MailWeb.at | Virus-Information: W32.Sober.F (Detail)

zurück zur Übersicht

W32.Sober.F
Virus-Information

aktualisiert
05.04.2004-23:57

Name:

W32.Sober.F (W32.Sober.F@mm)

Alias in V-Check:

W32/Sober-F

Datum:

29.03.2004

Typ:

Massen-Mail-Wurm mit Attachment
Aufgrund deutscher und englischer Texte, die (für unerfahrene User) wie Systemmeldungen des Providers aussehen können - hohe Gefährdung für User in Österreich/Deutschland!

Betrifft:

alle gängigen Windows-Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

Auswirkung:

Sendet eMail an Adressen, die er auf dem lokalen Computer findet.
Ändert die Systemregistrierung
Führt eventuell willkürlichen, aus dem Internet heruntergeladenen Inhalt aus.

Wird W32.Sober.F durch Öffnen des Attachments (Doppelklick) aktiviert, ...

kopiert er sich ins Windows/System-Verzeichnis als "<Beliebiger Dateiname>.exe"
und legt zusätzliche Dateien ab.
insbesonders auffällig: die Datei "syst32win.dll", welche alle Adressen abspeichert die der Wurmn auf dem infizierten Rechner gefunden hat.
Sollte man von Sober.F betroffen worden sein, so kann man in der Datei nicht nur herausfinden wie viele eMail-Adressen der Wurm auf dem infizierten PC gefunden hat - sondern auch - an wenn er sich verschickt hat!
wird die Systemregistrierung geändert

wird eine bestehende Internetverbindung genutzt oder eine neue (DFÜ-Netzwerkverbindung) aufgebaut.
Dabei erscheint möglicherweise eine gefälschte Fehlermeldung:

Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [Dateiname].exe
Connection lost or blocked by Firewall

dann werden die Dateien des PC nach eMail-Adressen durchsucht und die Datei "syst32win.dll" gespeichert
schliesslich versendet sich der Wurm an die gefundenen Adressen.

Info:

W32.Sober.F benützt zur Verbreitung auch eMailadressen, die er auf der Festplatte (zB: in temporären oder gespeicherten Datein besuchter Webseiten) eines befallenen Rechners findet, und fälscht zusätzlich die Absenderadresse.
Antworten - an den vermeintlichen Absender haben also keinen Sinn.

Folgende Absender deuten auf ein infiziertes eMail hin:

Webmaster@<irgendwas>
Fehler-Info@<irgendwas>
Administrator@<irgendwas>
RobotMailer@<irgendwas>
AutoMailer@<irgendwas>
Register@<irgendwas>
Service@<irgendwas>
Info@<irgendwas>
Passwort@<irgendwas>
Kundenservice@<irgendwas>
Liste@<irgendwas>
Schwarze-Liste@<irgendwas>
Information@<irgendwas>
home@<irgendwas>
admin@<irgendwas>
Error_Info@<irgendwas>
User-info@<irgendwas>
account@<irgendwas>

"@<irgendwas>" zumeist eine von diesen:
@abuse.de
@yahoo.com
@yahoo.de
@gmx.de
@gmx.net
@web.de
@freenet.de
@lycos.de

Achtung: "@<irgendwas>" kann auch eine Ihnen bekannter Absender-Domain sein!

Folgende Betreffzeilen deuten auf ein infiziertes eMail hin:

Einzelheiten
Hallo Du!
Hallo!
Hey Du
Hi, Ich bin's
Ich bin es .-)
Verdammt
Na, überrascht?!
Info
Information
Fehlerhafte Mailzustellung
Mailzustellung fehlgeschlagen
Fehler
Illegale Zeichen in Mail-Routing
Verbindung fehlgeschlagen
Fehler in E-Mail
Bestätigung
Registrierungs-Bestätigung
Ihr neues Passwort
Ihr Passwort
Datenbank-Fehler
Warnung!
Oh my God
Hey
Hi!
Hi, it's me
hey you
damn!
Well, surprised?
Info
Information
Faulty mail delivery
Mail delivery failed
Mail Error
Illegal signs in Mail-Routing
Connection failed
Invalid mail sentence length
Mail Delivery failure
Message Error
mail delivery status
Confirmation Required
Bad Gateway
Warning!
Your document

gefolgt von:
"Message-ID: <Beliebige Zeichen.qmail>"

