Beiträge

Alles Allgemeine zum Forum   Forum-Regeln   Fragen zum Forum   PC & Internet Eltern im Netz   Fragen rund um Leipziger KiTa's   Beispielhaftes und Missstände   Fragen rund um KiTa's im Landkreis   Suche / Biete KiTa- o. Betreuungsplatz   Zusammenarbeit mit Behörden, Ämtern ...   Modellprojekte von Stadt, Kreis, Land und Bund   So ist es woanders ?   Presseschau Gesetze, Richtlinien, Verordnungen   Grundlegendes   Alles rund um Gesundheit, Medizin etc.   Rund ums Essen, Ernährung und Hygiene   Familienbibliothek Mitteilungen   Diverses   Grüße   Umfragen Mitglieder und Gäste   Mitglieder und Gäste   Webseiten der Mitglieder   Foren der Mitglieder   Kalender          Gesamtdarstellung Detaildarstellung Einzeldarstellung Threaddarstellung

Beitrag 9 von 84 (11%)

Autor	j.rehde
Datum	03.12.05, 15:26
Betreff	Neue Sober-Varianten im Umlauf

---

Quelle: http://www.heise.de/security/artikel/66500

Für einige sicher zu spät
Beschreibung:

W32.Sober.X@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine mit gefälschten Absender-Adressen versendet. Der Betreff ist in Englisch oder in Deutsch und beinhaltet den Text "Ihr Passwort", "Account Information", "SMTP Mail gescheitert", "Mailzustellung wurde unterbrochen", "RTL: Wer wird Millionaer", "Sie besitzen Raubkopien", "Sehr geehrter Ebay-Kunde" oder "Ermittlungsverfahren wurde eingeleitet" Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen .zip.

Wird der Anhang entpackt und die beinhaltete Datei geöffnet, wird der Wurm aktiviert.
Neben englischen Texten sind auch deutsche Texte in der E-Mail vorhanden:

# Bei uns wurde ein neues Benutzerkonto mit dem Namen
beantragt.
Um das Konto einzurichten, benoetigen wir eine Bestaetigung, dass die bei der Anmeldung angegebene e-Mail-Adresse stimmt.
Bitte senden Sie zur Bestaetigung den ausgefuellten Anhang an uns zurueck.
Wir richten Ihr Benutzerkonto gleich nach Einlangen der Bestaetigung ein und verstaendigen Sie dann per e-Mail, sobald Sie Ihr Konto benutzen koennen.
Vielen Dank,
Ihr Ebay-Team

# Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 125.219.237.173 erfasst wurde.
Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingeleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tage schriftlich zugestellt.

Aktenzeichen NR.:# (siehe Anhang)
Hochachtungsvoll
i.A. Juergen Stock
--- Bundeskriminalamt BKA
--- Referat LS 2
--- 65173 Wiesbaden
--- Tel.: +49 (0)611 - xxxxxxxxxx oder
--- Tel.: +49 (0)611 - xx - 0

# Glueckwunsch: Bei unserer EMail Auslosung hatten Sie und weitere neun Kandidaten Glueck.
Sie sitzen demnaechst bei Guenther Jauch im Studio!
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
+++ RTL interactive GmbH
+++ Geschaeftsfuehrung: Dr. Constantin Lange
+++ Am Coloneum 1
+++ 50829 Koeln
+++ Fon: +49(0) 221-xxx x oder
+++ Fon: +49 (0) 180x xx xx xx



Die gefundenen E-Mail-Adressen werden dann für die Weiterverbreitung verwendet.

Weitere Schadensfunktionen

Neben dem Versenden von Emails über die eigene SMTP-Maschine besitzt der Wurm vermutlich noch weitere Schadensfunktionen:

* Deaktivierung der Antiviren-Programme
* Ausspionieren des Systems
* Reduzierung der Systemsicherheit



Entfernung

Bei einer Infizierung reicht das reine Update der Virendefinitionen eventuell nicht aus, um den Wurm zu entfernen.

Daher empfehlen wir die unten aufgeführten Entfernungstools runterzuladen.

Der Wurm kann möglicherweise nicht im laufenden System entfernt werden, da der laufende Prozess die Datei blockiert oder Windows das Verzeichnis, in dem sich das Programm befindet, schützt.

---