Achtung, VirusWarnung augrund hoher Verbreitung! W32.Sober.I@mm
Sie befinden sich: Home > News Archiv > Virus > Achtung, VirusWarnun...
W32.Sober.I@mm (Sober.I) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er versendet sich selbst als Anhang einer E-Mail.Verbreitungsart
Der Wurm wird per E-Mail versendet, wobei er sich an auf dem Rechner gefundene E-Mail-Adressen versendet. Auch die Absenderadresse ist mit den gefundenen Adressen gefälscht. (Mehr Informationen zu gefälschten Absendern)
Infektion
Bei der Ausführung der angehängten Datei kopiert Sober.I mehrere Dateien in das %System%-Verzeichnis von Windows. Die dabei verwendeten Dateinamen werden aus unterschiedlichen Fragmenten zufällig zusammengesetzt.
Mit Hilfe von Schlüsseln der Windows-Registrierung wird der Wurm bei jedem Systemstart aktiviert:
HKEY_CURRENT_USERSoftwareMicrosoftW indowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun
Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:WindowsSystem bei Windows 95/98/Me, C:WinntSystem32 bei Windows NT/2000, und C:WindowsSystem32 bei Windows XP.
Sober.I untersucht den infizierten Computer nach E-Mail-Adressen und versendet sich mit gefälschtem Absender dorthin.
Von-Feld:
Die Absenderadresse ist gefälscht.
Betreff:
Momentan bekannt sind die Betreffzeilen:
- Re: Auftragsbestätigung
- Ungültige Zeichen in Ihrer E-Mail -SMTP: 7407
- Registration confirmation
- Mailzustellung fehlgeschlagen -Damon: 4440
- Re: Lieferungs-Bescheid
- FwD: Mail_Delivery_failure
- Mailer Error -8900
- FwD: Mailer Error -Damon: 4639
- invalid mail
- Mail- Verbindung wurde abgebrochen -Code: 4358
- Ihre E-Mail wurde verweigert
- Re: Ihre neuen Account-Daten
- Mailer-Fehler -8362
Nachrichtentext:
Nachrichtentexte sind (wie beim Betreff) sowohl in deutsch als auch in englisch gefasst.
Beispiel:
Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.sysinternals.com
-------
Folgende Fehler wurden aufgezeichnet:
61.134.157.181_failed_after_I_sent_the_message.
# 172: MAILBOX NOT FOUND
# 247: This_account_has_been_disabled_[#433].
# 529: mailbox_unavailable
STOP mailer
-------
Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.
Automatic-Mail.Config#: [sysinternals]
*-*-* X-MS_Scanner: Es wurde kein Virus gefunden
*-*-*
*-*-* http://www.
Die verseuchten E-Mails enthalten Anhänge mit einem der folgenden Namen:
- Daten
- Daten.word
- Daten3765
- sysinternals.1381
- testvir_7768
- system-windows
- re_mail
- data_info
- system-innocent_7658
- Daten3765
- Auto_Mail_4325
- re_mail_5116
und einer der folgenden Dateierweiterung:
- EXE
- PIF
- COM
- SCR
- BAT
- ZIP
Schadensfunktion
Der Wurm ist in der Lage unterschiedliche Viren-Schutz-Software zu deaktivieren.
Entfernung
Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:
- der laufende Prozess blockiert die Datei
- Windows schützt das Verzeichnis, in dem sich das Programm befindet
Vorgehensweise der Entfernung
- Update der Viren-Signaturen des Viren-Schutzprogramms
- Systemwiederherstellung von Windows Me/XP deaktivieren
- Start des Computers in den abgesicherten Modus
- Entfernung des Wurms mit dem Viren-Schutzprogramm
- Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
- infizierte Dateien löschen
- Einträge aus der Windows-Registrierung entfernen
- normaler Systemstart
- Systemwiederherstellung (Me/XP) aktivieren
Besondere Hinweise:
Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.
Quelle: www.bsi.bund.de
w32 hoher achtung sober viruswarnung
Neusten News in der Kategorie "Virus"
| • Neue Android-Malware manipuliert Kontaktliste für Fake-Anruf... Eine neue Android-Malware namens RoarBat fügt gefälschte Kon... |
| • Wie ein Komma die Defender-Sicherheit aushebelt Ein simples Komma genügt, um die Sicherheitsmechanismen des Micro... |
| • Handy-Virus: Jedes Java“-Handy ist gefährdet – Virus verschi... Mit dem Namen "Trojan-SMS.J2ME.RedBrowser.a" wurde der erste Handy-Vir... |
| • Trojaner ''Meheerwar'' im Umlauf - Er öffnet und schließt u.... Zurzeit ist der Trojaner "Meheerwar" im Internet unterwegs. Der Virus ... |
| • Mit gefälschten Februar-Rechnungen der Telekom wird Trojaner... Seit ein paar Tagen finden viele Internetnutzer in ihren Internetbrief... |
| • Viren: Neues Angriffsziel sind Handys und Konsolen Antiviren-Spezialisten haben im Jahr 2005 nur zwei größere Virenausbrü... |
| • Trojaner überschreibt Google AdSense-Werbung Ein Trojaner überschreibt Google AdSense-Anzeigen auf Websites und in ... |
| • Gefährlicher Virus verbreitet sich als Messenger-Update Ein neuer Virus breitet sich derzeit im Internet aus. Dieser Virus hei... |
| • Neuer Weihnachtswurm im Umlauf Seit kurzem ist ein neuer Weihnachtswurm im Umlauf, dies meldet der An... |
| • Sober-Virus: Anti-Viren-Experten entschlüsseln den Wurm Mit Hilfe von E-Mails, die angeblich vom BKA waren, hat sich der Sober... |
Kommentar schreiben
Teilen Sie uns Ihre Meinung mit. Ihr Kommentar wird nach Pruefung veroeffentlicht.