neue Virusversion vor Weihnachten, Sober.C |
Willkommen, Gast ( Anmelden | Registrierung )
neue Virusversion vor Weihnachten, Sober.C |
24 Dec 2003, 12:15
Beitrag
#1
|
|
oft im Keller Gruppe: tb admin Beiträge: 3.627 Mitglied seit: 30-December 01 Wohnort: NIEDERÖSTERREICH/Wachau Mitglieds-Nr.: 3 |
da bei meiner Mailbox zurzeit wieder unzählige Viruswarnungen reinflattern
ZITAT Dies wird kein geruhsamer Montagvormittag knapp vor Weihnachten! Seit gestern abend sind neue Varianten des Sober.C im deutschsprachigen Raum unterwegs. Diesmal hat/haben die Virenschreiber als „Übermittler“ des Virus die Düsseldorfer Polizei ausgewählt...die ob dieser Ehre nicht begeistert sind. Bei ihnen und anderen gefakten Absendern wie z.B. die Bamberger Bank eG Raiffeisen-Volksbank, laufen die Telefone heiss! Öffnen Sie bitte KEINE Mail bei der Sie sich nicht sicher sind, ob sie einen Virus enthalten könnte. Unseren Gratis-Remover finden Sie hier. Die Mails kommen derzeit mit verschiedenen Betreffzeilen wie „Ihre IP wurde geloggt“ oder „Sie sind ein Raubkopierer“ oder „Ermittlungsverfahren wurde eingeleitet“ daher. Mitgeschickt wird eine 73 KB grosse Datei mit einer der folgenden Endungen: .bat .com .cmd .exe .pif .scr Die eMail selbst ist varoiabel und könnte folgendes Aussehen haben: Betreff: Du hast einen Trojaner drauf! Text: Juten Tach, habe mal einen internet port scan gemacht. dabei konnte ich deinen rechner sehen und einsteigen. deine mail adresse hab ich auch auf deinem pc gefunden. bei dir ist der trojaner services.exe am wüten. deshalb kann jeder auf deinen rechner zugreifen! du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden. du wirst aber feststellen, das er sich nicht beenden lässt. solltest du windows98/me haben, siehst du ihn erst gar nicht im task! dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage hat es gedauert, bis ich endlich ein programm zum entfernen gefunden habe. ich hab's dir mal mit beigetan. wenn fragen, meld dich einfach. Oder: Betreff: Sie sind ein Raubkopierer Text: Sehr geehrte Damen und Herren, das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar. Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 65.168.255.230 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt. Die von uns gesammelten Daten unter dem Aktenzeichen #13973 sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar. Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit gemacht haben, wurde die Herkunft dieser Mail verschleiert. Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf, Europa Sonderkommission "Internet Downloads" Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868 Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868 Hochachtungsvoll i.A. PK Mollbach Hier nun genauere Informationen zum I-Worm.Sober.C Für den nächsten Start des Wurmes nach einem Rechnerneustart sorgen die Registryeinträge: HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun Keyname=%System%Dateiname.exe Keyname zund Dateiname sind variabel! Die eMail: Da "I-Worm.Sober" einen eigenen SMTP-Server integriert hat ist er nicht auf Outlook angewiesen. Die eMailadressen, an welche er sich versendet, sucht er sich aus Dateien vom infizierten PC: htt rtf doc xls ini mdb txt htm html wab pst fdb cfg ldb eml abc ldif nab adp mdw mda mde ade sln dsw dsp vap php asp shtml shtm Wie geht I-Worm.Sober.C vor: Es schickt sich selbst von infizierten Rechnern per e-Mail weiter, also wie gehabt. Neu (wenn man in dieser Sache von originell sprechen