Hallo an alle, zur Zeit geht anscheinend der unten genannte Virus um. Ich habe heute schon zwei solche Mails gelöscht. Falls jemand unter meinem Namen "GiselaWeltin" Mails mit blöden Betreffs bekommen hat (sorry), bitte sofort löschen. Allerdings ist mein Rechner lt. Virenscan-Programm Viren und Seuchen frei... Die Mails müssen von Anderen, die mich im in Ihren Mailinglisten (Outlook-Adressen) eingetragen haben, verbreitet worden sein. Virenfreie Grüße gisela Beschreibung des Virus!!!!!!!!!!!!!!!!!!!! -------------------------------------------------------------------------------- Name: W32.Sober.C@mm Alias: WORM_SOBER.C [Trend], W32/Sober.c@MM [McAfee] Art: Wurm Größe des Anhangs: variabel (mindest Größe 74,346 Bytes) Betriebssystem: Microsoft Windows Art der Verbreitung: Massenmailing Verbreitung: hoch Risiko: mittel Schadensfunktion: Massenmailing Spezielle Entfernung: Tool bekannt seit: 20. Dezember 2003 Beschreibung: W32.Sober.C@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine versendet. Die Absender-Adresse wird dabei gefälscht! Der Betreff ist in Englisch oder in Deutsch. Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen .bat, .com, .cmd, .exe, .pif oder .scr. Wird der Wurm aktiviert geschieht folgendes: 1. Der Wurm kopiert sich selbst unter "<zufälligername>" in das Windows-Systemverzeichnis. 2. Danach durchsucht er das System nach E-Mail-Adressen in Dateien mit folgenden Dateierweiterungen: .htt .rtf .doc .xls .ini .mdb .txt .htm .html .wab .pst .fdb .cfg .ldb .eml .abc .ldif .nab .adp .mdw .mda .mde .ade .sln .dsw .dsp .vap .php .nsf .asp .shtml .shtm .dbx .hlp .mht .nfo und speichert diese im Windows-Systemverzeichnis unter dem Namen savesyss.dll. Die gefundenen E-Mail-Adressen werden dann für die Weiterverbreitung verwendet. 3. Ein neuer Wert "<zufälliger Text>"="<zufälliger Pfad und Dateiname>" wird den beiden folgenden Registrierungsschlüsseln zugewiesen: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Durch den Eintrag in die Registry wird der Wurm beim jedem Start des Systems aktiviert. 4. Bei der ersten Aktivierung des Wurms erscheint folgende Meldung: 5. Die E-Mail hat eine der folgenden Betreffs und eine der folgenden Anhänge: Betreff: Betr: Klassentreffen Testen Sie ihren IQ Bankverbindungs- Daten Neuer Dialer Patch! Ermittlungsverfahren wurde eingeleitet Deutschland sucht den ... RTL: DSDS Ihre IP wurde geloggt Sie sind ein Raubkopierer Sie tauschen illegal Dateien aus Ich hasse dich Ich zeige sie an! Sie Drohen mir!! Anime, Pokemon, Manga, Handy ... AnmeldebestStigung Neu! Legales Filesharing Umfrage: Rente erst mit 80! du wirst ausspioniert Ein Trojaner ist auf Ihrem Rechner! Du hast einen Trojaner drauf! Hi, Ich bin's ups, i've got your mail Sorry, that's your mail hi, its me Thank You very very much you are an idiot why me? I hate you Preliminary investigation were started Your IP was logged You use illegal File Sharing ... A Trojan horse is on your PC a trojan is on your computer! Anime, Pokemon, Manga, ... Anhang: www.free4manga.com www.free4share4you.com www.tagespolitik-umfragen.com www.iq4you-german-test.com www.freewantiv.com www.free4share4you.com www.onlinegamerspro-worm.com www.freegames4you-gzone.com www.anime4allfree.com www.animepage43252.com aktenz#####.txt.* alledigis.* DrohMails.* haha_sehr_witzig.* Klassenfoto.* Kundendat####BaB.* remove-lsass.* remove-smss.* SysDial-patch.* Zugangsdaten.* downloader.* yourmail.* Wobei: # beliebige Ziffer * Dateierweiterung txt., doc, bat, cmd, pif, scr, exe, com Die Texte zu den deutschsprachigen Betreff-Zeilen finden Sie hier. Hinweise zur Entfernung des Wurms Wenn Ihr Betriebssystem Windows ME oder XP ist, müssen Sie vor der Entfernung die Systemwiederherstellung deaktivieren. Den Wurm auf einem infizierten Rechner lokalisieren und entfernen können Sie über eines der kostenlosen Entfernungstools von Symantec: FixSober.exe Direkt-Download oder Download mit Informationen NAI : stinger.exe (Direkt-Download oder Download mit Informationen ) oder Bitdefender: (Download mit Informationen) Generelle Hinweise: Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde. Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird. (Erstellt: 22.12.2003, geändert: 30.12.2003)