Win32.Sober.I@mm - Virensignatur

Symptome :

Technische Beschreibung:

Der Wurm kommt in englischer - oder deutscher Sprache.
Die Emailadresse des Absenders ist gefälscht.

Die Nachricht wird von den verschiedenen Textbausteinen mit Informationen über den Benutzer der die Email empfängt. Diese Vorlagen der Textbausteine enthalten z.B.:

- I was surprised, too!
- Who_could_suspect_something_like_that? shityiiiii im_shocked
- thats_hard
- oh_nono
- Your password was changed successfully!
- Protected message is attached!
- This mail was generated automatically.
- Diese Information ist geschützt durch ein Passwort!
- Diese E-Mail wurde automatisch generiert.
- Da Sie uns Ihre Persönlichen Daten zugesandt haben, ist das Passwort Ihr Geburts- Datum.
- Viel Vergnügen mit unserem Angebot!
- Folgende Fehler wurden aufgezeichnet:
- Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl. Daten nur angehängt werden.
- Wir bitten Sie, dieses zu berücksichtigen.
- Vielen Dank für Ihr Verständnis.
- Ihre geänderten Account Daten, befinden Sie im beigefügten Dokument.
- Weitere Informationen befinden sich im Anhang dieser Mail

Der Emailbetreff kann diese Texte beinhalten:
Info von :
Mailzustellung fehlgeschlagen:
Fehler in E-Mail:
Ihre E-Mail wurde verweigert:
Mailer Error:
Ungültige Zeichen in Ihrer E-Mail:
Mail- Verbindung wurde abgebrochen:
Mailer-Fehler:
Betr.- Ihr Account:
Ihre neuen Account-Daten:
Auftragsbestätigung:
Lieferungs-Bescheid
De ???? ??g?gr?????tails
Oh God it's
Registration confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system

Die Email kann auch Zeichenketten enthalten, die angeben, daß die Email gescannt wurde aber nichts gefunden worden ist.
Attachment: No Virus found
Mail_Scanner: No Virus
Anti_Virus: No Virus was found
Attachment-Scanner: NO VIRUS
Anti_Virus: Es wurde kein Virus gefunden

Die Emailanhänge sind ZIP-Formate oder in SCR, BAT, COM, PIF Dateiformate mit einem dieser Namen:
- KDE_Info,system-,data_info etc.,
Es können auch andere Dateiformate in XML,TXT,EML an die entsprechenden Mails angehängt sein. z.B.:
message_text.txt.(spaces).pif,
system-cmd.pif,
daten.bat,
data_info8326.pif,
KDE_Info901.bat,
daten.eml.bat.

Einmal ausgeführt copiert der Wurm sich selbst ins Windows System32 mit einem Namen, der aus folgenden Wörtern generiert wird:
sys, host ,dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32 oder als disclogexpoler.exe.

Der Wurm generiert weiterhin folgende Registrierungseinträge damit er beim nächsten Windows-Neustart wieder vorhanden ist.
(wie oben beschrieben als Software\Microsoft\ Windows\CurrentVersion\ RunOnce and Run).

Um Emailadressen zu erfassen sucht es Dateien mit den folgenden Inhalten:
pmr, stm, slk, inbox, imb, csv, bak, imh, xhtml, imm, imh, cms, nws, vcf, ctl, dhtm, cgi, pp, ppt, msg, jsp, oft, vbs, uin, ldb, abc, pst, cfg, mdw, mbx, mdx, mda, adp, nab, fdb, vap, dsp, ade, sln, dsw, mde, frm, bas, adr, cls, ini, ldif, log, mdb, xml, wsh, tbb, abx, abd, adb, pl, rtf, mmf, doc, ods, nch, xls, nsf, txt, wab, eml, hlp, mht, nfo, php, asp, shtml, dbx .

Entfernung:

[ Zurück zum Anfang ]