kann) und doch gewieft sind die Texte des Mails und insbesonders der Betreffzeilen. So finden sich hier z.B. Betreffzeilen wie "Ihre IP wurde geloggt", "Sie sind ein Raubkopierer" oder auch "Ermittlungsverfahren wurde eingeleitet" und viele andere mehr. Der Text des Mails selbst ist auch „plausibel“ verfasst und enthält eine 73 KB großen Datei mit einer der Endungen ".bat", ".com", ".cmd", ".exe", ".pif" oder ".scr". Im Text wird dem Empfänger z.B. mit einem Strafverfahren gedroht und die Sonderkommission "Internet Downloads" der Polizei Düsseldorf als Absender der Mails angegeben. (Die Düsseldorfer Polizei ist übrigens nicht erfreut -J und wird mit Anrufen besorgter User aus dem gesamten deutschsprachigen Raum bombardiert. Weiters verbreitet sich dI-Worm.Sober.C nicht nur in deutscher Sprache, sondern abhängig vom Domain-Suffix (also .at, .de etc.) auch in englischr Sprache. Seine Entfernung aus dem infizierten System ist etwas umständlich da I-Worm.Sober.C zwei oder dreimal gestartet wird und sich selbst sowie die Registry auf Änderungen (Beendeter Task sowie löschen der Registryeinträge) kontrolliert und selbst wieder startet bzw. sich wieder in die Registry einträgt. Die Entfernung kann nur im Abgesicherten Modus erfolgen da der Wurm den Zugriff auf die infizierten Dateien sowie die Änderungen in der Registry unterbindet! Manuelle Anleitung zum Entfernen der Wurm-Variante Sober.C für Betriebssystem Win 2000, Win XP Windows 2000 erster Schritt: Starten des Computers im abgesicherten Modus. (Beim Starten auf die Taste F8 drücken). zweiter Schritt: Starten des Registrierungs- Editor (auf Start/Ausführen gehen regedit eintragen und mit OK bestätigen). Folgende Einträge sollten gelöscht werden: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “(string)“ = %SysDir%ONDMOSTR.EXE HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “(string)“ = %SysDir%ONDMOSTR.EXE dritter Schritt: löschen Sie folgende Dateien C:WINDOWSSYSTEM32SAVESYSS.DLL;HUMGLYLKUR;YDJQ.YQWM;SYSHOSTX.EXE;ONDMONSTR.EXE;DA TMSCRYPT.EXE Starten Sie den Computer neu! Windows XP erster Schritt: Starten des Computers im abgesicherten Modus. (Beim Starten auf die Taste F8 drücken). zweiter Schritt: Starten des Registrierungs- Editor (auf Start/Ausführen gehen regedit eintragen und mit OK bestätigen). Folgende Einträge sollten gelöscht werden: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun “(string)“ = %SysDir%ONDMOSTR.EXE HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “(string)“ = %SysDir%ONDMOSTR.EXE dritter Schritt: löschen Sie folgende Dateien C:WINDOWSSYSTEM32SAVESYSS.DLL;HUMGLYLKUR;YDJQ.YQWM;SYSHOSTX.EXE;ONDMONSTR.EXE;DA TMSCRYPT.EXE Starten Sie den Computer neu! Quelle: ikarus.at |
|
|
24 Dec 2003, 12:37
Beitrag
#2
|
|
Schranz Guardian Gruppe: Members Beiträge: 170 Mitglied seit: 4-November 03 Wohnort: upperaustria Mitglieds-Nr.: 2.592 |
würmer usw sind momentan eh sehr verbreitet, hatte die tage auch eine "startpage" hineingesetzt bekommen -> javascript.....
aber schon wieder weg, dank ad-aware 6 Der Beitrag wurde von poison911 bearbeitet: 24 Dec 2003, 12:37 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 1. November 2024 - 06:38 |
Copyright 2001 - 2014 technoboard.at
|
Die
Texte geben die Meinung der Autoren und nicht unbedingt die des technoboard.at
Teams wieder.
Alle fraglichen Inhalte werden auf Anfrage und alle gegen die BoardRegeln verstossenden Einträge automatisch entfernt (sobald sie bemerkt werden). Kontakt: [email protected] |