Diese Seite mit anderen teilen ...

Informationen zum Thema:
Forum:
FeuerwehrNortheimForum
Beiträge im Thema:
1
Erster Beitrag:
vor 12 Jahren, 8 Monaten
Beteiligte Autoren:
StG

Achtung, aktueller Virus im Umlauf

Startbeitrag von StG am 23.11.2005 07:39

Achtung, aktueller Virus im Umlauf:


W32/Sober.y CME-681, W32/Sober@MM!M681, W32.Sober.X, W32/Sober-Z, Win32.Sober.W, Worm/Sober.Y, Email-Worm.Win32.Sober.y, WORM_SOBER.AG
entdeckt 21.11.05


in .de und .at recht verbreitet


Typ EXE (Win32), Wurm (ca. 55 KB)


Verbreitung E-Mail


Absenderangabe verschieden (gefälscht!);

z.B. ???@bka.de, ???@rtl.de


Betreff/Subject

"Ermittlungsverfahren wurde eingeleitet"

"Account Information"
"Ihr Passwort" "hi,_ive_a_new_mail_address"
"Mailzustellung wurde unterbrochen"
"Mail delivery failed"
"RTL: Wer wird Millionaer"
"Paris Hilton & Nicole Richie"
"Sehr geehrter Ebay-Kunde"
"Registration Confirmation"
"Sie besitzen Raubkopien" - ich, neeeee ;-)
"smtp mail failed"
"SMTP Mail gescheitert "
"You visit illegal websites"
"Your Password"
"Your IP was logged"


Nachricht verschieden (dt. + engl.), z.B.:

das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP ???.???.???.??? erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. [...] Aktenzeichen NR:#????
Zu jedem o.g. Betreff gibt es eine andere Nachricht, die auch mit dem Dateinamen des Anhangs korrespondiert.


Anhang ZIP-Datei, Name verschieden:

Admin.zip Admin-TextInfo.zip Akte????.zip
Anzeige.zip Auslosung.zip BKA.zip
BKA.Bund.zip Casting.zip downloadm.zip
Downloads.zip Ebay.zip Ebay-User_RegC.zip
Email.zip Email_text.zip Gewinn.zip
Internet.zip hostmaster.zip hostmaster-TextInfo.zip
info.zip info-TextInfo.zip Kandidat.zip
list.zip mail.zip mail_body.zip
office.zip office-TextInfo.zip mailtext.zip
Post.zip postman.zip postman-TextInfo.zip
postmaster.zip postmaster-TextInfo.zip question_list.zip
reg_text.zip reg_pass.zip reg_pass-data.zip
registration.zip RTL.zip RTL-Admin.zip
RTL-TV.zip webmaster.zip webmaster-TextInfo.zip
WWM.zip ????????-TextInfo.zip

... und noch weitere; alle ZIP-Dateien enthalten den Wurm als File-packed_dataInfo.exe (55.390 Bytes).


Symptome

Zeigt bei Ausführung eine vorgetäuschte Fehlermeldung an ("WinZip Self-Extractor - Error in packed Header").
Existenz der Dateien csrss.exe, services.exe und smss.exe, sowie mssock?.dli, winmem?.ory u.a.
im Verzeichnis %WinDir%\WinSecurity; sowie dieser Registry-Einträge (%WinDir% = Windows-Verzeichnis):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
_Windows = %WinDir%\WinSecurity\services.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = %WinDir%\WinSecurity\services.exe

Schaden E-Mail-Versand; deaktiviert Sicherheitsprogramme, lädt Malware herunter

[www.symantec.com]


Gegenmittel kostenlos bei Symantec


Gruß
Stephan

Antworten:

Zur Information:
MySnip.de hat keinen Einfluss auf die Inhalte der Beiträge. Bitte kontaktieren Sie den Administrator des Forums bei Problemen oder Löschforderungen über die Kontaktseite.
Falls die Kontaktaufnahme mit dem Administrator des Forums fehlschlägt, kontaktieren Sie uns bitte über die in unserem Impressum angegebenen Daten.