zurück zur Übersicht

Sober ist ein klassischer Internet-Wurm, der sich über eMail verbreitet. Infizierte eMails enthalten variable Betreffzeilen sowie Texte in Englisch oder in Deutsch. Er kann Windows 95, 98, NT, 2000, ME und XP Systeme infizieren.

Sober versendet sich selbst weiter.
Er verfügt über eigene SMTP-Engine - er ist nicht auf Outlook angewiesen.

• 29.10.2003:
Sober legt im Windows System-Ordner (zB: C:\Windows) eine Struktur an: ..\Macromed\Help\Media.dll
Wenn diese Ordner/Dateien auf Ihrem System sind, liegt wahrscheinlich eine akute Infektion mit Sober vor!

Sobig ist in der Lage, anhand der Landeskennung, an welche er sich weiter versendet, die Sprache zu wechseln.
ZB kann er bei .at (Österreich) und .de (Deutschland) auf deutsche Betreffs und Inhalte wechseln.

Sober ist ein klassischer Internet-Wurm, der sich über eMail verbreitet.
Infizierte eMails enthalten variable Betreffzeilen sowie Texte in Englisch oder auch in Deutsch.
Er kann gängige Windows-Systeme (95, 98, NT, 2000, 2003, ME, XP ) infizieren.

Durch einen Doppelklick auf das Attachment wird der Wurm aktiviert.

Er kann (muss aber nicht) folgende gefälschte Fehlermeldung anzeigen:

Sober verfügt über eigene SMTP-Engine - er ist nicht auf Outlook angewiesen.

Folgende Betreffzeilen deuten auf ein infiziertes eMail hin:

Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr gehört!
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, it's enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
RE: Sex
Sorry, I've become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise
I've become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
I love you (I'm not a virus!)

• 28.10.2003:
Sober benützt zur Verbreitung auch eMailadressen, die er auf der Festplatte (zB: in temporären oder gespeicherten Datein besuchter Webseiten) eines befallenen Rechners findet, und fälscht dann die Absenderadresse.
Antworten - an den vermeintlichen Absender haben also keinen Sinn.

Beispiel:

Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!!
Wie es aussieht, ist bei Ihnen der ODIN Wurm aktiv!
Sie sollten mit dem Patch-Programm testen,
ob der Wurm bei Ihnen auf der Platte ist um Ihn dann automatisch
löschen zu lasseg
Niks wie ungut!
Attachment: Check-Patch.bat

• 29.10.2003:
Entfernungs-Tool verfügbar [hier]

weitere Beispiele:

Kaspersky Lab Int. und Norton Anti Virus haben einen neuen Typos von Wurm entdeckt.
Der Wurm nennt sich selbst ODIN und konnte sich bist jetzt,
unbemerkt auf vielen Computern ausbreiten!
Diese Mail wurde selbst mit dem Wurm verschickt, aber, als Anhang mit einem AntiVirus bestückt,
den Norton in Zusammenarbeit mit Kaspersky Lab entwickelt hat!
Sie sollten auf jeden Fall das <Removal tool> benutzen um ggf. den Wurm zu entfernen!
Attachment: Removal-Tool.exe

Folgende Attachments deuten auf ein infiziertes eMail hin:

AntiVirusDoc.pif
Check-Patch.bat
Screen_Doku.scr
Removal-Tool.exe
Perversionen.scr
Bild.scr
robot_mail.scr
RobotMailer.com
Privat.exe
AntiTrojan.exe
Mausi.scr
NackiDei.com
Anti-Sob.bat
security.pif
Funny.scr
Liebe.com
Odin_Worm.exe
anti_virusdoc.pif
check-patch.bat
removal-tool.exe
screen_doc.scr
potency.pif
perversion.scr
pic.scr
CM-Recover.com
playme.exe
robot_mailer.pif
little-scr.scr
love.com
nacked.com
Hengst.pif
schnitzel.exe
anti-trojan.exe
NAV.pif
private.exe

Die Entfernung bzw. Anwendung von Removal-Tools wird von uns nicht supportet und erfolgt auf Ihre eigene Gefahr!

Ikarus-Software (EXE-Datei)

zurück zur Übersicht