Folgende Attachments deuten auf ein infiziertes eMail hin:

Einer der folgenden deutschen oder englischen Namen mit der Erweiterung pif oder zip

Oh-Mann
Dokument
KurzText
AntiVirus-Text
Anleitung
Passwoerter.txt
Text-Inhalt
AMD-System.txt
Benutzer-Daten
Datenbank-Fehler
abuse-liste
schwarze-listen
Block-Lists
anitv_text
instructions
your_article
your_passwords
messagedoc
corrected_text-file
attach-message
<irgendwas>-attachment
<irgendwas>_attach
pass-message
text
Textdocument

Die Nachricht selbst kann so - aber auch anders (!) aussehen:

Ich war auch ein wenigüberrascht!
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann

Alles klaro bei dir?
Schau mal was Ich gefunden habe!

Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Bye

Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwörter rauszubekommen!!!
Passwoerter.txt

Details entnehmen Sie bitte dem Attachment
Nähere Informationen befinden sich im Anhang.

*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte überprüfen Sie nochmals diese E-Mail auf mögliche Fehlerquellen.
attach: AMD-System.txt
* End Transmission
Virenschutz
--- Web: http://www.<irgendeine.domain>
--- Mail To: User-Hilfe

Passwort und Benutzername wurde erfolgreich geändert
Ihre Benutzernamen und Passwörter befinden sich im Anhang dieser E-Mail
++++ Im www erreichbar unter: http://www.<irgendeine.domain>
++++ E-Mail: KundenInfo

Wegen eines Datenbank- Fehlers könnte es möglicherweise zu einem Verlust Ihrer persönlichen Daten wie Kennwörter gekommen sein.
Wenn Sie Unregelmäßigkeiten festgestellt haben, melden Sie uns bitte umgehend den Datenverlust.
Vielen Dank für Ihr Verständnis
+++ Ein Service von
+++ http://www.<irgendeine.domain>
+++ E-Mail: Kundenservice

Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:

W32.Sober.F kann auch anhand folgender Registryeinträge erkannt werden:
Warnung: Wenn Sie sich mit dem Registry-Editor nicht auskennen, lassen Sie die Finger davon!

HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\
"<Zufalls-Wert>" = "%Systemverz%\<Zufalls-Wert>.exe"
HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce\
"<Zufalls-Wert>" = "%Systemverz%\<Zufalls-Wert>.exe %1"

<Zufalls-Wert> ist ist kein Name sondern ein Zufalls-Wert aus dieser Liste:
sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

Unter "XP" auch noch einen Eintrag unter dem Key:

HKU\ S-1-5-21-........-........-........-...\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

Besonderes Erkennungsmerkmal:
Die Datei "syst32win.dll", welche im Windows-Verzeichnis angelegt wird.
Die Endung ".dll" täuscht.
Die Datei kann mit einem Texteditor (wie Notepad) gelesen werden.

Links:

Entfernung:

Die Entfernung bzw. Anwendung von Removal-Tools wird von uns nicht supportet und erfolgt auf Ihre eigene Gefahr!

