MailWeb.at | Virus-Information: W32.Sober.E (Detail)

zurück zur Übersicht

W32.Sober.E
Virus-Information

aktualisiert
29.03.2004-15:10

Name:

W32.Sober.E

Alias in V-Check:

Datum:

29.03.2004

Typ:

Massen-Mail-Wurm mit Attachment

Betrifft:

alle gängigen Windows-Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Auswirkung:

Wird W32.Sober.E durch Öffnen des Attachments (Doppelklick) aktiviert, ...

kopiert er sich ins Windows/System-Verzeichnis als "msWord.wrd"
und legt zusätzliche Dateien ab:
MsHelp32.dat
WinRun32.dll (Sammlung eMail-Adressen)
bcegfds.lll
zmndpgwf.kxx
wird Microsoft PaintBrush ausgeführt oder eine Fehlermeldung angezeigt
wird eine Internetverbindung aufgebaut, das datum ermittelt und
nach dem 24.03. eine Datei "ndhaqqth.exe" vom Netz heruntergeladen und ausgeführt.

Die Auswirkungen von "ndhaqqth.exe" sind dzt. nicht bekannt.

Info:

W32.Sober.E benützt zur Verbreitung auch eMailadressen, die er auf der Festplatte (zB: in temporären oder gespeicherten Datein besuchter Webseiten) eines befallenen Rechners findet, und fälscht dann die Absenderadresse.
Antworten - an den vermeintlichen Absender haben also keinen Sinn.

Folgende Absender deuten auf ein infiziertes eMail hin:

irgendwas@gmx.net
irgendwas@gmx.de

Folgende Betreffzeilen deuten auf ein infiziertes eMail hin:

Hi
hi
Hi :-)
Ok ;-)
OK OK
OK Ok OK!
Hey!
Thx !!!

gefolgt von Message-ID: Zufalls-Wert.qmail

Folgende Attachments deuten auf ein infiziertes eMail hin:

Text.zip
Text.pif
Read.zip
Read.pif
Graphic-doc.zip
Graphic-doc.pif
document.zip
document.pif
Word.zip
Word.pif
Graphic_Textdocument.pif

Die Nachricht selbst kann so aussehen:

;-)
ha!
HA :-)
yo!
lol
LoL
LOL
Yo!

W32.Sober.E kann auch anhand folgender Registryeinträge erkannt werden:
Warnung: Wenn Sie sich mit dem Registry-Editor nicht auskennen, lassen Sie die Finger davon!

HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\
"<Zufalls-Wert>" = "%Systemverz%\<Zufalls-Wert>.exe"
HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce\
"<Zufalls-Wert>" = "%Systemverz%\<Zufalls-Wert>.exe %1"

<Zufalls-Wert> ist ist kein Name sondern ein Zufalls-Wert aus dieser Liste:
sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

Links:

Entfernung:

Die Entfernung bzw. Anwendung von Removal-Tools wird von uns nicht supportet und erfolgt auf Ihre eigene Gefahr!

Manuell:

1. Alle vom virus angelegten Dateien löschen.

2. Virenscanner-Prüfung: Alle infizierten Dateien löschen.

3. Entfernen der Registrierungseinträge.

Entfernungs-Tools:

Symantec (EXE-Datei) Sober A-E

zurück zur Übersicht

MailWeb.at | Virus-Information: W32.Sober.E (Detail)Detail-Inhalte:
index.php
index.htm
index.html
Willkommen bei eMail-Services (powered by WebDienst.at)
eMail-Adresse mit Anti-Virus und Anti-Spam
Anti-Spam-Filter gegen unerwünschte Werbemails
Online-Virenschutz bei eMailDienst vernichtet mit Viren infizierte eMails
ihr Domainname - Domain registrieren
schneller Webserver (Hosting)
Domainnamen, Webserver, Web-Design, Web-Promotion, eMail, Virenschutz, Spam-Filter
Begriffe / F.A.Q.
Ihre persönliche Frage / Nachricht (Kontakt)
Bestellen Sie Ihre eigenen eMail-Adresse
TellIt a Friend
Virus-Warnungen
IKARUS myMailWall
emaildienst.at
mailweb.at
emailbox.at
Zur korrekten Ansicht dieser Seite(n)
muß Java-Script aktiviert sein. • STICHWORTE:

Qualitätshosting, Statistik, Web-Statistik, Zugriffe, Erfolg, Domainname, wenige Domainnamen, Verweise, Seitengestaltung, neue Technologien, Flash, Intros, Ladezeiten, Suchmaschinen, suma, seo, Surfer, Angebote, Registrierung, Kataloge, zuwenige Links, falsche Suchbegriffe, Domain- und Suchmaschinen-Marketing, WebPromotion-Service, Kunden, Kaufwahrscheinlichkeit, Platzierungen Ihrer Seiten, Suchergebnisse, Werbeform, click to buy-Verhältnis, Wahrscheinlichkeit, fundierte Analyse, Suchbegriffe, perfekt zu Ihren Produkten, weit vorne, optimales Ergebnis, Werbebanner, promoten, Investition
Domain - Domains - Domainname - Domainnamen:
Land - Länder - Staat - Staaten - Countries: weltweit, global, europa, österreich, österr., deutschland
hier domainname reservieren, .eu, neue Top Level Domain .eu, design, dienst, domain, domainname, domainnamen, domainsuche, domains, domaingebühren, domainhandel, domainmarkt, domainkauf, domainnamensuche, domainnamenvergabe, domainnames, domain-name, domainportal, domain-registrierung, domaines, domain-service, hosting, ihrefirma, internet, internetpräsentation, mailserver, management, mydomain, nic, power, provider, providerwechsel, providing, register, registration, registrieren, registrierung, registry, seiten, service, sicherheit, subdomain, submit, success, support, topdomain, topleveldomain, url, verzeichnis, vorregistrieren, vormerken, web, webdienst.biz, dial, webmarketing, webseiten, Webserver, werbung, wunschdomain, expired, abgelaufen, catch, grab, buy domains, buy, transfer domain names, kk, network, solutions, catcher, gelöschte domains, pending deleted domains, deleteddomains, freie, freigeworden, domainregistrierung, domainregistrierungen, reseller, dns, check, domaincheck, webspace, php, mysql, asp, live, video, chat, web-hosting, housing, dedicated, dediziert, rack, rackspace, nic, registrar, registration, registrierung, hit, traffic, domains für reseller, günstige domainnamen, rasche und kompetente registrierung, verschiedene tlds, domainpreise, domainabfrage, domaincheck, domainhosting, webhosting, domain, php, cgi, mysql, apache, Registrar, PHP, PHP4, SQL, SSL, Statistiken, request, heute registrieren, schneller server, individueller webspace, ihr domainname wird rasch registriert, Internet Projekte, gefunden, besucht, Aufträge, Marketing
Weitere Projekte (zum Thema):WebDienst.at | Internet-Service-Provider, Domain, Domainnamen, Webserver, ConsultingWebDienst.infoWebDienst.bizDomains in allen LändernVisions at InternetWeb4You.at - Domainnamen u. Webserver