm)

Alias in V-Check:

W32/Sober-L

Datum:

07.03.2005

Eine neue Sober-Variante wurde heute 17 Uhr MEZ über das Netz der des deutschen Providers Web.de "gelaunched". Innerhalb kürzester Zeit musste der Wurm mehrere hundertmal registriert werden. Was für diese Uhrzeit wo sich die Mehrheit der User auf dem Heimweg befindet ein ungewöhnliches starkes Aufkommen ist.

Typ:

Massen-Mail-Wurm mit Attachment
Aufgrund deutscher und englischer Texte, die (für unerfahrene User) wie Beschwerden eines Mail-Empängers aussehen können - hohe Gefährdung für User in Österreich/Deutschland!

Betrifft:

alle gängigen Windows-Betriebssysteme:
Windows 200x, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Auswirkung:

Sendet eMail an Adressen, die er auf dem lokalen Computer findet.
Ändert die Systemregistrierung
Führt eventuell willkürlichen, aus dem Internet heruntergeladenen Inhalt aus.

Wird diese Sober-Variante durch Öffnen des Attachments (Doppelklick) aktiviert, ...

kopiert er sich ins Windows/System-Verzeichnis als "Windowsmsagentsystemsmss.exe"
und legt zusätzliche Dateien (zB: "Windowsmsagentsystemzipzip.zab") ab.
wird die Systemregistrierung geändert
wird eine bestehende Internetverbindung genutzt oder eine neue (DFÜ-Netzwerkverbindung) aufgebaut
dann werden die Dateien des PC nach eMail-Adressen durchsucht
schliesslich versendet sich der Wurm an die gefundenen Adressen.

Info:

Der Wurm wurde in MS Visual Basic programmiert, ist UPX gepackt und ist nicht auf das MS .NET Framework angewiesen, was ihn daher für alle MS Betriebssysteme gefährlich macht!

Der Wurm "verankert" sich z.B. in der Registry unter
HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion -> Run (damit er bei einem Reboot wieder gestartet wird), und legt dort einen Eintrag "Services.dll" mit dem Wert "C:Windowsmsagentsystemsmss.exe" an. Da es den Process "smss.exe" unter Windows tatsächlich gibt (allerdings steht dieser nicht unter C:Windowsmsagent sondern unter C:Windowssystem32 kann dieser Eintrag leicht übersehen werden.)
Auch legt der Wurm das eigentlich sehr auffälliges File c:Windowsmsagentsystemzipzip.zab an.

Dann beginnt der Wurm mit der Suche nach E-Mail Adressen, an die er sich versenden kann. Dazu werden u.a. auch .wab Dateien (Outlook/Outlook Express Adress Book Files) durchsucht. Aber auch Files im Internet Explorer Cache werden nach brauchbaren E-Mail Adressen durchsucht.

Diese Sober-Variante benützt zur Verbreitung auch eMailadressen, die er auf der Festplatte (zB: in temporären oder gespeicherten Datein besuchter Webseiten) eines befallenen Rechners findet, und fälscht zusätzlich die Absenderadresse.
Antworten - an den vermeintlichen Absender haben also keinen Sinn.

Folgende Absender deuten auf ein infiziertes eMail hin:

<irgendwas>@web.de

Achtung: Es kann auch eine Ihnen bekannter Absender-Domain sein!

Folgende Betreffzeilen deuten auf ein infiziertes eMail hin:

Ich habe Ihre E-Mail bekommen!
your password + accountnumber !

Folgende Attachments deuten auf ein infiziertes eMail hin:

Mailtexte.zip
Acc_text.zip

Die Nachricht selbst kann so - aber auch anders (!) aussehen:

Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.

Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.

Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.

Gruss

-----------

hi,

i've got an admin mail with a Password and Account info!
but the mail recipient are you! it's probably an esmtp error, i think.
i've copied the full mail text in the Windows text-editor & zipped.
ok, cya...

Links:

Entfernung:

Die Entfernung bzw. Anwendung von Removal-Tools wird von uns nicht supportet und erfolgt auf Ihre eigene Gefahr!

