neue Virusversion vor Weihnachten, Sober.C Einstellungen

[K]

da bei meiner Mailbox zurzeit wieder unzählige Viruswarnungen reinflattern

Dies wird kein geruhsamer Montagvormittag knapp vor Weihnachten!

Seit gestern abend sind neue Varianten des Sober.C im deutschsprachigen Raum unterwegs.



Diesmal hat/haben die Virenschreiber als „Übermittler“ des Virus die Düsseldorfer Polizei ausgewählt...die ob dieser Ehre nicht begeistert sind.

Bei ihnen und anderen gefakten Absendern wie z.B. die Bamberger Bank eG Raiffeisen-Volksbank, laufen die Telefone heiss!



Öffnen Sie bitte KEINE Mail bei der Sie sich nicht sicher sind, ob sie einen Virus enthalten könnte.



Unseren Gratis-Remover finden Sie hier.




Die Mails kommen derzeit mit verschiedenen Betreffzeilen wie „Ihre IP wurde geloggt“ oder „Sie sind ein Raubkopierer“ oder „Ermittlungsverfahren wurde eingeleitet“ daher. Mitgeschickt wird eine 73 KB grosse Datei mit einer der folgenden Endungen:

.bat
.com
.cmd
.exe
.pif
.scr

Die eMail selbst ist varoiabel und könnte folgendes Aussehen haben:

Betreff: Du hast einen Trojaner drauf!

Text:
Juten Tach,
habe mal einen internet port scan gemacht. dabei konnte
ich deinen rechner sehen und einsteigen.
deine mail adresse hab ich auch auf deinem pc gefunden.

bei dir ist der trojaner services.exe am wüten. deshalb kann
jeder auf deinen rechner zugreifen!
du kannst ja mal den taskmanager öffnen, und versuchen ihn zu beenden.
du wirst aber feststellen, das er sich nicht beenden lässt.
solltest du windows98/me haben, siehst du ihn erst gar nicht im task!

dieses hartnäckige miststück hatte ich auch mal drauf, 3 tage
hat es gedauert, bis ich endlich ein programm zum entfernen
gefunden habe. ich hab's dir mal mit beigetan. wenn fragen,
meld dich einfach.

Oder:

Betreff: Sie sind ein Raubkopierer

Text:
Sehr geehrte Damen und Herren,

das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 65.168.255.230 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten
Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #13973
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.


Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868

Hochachtungsvoll

i.A. PK Mollbach


Hier nun genauere Informationen zum I-Worm.Sober.C

Für den nächsten Start des Wurmes nach einem Rechnerneustart sorgen die Registryeinträge:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
Keyname=%System%Dateiname.exe

Keyname zund Dateiname sind variabel!

Die eMail:

Da "I-Worm.Sober" einen eigenen SMTP-Server integriert hat ist er nicht auf Outlook angewiesen. Die eMailadressen, an welche er sich versendet, sucht er sich aus Dateien vom infizierten PC:

htt
rtf
doc
xls
ini
mdb
txt
htm
html
wab
pst
fdb
cfg
ldb
eml
abc
ldif
nab
adp
mdw
mda
mde
ade
sln
dsw
dsp
vap
php
asp
shtml
shtm

Wie geht I-Worm.Sober.C vor:

Es schickt sich selbst von infizierten Rechnern per e-Mail weiter, also wie gehabt.

Neu (wenn man in dieser Sache von originell sprechen kann) und doch gewieft sind die Texte des Mails und insbesonders der Betreffzeilen.

So finden sich hier z.B. Betreffzeilen wie "Ihre IP wurde geloggt", "Sie sind ein Raubkopierer" oder auch "Ermittlungsverfahren wurde eingeleitet" und viele andere mehr.

Der Text des Mails selbst ist auch „plausibel“ verfasst und enthält eine 73 KB großen Datei mit einer der Endungen ".bat", ".com", ".cmd", ".exe", ".pif" oder ".scr".

Im Text wird dem Empfänger z.B. mit einem Strafverfahren gedroht und die Sonderkommission "Internet Downloads" der Polizei Düsseldorf als Absender der Mails angegeben.
(Die Düsseldorfer Polizei ist übrigens nicht erfreut -J und wird mit Anrufen besorgter User aus dem gesamten deutschsprachigen Raum bombardiert.

