|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Sober
alias: W32.Sober
"I-Worm.Sober" ist ein klassischer Internet-Wurm, der sich über eMail verbreitet. Infizierte eMails enthalten variable Betreffzeilen sowie Texte in Englisch oder in Deutsch. Er kann Windows 95, 98, NT, 2000, ME und XP Systeme infizieren.
Der "I-Worm.Sober" kann nur aktiv werden wenn der User durch einen Doppelklick auf das Attachment den Wurm aktiviert.
Wurde der Wurm aktiviert kommt eine Fehlermeldung:
File not complete!
Diese Meldung kommt aber nicht bei jeder Variante !!
Im Hintergrund hat sich "I-Worm.Sober" bereits mit den folgenden Namen in das Windows-System oder System32-Verzeichnis kopiert:
similare.exe
Sowie unter variablen Namen als:
systemchk.exe
WINREG.EXE
FILEXE.EXE
ANTIV.EXE
SYSTEMINI.EXE
DRIVERINI.EXE
SYSTEMCHK.EXE
SPOOL.EXE
......
Im Windows-System-Verzeichnis wird der Ordner "MACROMED\HELP" angelegt und beinhaltet die Datei "MEDIA.DLL " mit gefundenen eMailadressen.
Für den nächsten Start des Wurmes nach einem Rechnerneustart sorgen die Registryeinträge:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Keyname=%System%\Dateiname.exe
Keyname zund Dateiname sind variabel!
Die eMail:
Da "I-Worm.Sober" einen eigenen SMTP-Server integriert hat ist er nicht auf Outlook angewiesen. Die eMailadressen, an welche er sich versendet, sucht er sich aus Dateien vom infizierten PC:
htt
rtf
doc
xls
ini
mdb
txt
htm
html
wab
pst
fdb
cfg
ldb
eml
abc
ldif
nab
adp
mdw
mda
mde
ade
sln
dsw
dsp
vap
php
asp
shtml
shtm
Das Subject (Betreff) sowie der Mailtext sind im Worm vorgegeben, und setzen sich aus folgender Liste zusammen:
"You send spam mails (Worm?)"
"A worm is on your computer!"
"Now, it's enough"
"You have sent me a virus!"
"Hi darling, what are you doing now?"
"Be careful! New mail worm"
"Re: Contact"
"RE: Sex"
"Sorry, I've become your mail"
"Hey man, long not see you"
"Re: lol"
"Viurs blocked every PC (Take care!)"
"Surprise"
"I've become your mail!"
"Advise who I am!"
"New Sobig-Worm variation (please read)"
"Back At The Funny Farm"
"I love you (I'm not a virus!)"
"Neuer Virus im Umlauf!"
"Sie versenden Spam Mails (Virus?)"
"Ein Wurm ist auf Ihrem Computer!"
"Langsam reicht es mir"
"Sie haben mir einen Wurm geschickt!"
"Hi Schnuckel was machst du so ?"
"VORSICHT!!! Neuer Mail Wurm"
"Re: Kontakt"
"RE: Sex"
"Sorry, Ich habe Ihre Mail bekommen"
"Hi Olle, lange niks mehr geh"
"Re: lol"
"Viurs blockiert jeden PC (Vorsicht!)"
"_berraschung"
"Ich habe Ihre E-Mail bekommen !"
"Jetzt rate mal, wer ich bin !?"
"Neue Sobig Variante (Lesen!!)"
"Back At The Funny Farm"
"Ich Liebe Dich"
Das beigefügt Attachment hat die Dateiendung PIF, BAT, SCR, COM, oder EXE und könnte folgende Dateinamen haben:
Anti-Sob.bat
anti-Sob.bat
AntiTrojan.exe
anti-trojan.exe
AntiVirusDoc.pif
Bild.scr
Check-Patch.bat
check-patch.bat
CM-Recover.com
CM-recover.com
Funny.scr
funny.scr
Hengst.pif
Liebe.com
little-scr.scr
love.com
Mausi.scr
nacked.com
NackiDei.com
NAV.pif
Odin_Worm.exe
perversion.scr
Perversionen.scr
pic.scr
playme.exe
potency.pif
Privat.exe
private.exe
Removal-Tool.exe
removal-tool.exe
robot_mail.scr
robot_mailer.pif
RobotMailer.com
schnitzel.exe
screen_doc.scr
Screen_Doku.scr
security.pif
eMailbeispiele:
Betreff:
New Sobig-Worm variation (please read)
Nachrichtentext:
New Sobig variation in the net. You must change any settings before
the worm control your computer! But, read the official statement from
Norton Anti Virus!
Name des Attachments: NAV.pif
oder:
Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!!
Wie es aussieht, ist bei Ihnen der ODIN Wurm aktiv!
Sie sollten mit dem Patch-Programm testen,
ob der Wurm bei Ihnen auf der Platte ist um Ihn dann automatisch
löschen zu lassen!
Niks wie ungut!
Habe mir extra einen falschen E-Mail Namen zugelegt um es dir nicht zu leicht zu machen!
PS:
War aber nicht meine Idee !
Darauf kommst DU nie!!!
Dafür kenne ich Dich zu gut!!
Löse das kleine Bilderrätsel und ...
I hope you know of me!
When not, please delete this mail!
oder:
Kaspersky Lab Int. und Norton Anti Virus haben einen neuen Typos von Wurm entdeckt.
Der Wurm nennt sich selbst \"ODIN\" und konnte sich bist jetzt,
unbemerkt auf vielen Computern ausbreiten!
Der Wurm versteckt sich im Bildschirm-Schoner!
In der -Screen_Doku- Dokumentation lesen Sie, wie Sie den Wurm
mit wenigen Schritten das Handwerk legen können.
Automatische Mail Benachrichtigung: Robot-System__#2845#
Antwort zu lang %Error% occured%
Antwort im Anhang beigefügt -Access*
Je nach Betriebssystem und Variante unterscheidet sich die Schadensfunktion. Eine Variante legt im Windows-Systemverzeichnis Dateien mit dem Namen "11111111.exe" wobei der Dateiname variiert und bis "99999999.exe" lauten kann. Eine andere Variante legt wiederum nur eine solche Datei an.
Seine Entfernung aus dem infizierten System ist etwas umständlich da I-Worm.Sober zwei oder dreimal gestartet wird und sich selbst sowie die Registry auf Änderungen (Beendeter Task sowie löschen der Registryeinträge) kontrolliert und selbst wieder startet bzw. sich wieder in die Registry einträgt.
Die Entfernung kann nur im Abgesicherten Modus erfolgen da der Wurm den Zugriff auf die infizierten Dateien sowie die Änderungen in der Registry unterbindet!
|
|
Linktipps: Fassadenbau
|
|
|
|
