zurück zur Übersicht

Sober-C ist als klassischer Internet-Wurm ein Nachfolger von Sober, der sich über eMail verbreitet.
Infizierte eMails enthalten variable Betreffzeilen sowie Texte in Englisch oder in Deutsch.
Er kann Windows 95, 98, NT, 2000, ME und XP Systeme infizieren.

Sober-C versendet sich selbst weiter.
Er verfügt über eigene SMTP-Engine - er ist nicht auf Outlook angewiesen.
Dabei verwendet Sober-C eine gefälschte Mailadresse als Absender.

Sober-C ist ein klassischer Internet-Wurm, der sich über eMail verbreitet.
Infizierte eMails enthalten variable Betreffzeilen sowie Texte in Englisch oder auch in Deutsch.
Er kann gängige Windows-Systeme (95, 98, NT, 2000, 2003, ME, XP ) infizieren.

Sober-C benützt zur Verbreitung auch eMailadressen, die er auf der Festplatte (zB: in temporären oder gespeicherten Datein besuchter Webseiten) eines befallenen Rechners findet, und fälscht dann die Absenderadresse.
Antworten - an den vermeintlichen Absender haben also keinen Sinn.

Durch einen Doppelklick auf das Attachment wird der Wurm aktiviert.

Er kann (muss aber nicht) folgende gefälschte Fehlermeldung anzeigen:

"........" has caused an unknown error.
Stop: 00000010x08

Folgende Betreffzeilen deuten auf ein infiziertes eMail hin:

Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige Sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
AnmeldebestStigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
ups, i've got your mail
Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...

Folgende Attachments deuten auf ein infiziertes eMail hin:

www.iq4you-german-test.com
www.freewantiv.com
www.free4share4you.com
www.onlinegamerspro-worm.com
www.freegames4you-gzone.com
www.anime4allfree.com
www.animepage43252.com
downloader.exe
yourmail.txt.com
alledigis.txt oder alledigis.doc

Folgendes Beispiel zeigt wie User verunsichert werden:
Vorallem jene, die ohnehin ein schlechtes Gewissen haben ;-))

Subject: Sie sind ein Raubkopierer

Sehr geehrte Damen und Herren,

das Herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 123.459.789.123 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #30345 sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit gemacht haben, wurde die Herkunft dieser Mail verschleiert.

Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf, Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) *** - 0 oder (0211) *** - ****
Rufnummer außerhalb Deutschland (0049211) *** - 0 oder (0049211) *** -****

Hochachtungsvoll
i.A. PK Mollba

• 12.01.2004
Am 10.01.2004 informierte uns ein Leser (A.R. aus Österreich) über eine weitere Variante:
     Betreff: vielleicht schaffst du es
     Attachment: test.bat
Die Angaben konnten (noch) nicht verifiziert werden. Allerdings ist der Anhang test.bat auf jeden Fall mit Vorsicht zu geniessen!
Anm.: Eine *.bat-Datei kann auf einem Windows-Computer ausgeführt werden und auch beträchtlichen Schaden anrichten.

Die Entfernung bzw. Anwendung von Removal-Tools wird von uns nicht supportet und erfolgt auf Ihre eigene Gefahr!

Symantec (engl.)

zurück zur Übersicht