zurück zur Übersicht

 

  W32.Sober.E
Virus-Information 		aktualisiert
29.03.2004-15:10 		 

Name: 

W32.Sober.E

Alias in V-Check  
Datum:  29.03.2004
Typ:  Massen-Mail-Wurm mit Attachment
Betrifft:  alle gängigen Windows-Betriebssysteme:
Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Auswirkung: 

Wird W32.Sober.E durch Öffnen des Attachments (Doppelklick) aktiviert, ...

  1. kopiert er sich ins Windows/System-Verzeichnis als "msWord.wrd"
  2. und legt zusätzliche Dateien ab:
    MsHelp32.dat
    WinRun32.dll (Sammlung eMail-Adressen)
    bcegfds.lll
    zmndpgwf.kxx
  3. wird Microsoft PaintBrush ausgeführt oder eine Fehlermeldung angezeigt
  4. wird eine Internetverbindung aufgebaut, das datum ermittelt und
  5. nach dem 24.03. eine Datei "ndhaqqth.exe" vom Netz heruntergeladen und ausgeführt.
Die Auswirkungen von "ndhaqqth.exe" sind dzt. nicht bekannt.
Info: 

W32.Sober.E benützt zur Verbreitung auch eMailadressen, die er auf der Festplatte (zB: in temporären oder gespeicherten Datein besuchter Webseiten) eines befallenen Rechners findet, und fälscht dann die Absenderadresse.
Antworten - an den vermeintlichen Absender haben also keinen Sinn.

Folgende Absender deuten auf ein infiziertes eMail hin:

irgendwas@gmx.net
irgendwas@gmx.de

Folgende Betreffzeilen deuten auf ein infiziertes eMail hin:

Hi
hi
Hi :-)
Ok ;-)
OK OK
OK Ok OK!
Hey!
Thx !!!

gefolgt von Message-ID: Zufalls-Wert.qmail

Folgende Attachments deuten auf ein infiziertes eMail hin:

Text.zip
Text.pif
Read.zip
Read.pif
Graphic-doc.zip
Graphic-doc.pif
document.zip
document.pif
Word.zip
Word.pif
Graphic_Textdocument.pif

Die Nachricht selbst kann so aussehen:

;-)
ha!
HA :-)
yo!
lol
LoL
LOL
Yo!

 

W32.Sober.E kann auch anhand folgender Registryeinträge erkannt werden:
Warnung: Wenn Sie sich mit dem Registry-Editor nicht auskennen, lassen Sie die Finger davon!
 

  1. HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ Run\
    "<Zufalls-Wert>" = "%Systemverz%\<Zufalls-Wert>.exe"
  2. HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce\
    "<Zufalls-Wert>" = "%Systemverz%\<Zufalls-Wert>.exe %1"

    <Zufalls-Wert> ist ist kein Name sondern ein Zufalls-Wert aus dieser Liste:
    sys
    host
    dir
    explorer
    win
    run
    log
    32
    disc
    crypt
    data
    diag
    spool
    service
    smss32

 

Links:   
Entfernung: 

Die Entfernung bzw. Anwendung von Removal-Tools wird von uns nicht supportet und erfolgt auf Ihre eigene Gefahr!

Manuell:
1.   Alle vom virus angelegten Dateien löschen.
2.   Virenscanner-Prüfung: Alle infizierten Dateien löschen.
3.   Entfernen der Registrierungseinträge.

Entfernungs-Tools:
Symantec (EXE-Datei) Sober A-E

 

zurück zur Übersicht