Weiters verbreitet sich dI-Worm.Sober.C nicht nur in deutscher Sprache, sondern abhängig vom Domain-Suffix (also .at, .de etc.) auch in englischr Sprache.

Seine Entfernung aus dem infizierten System ist etwas umständlich da I-Worm.Sober.C zwei oder dreimal gestartet wird und sich selbst sowie die Registry auf Änderungen (Beendeter Task sowie löschen der Registryeinträge) kontrolliert und selbst wieder startet bzw. sich wieder in die Registry einträgt.

Die Entfernung kann nur im Abgesicherten Modus erfolgen da der Wurm den Zugriff auf die infizierten Dateien sowie die Änderungen in der Registry unterbindet!






Manuelle Anleitung zum Entfernen der Wurm-Variante Sober.C



für Betriebssystem Win 2000, Win XP



Windows 2000



erster Schritt:

Starten des Computers im abgesicherten Modus. (Beim Starten auf die Taste F8 drücken).



zweiter Schritt:

Starten des Registrierungs- Editor (auf Start/Ausführen gehen  regedit eintragen und mit OK bestätigen). Folgende Einträge sollten gelöscht werden: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun  “(string)“ = %SysDir%ONDMOSTR.EXE



HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “(string)“  = %SysDir%ONDMOSTR.EXE



dritter Schritt:

löschen Sie folgende Dateien

C:WINDOWSSYSTEM32SAVESYSS.DLL;HUMGLYLKUR;YDJQ.YQWM;SYSHOSTX.EXE;ONDMONSTR.EXE;DA
TMSCRYPT.EXE



Starten Sie den Computer neu!



Windows XP



erster Schritt:

Starten des Computers im abgesicherten Modus. (Beim Starten auf die Taste F8 drücken).



zweiter Schritt:

Starten des Registrierungs- Editor (auf Start/Ausführen gehen  regedit eintragen und mit OK bestätigen). Folgende Einträge sollten gelöscht werden: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun  “(string)“ = %SysDir%ONDMOSTR.EXE



HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “(string)“  = %SysDir%ONDMOSTR.EXE



dritter Schritt:

löschen Sie folgende Dateien C:WINDOWSSYSTEM32SAVESYSS.DLL;HUMGLYLKUR;YDJQ.YQWM;SYSHOSTX.EXE;ONDMONSTR.EXE;DA
TMSCRYPT.EXE



Starten Sie den Computer neu!

Quelle: ikarus.at

[The Blobb]

Den hat bekannter bekommen, schon krass.
Gestern bekam ich eine Mail die ich löschen wollte, dank Outlook öffnete sich aber sofort eine Webseite mit dem IE (benutze normalerweise nur Opera) inkl. 2 Popup Fenstern.
Hatte sofort 5 Viren am Computer aber Dank Norton IS 2004 sofort erkannt und gelöscht!
Heute sicherheitshalber nochmal gescannt alles aber wie immer alles paletti bei mir. ;-)

Es schimpfen ja immer viele Leute auf Norton AV aber ich bin echt zufrieden bis jetzt mit dem Programm!

[poison911]

würmer usw sind momentan eh sehr verbreitet, hatte die tage auch eine "startpage" hineingesetzt bekommen -> javascript.....
aber schon wieder weg, dank ad-aware 6

Der Beitrag wurde von poison911 bearbeitet: 24 Dec 2003, 12:37

[treasure x]

Ja, der ad-aware ist echt ein geiles tool, aber beim Norton sollte man sich nicht täuschen. Ich hatte auch den MSBlast und der schaltet zu allererst den Norton aus. Da findest Du dann auch keinen Virus mehr auf Deinem Rechner, obwohl er ganz sicher am arbeiten ist...

[Martin Martini]

ja, is mir auch schon passiert, vor allem werden viele viren immer diffuser und schwerer zu erkennen....

ich empfehle auch allen sich das programm spybot - search & destroy zuzulegen, hat mir schonmal aus der patsche geholfen....