Neue Mails mit Virenverseuchten Anhängen sind unterwegs
W32.Sober.F@mm
An entdeckt: April 03, 2004
Letztes an aktualisiert: April 05, 2004 11:53:16 Morgens
Wegen einer erhöhten Rate von Unterordnungen, Symantec Sicherheit Antwort hat diese Drohung von einer Kategorie 2 zu einer Kategorie verbessert 3, die ab April 4, 2004 veranschlägt.
W32.Sober.F@mm ist eine Variante von W32.Sober.E@mm, das als email Zubehör sich verbreitet.
Das Thema: und Körper: vom email schwanken Sie und werden auf deutsches oder englisch geschrieben.
--------------------------------------------------------------------------------
Anmerkungen:
Symantec Verbraucherprodukte, die die Endlosschraube stützen, die automatisch Funktionalität blockiert, ermitteln diese Drohung, wie sie versucht zu verbreiten.
Die Endlosschraube hat nicht einen statischen Wert des Durcheinanders MD5.
Symantec Sicherheit Antwort hat ein Abbau werkzeug entwickelt , um die Infektion von W32.Sober.F@mm zu säubern.
--------------------------------------------------------------------------------
W32.Sober.F@mm wird in Microsoft sichtlichgrundlegendes geschrieben und wird mit UPX verpackt.
Alias: W32/Sober.f@MM [ McAfee ], Win32.Sober.F [ Computer-Teilnehmer ], W32/Sober-F [ Sophos ], WORM_SOBER.F [ Tendenz ]
Varianten: W32.Sober.E@mm
Art: Endlosschraube
Infektion-Länge: 42.496 Bytes
Systeme Beeinflußten: Windows 2000, Windows 95, Windows 98, Windows Ich, Windows NT, Windows.xp
Systeme Nicht Beeinflußt: DOS, Linux, Macintosh, OS/2, UNIX
Virus-Definitionen (Intelligentes Updater) *
April 04, 2004
Virus-Definitionen (LiveUpdate) **
April 04, 2004
*
Intelligente Updater Definitionen werden täglich freigegeben, aber manuelles Download und Installation erfordern.
Klicken Sie hier , um manuell zu downloaden.
**
LiveUpdate Virusdefinitionen werden normalerweise jeder Mittwoch freigegeben.
Klicken Sie hier für Anweisungen im Verwenden von von LiveUpdate.
Wild:
Zahl von Infektion: 50 - 999
Zahl der Aufstellungsorte: Mehr als 10
Geographische Verteilung: Niedrig
Drohungeindämmung: Einfach
Abbau: Gemäßigt
Drohung-Metrik
Wild:
Mittel
Beschädigung:
Mittel
Verteilung:
Hoch
Beschädigung
Nutzlast Auslöser: n/a
Nutzlast: n/a
Große Skala e-Verschicken: Schickt Post zu den Adressen, die von der lokalen Maschine gesammelt werden
Löschungakten: n/a
Ändert Akten: Ändert das System Register.
Vermindert Leistung: n/a
Verursacht System Instabilität: n/a
Gibt vertrauliches Infofrei: n/a
Vergleicht sich Sicherheit Einstellungen: Mag den Inhalt willkürlich durchführen, der vom Netz downloadet wird.
Verteilung
Thema von email: Verändert sich
Name des Zubehörs: Schwankt mit der exe oder zip Dateiextension.
Größe des Zubehörs: 42.496 Bytes
Zeitstempel des Zubehörs: n/a
Tore: n/a
Geteilte Antriebe: n/a
Ziel der Infektion: n/a
Wenn W32.Sober.F@mm läuft, führt es die folgenden Tätigkeiten durch:
Kopien selbst als %System%\
--------------------------------------------------------------------------------
Anmerkungen:
%System% ist eine Variable. Die Endlosschraube lokalisiert das System Heft und kopiert sich zu dieser Position. Durch Rückstellung ist dieses C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows.xp).