Entfernungs-Tools:

Symantec (EXE-Datei) Sober.L

Ikarus-Software (EXE-Datei) Sober.L

zurück zur Übersicht

MailWeb.at | Virus-Information: W32.Sober.20050307 (Detail)Detail-Inhalte:
index.php
index.htm
index.html
Willkommen bei eMail-Services (powered by WebDienst.at)
eMail-Adresse mit Anti-Virus und Anti-Spam
Anti-Spam-Filter gegen unerwünschte Werbemails
Online-Virenschutz bei eMailDienst vernichtet mit Viren infizierte eMails
ihr Domainname - Domain registrieren
schneller Webserver (Hosting)
Domainnamen, Webserver, Web-Design, Web-Promotion, eMail, Virenschutz, Spam-Filter
Begriffe / F.A.Q.
Ihre persönliche Frage / Nachricht (Kontakt)
Bestellen Sie Ihre eigenen eMail-Adresse
TellIt a Friend
Virus-Warnungen
IKARUS myMailWall
emaildienst.at
mailweb.at
emailbox.at
Zur korrekten Ansicht dieser Seite(n)
muß Java-Script aktiviert sein. • STICHWORTE:

Qualitätshosting, Statistik, Web-Statistik, Zugriffe, Erfolg, Domainname, wenige Domainnamen, Verweise, Seitengestaltung, neue Technologien, Flash, Intros, Ladezeiten, Suchmaschinen, suma, seo, Surfer, Angebote, Registrierung, Kataloge, zuwenige Links, falsche Suchbegriffe, Domain- und Suchmaschinen-Marketing, WebPromotion-Service, Kunden, Kaufwahrscheinlichkeit, Platzierungen Ihrer Seiten, Suchergebnisse, Werbeform, click to buy-Verhältnis, Wahrscheinlichkeit, fundierte Analyse, Suchbegriffe, perfekt zu Ihren Produkten, weit vorne, optimales Ergebnis, Werbebanner, promoten, Investition
Domain - Domains - Domainname - Domainnamen:
Land - Länder - Staat - Staaten - Countries: weltweit, global, europa, österreich, österr., deutschland
hier domainname reservieren, .eu, neue Top Level Domain .eu, design, dienst, domain, domainname, domainnamen, domainsuche, domains, domaingebühren, domainhandel, domainmarkt, domainkauf, domainnamensuche, domainnamenvergabe, domainnames, domain-name, domainportal, domain-registrierung, domaines, domain-service, hosting, ihrefirma, internet, internetpräsentation, mailserver, management, mydomain, nic, power, provider, providerwechsel, providing, register, registration, registrieren, registrierung, registry, seiten, service, sicherheit, subdomain, submit, success, support, topdomain, topleveldomain, url, verzeichnis, vorregistrieren, vormerken, web, webdienst.biz, dial, webmarketing, webseiten, Webserver, werbung, wunschdomain, expired, abgelaufen, catch, grab, buy domains, buy, transfer domain names, kk, network, solutions, catcher, gelöschte domains, pending deleted domains, deleteddomains, freie, freigeworden, domainregistrierung, domainregistrierungen, reseller, dns, check, domaincheck, webspace, php, mysql, asp, live, video, chat, web-hosting, housing, dedicated, dediziert, rack, rackspace, nic, registrar, registration, registrierung, hit, traffic, domains für reseller, günstige domainnamen, rasche und kompetente registrierung, verschiedene tlds, domainpreise, domainabfrage, domaincheck, domainhosting, webhosting, domain, php, cgi, mysql, apache, Registrar, PHP, PHP4, SQL, SSL, Statistiken, request, heute registrieren, schneller server, individueller webspace, ihr domainname wird rasch registriert, Internet Projekte, gefunden, besucht, Aufträge, Marketing
Weitere Projekte (zum Thema):WebDienst.at | Internet-Service-Provider, Domain, Domainnamen, Webserver, ConsultingWebDienst.infoWebDienst.bizDomains in allen LändernVisions at InternetWeb4You.at - Domainnamen u. Webserver