Manuell:

1. Alle vom Virus angelegten Dateien löschen.

2. Virenscanner-Prüfung: Alle infizierten Dateien löschen.

3. Entfernen der Registrierungseinträge.

Entfernungs-Tools:

	Symantec (EXE-Datei) Sober.F
	Ikarus-Software (EXE-Datei) Sober.F

zurück zur Übersicht

MailWeb.at | Virus-Information: W32.Sober.F (Detail)Detail-Inhalte:
index.php
index.htm
index.html
Willkommen bei eMail-Services (powered by WebDienst.at)
eMail-Adresse mit Anti-Virus und Anti-Spam
Anti-Spam-Filter gegen unerwünschte Werbemails
Online-Virenschutz bei eMailDienst vernichtet mit Viren infizierte eMails
ihr Domainname - Domain registrieren
schneller Webserver (Hosting)
Domainnamen, Webserver, Web-Design, Web-Promotion, eMail, Virenschutz, Spam-Filter
Begriffe / F.A.Q.
Ihre persönliche Frage / Nachricht (Kontakt)
Bestellen Sie Ihre eigenen eMail-Adresse
TellIt a Friend
Virus-Warnungen
IKARUS myMailWall
emaildienst.at
mailweb.at
emailbox.at
Zur korrekten Ansicht dieser Seite(n)
muß Java-Script aktiviert sein. • STICHWORTE:

Qualitätshosting, Statistik, Web-Statistik, Zugriffe, Erfolg, Domainname, wenige Domainnamen, Verweise, Seitengestaltung, neue Technologien, Flash, Intros, Ladezeiten, Suchmaschinen, suma, seo, Surfer, Angebote, Registrierung, Kataloge, zuwenige Links, falsche Suchbegriffe, Domain- und Suchmaschinen-Marketing, WebPromotion-Service, Kunden, Kaufwahrscheinlichkeit, Platzierungen Ihrer Seiten, Suchergebnisse, Werbeform, click to buy-Verhältnis, Wahrscheinlichkeit, fundierte Analyse, Suchbegriffe, perfekt zu Ihren Produkten, weit vorne, optimales Ergebnis, Werbebanner, promoten, Investition
Domain - Domains - Domainname - Domainnamen:
Land - Länder - Staat - Staaten - Countries: weltweit, global, europa, österreich, österr., deutschland
hier domainname reservieren, .eu, neue Top Level Domain .eu, design, dienst, domain, domainname, domainnamen, domainsuche, domains, domaingebühren, domainhandel, domainmarkt, domainkauf, domainnamensuche, domainnamenvergabe, domainnames, domain-name, domainportal, domain-registrierung, domaines, domain-service, hosting, ihrefirma, internet, internetpräsentation, mailserver, management, mydomain, nic, power, provider, providerwechsel, providing, register, registration, registrieren, registrierung, registry, seiten, service, sicherheit, subdomain, submit, success, support, topdomain, topleveldomain, url, verzeichnis, vorregistrieren, vormerken, web, webdienst.biz, dial, webmarketing, webseiten, Webserver, werbung, wunschdomain, expired, abgelaufen, catch, grab, buy domains, buy, transfer domain names, kk, network, solutions, catcher, gelöschte domains, pending deleted domains, deleteddomains, freie, freigeworden, domainregistrierung, domainregistrierungen, reseller, dns, check, domaincheck, webspace, php, mysql, asp, live, video, chat, web-hosting, housing, dedicated, dediziert, rack, rackspace, nic, registrar, registration, registrierung, hit, traffic, domains für reseller, günstige domainnamen, rasche und kompetente registrierung, verschiedene tlds, domainpreise, domainabfrage, domaincheck, domainhosting, webhosting, domain, php, cgi, mysql, apache, Registrar, PHP, PHP4, SQL, SSL, Statistiken, request, heute registrieren, schneller server, individueller webspace, ihr domainname wird rasch registriert, Internet Projekte, gefunden, besucht, Aufträge, Marketing
Weitere Projekte (zum Thema):WebDienst.at | Internet-Service-Provider, Domain, Domainnamen, Webserver, ConsultingWebDienst.infoWebDienst.bizDomains in allen LändernVisions at InternetWeb4You.at - Domainnamen u. Webserver