Die Variable < des gelegentlichen Dateinamens > wird nach dem zufall von der folgenden Liste vorgewählt:
System
Wirt
dir
Forscher
Gewinn
Durchlauf
Maschinenbordbuch
32
Scheibe
Krypta
Daten
diag
Spule
Service
smss32
--------------------------------------------------------------------------------
Verursacht den Registerschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\
und addiert einen Wert:
"< gelegentlicher Wert >" = "%System%\
damit die Endlosschraube beginnt, wenn Windows beginnt.
Versuche, den Wert zu addieren:
"< gelegentlicher Wert >" = "%System%\
im Registerschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce
damit die Endlosschraube beginnt, wenn Windows beginnt.
--------------------------------------------------------------------------------
Anmerkung: Die Variable < des gelegentlichen Wertes > wird mit der Liste < des gelegentlichen Dateinamens > oben verursacht.
--------------------------------------------------------------------------------
Auf Windows.xp fügt einen gelegentlichen Wert dem folgenden Schlüssel hinzu, damit die Endlosschraube beginnt, wenn Windows beginnt:
HKEY_USERS\S-1-5-21-??????????-??????????-?????????-???\SOFTWARE \
Microsoft
Läßt die folgenden Akten fallen:
%System%\zmndpgwf.kxx
%System%\zhcarxxi.vvx
%System%\bcegfds.lll
%System%\syst32win.dll (A Maschinenbordbuchakte, die eine Liste der email Adressen enthält, die auf einem angesteckten Computer. gesammelt werden)
%System%\winsys32xx.zzp
%System%\winhex32xx.wrm
%System%\spoofed_recips.ocx
Wenn das System nicht an das Internet angeschlossen wird, versucht die Drohung mit allen vorhandenen anwählbaren Anschlüssen anzuschließen und kann das folgende Dialogfeld anzeigen:
Microsoft Windows
ANSCHLAG: 0x80070725 {FatalSystemError}
System Akte [ filename].exe
Anschluß verloren oder von Firewall blockiert
Zählt alle örtlich festgelegten Antriebe auf dem Computer auf und lichtet Akten für email Adressen ab, wenn sie die folgenden Verlängerungen haben:
abc
abd
abx
adb
ade
adp
adr
asp
bas
cfg
cgi
cls
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
ods
oft
php
pl
pp
ppt
pst
rtf
shtml
sln
tbb
txt
uin
vap
vbs
wab
wsh
xls
xml
Speichert die gesammelten email Adressen in der Akte, %System%\syst32win.dll.
Email selbst zu den emailadressen sammelten über dem Verwenden seiner eigenen smtp Maschine.
Das email hat die folgenden Eigenschaften:
Von: (ein vom folgenden deutschen oder das englisch)
Deutscher:
Webmaster
Fehler-Info
Verwalter
RobotMailer
AutoMailer
Register
Service
Info
Passwort
Kundenservice
Liste
Schwarze-Liste
Informationen
Englisch:
Verwalter
Webmaster
Haupt
Register
Service
Info
admin
Error_Info
RobotMailer
AutoMailer
Benutzer-Info
Konto
webmaster
oder verursacht durch das Verwenden des Benutzernamens der gesammelten email Adressen mit dem Folgen:
@abuse.de
@yahoo.com
@yahoo.de
@gmx.de
@gmx.net
@web.de
@freenet.de
@lycos.de
Thema: (ein vom folgenden deutschen oder das englisch)
Deutscher:
Einzelheiten
Hallo DU!
Hallo!
He DU
Hallo, Ich Sortierfaches
Ich Sortierfach es. -)
Verdammt
Na, überrascht?!
Info
Informationen
Fehlerhafte Mailzustellung
Mailzustellung fehlgeschlagen
Fehler
Illegale Zeichen in der Post-Wegewahl
Verbindung fehlgeschlagen
Fehler in email
Bestätigung
Registrierungs-Bestätigung
Ihr neues Passwort
Ihr Passwort
Datenbank-Fehler
Warnung!
Englisch:
OH- mein Gott
He
Hallo!
Hallo, ist es ich
he Sie
Fluch!
Gut überrascht?
Info
Informationen
Fehlerhafte Postzustellung
Postzustellung fiel aus
Post-Störung
Ungültige Zeichen in der Post-Wegewahl
Anschluß fiel aus
Unzulässige Postsatzlänge
Postzustellungausfall
Anzeige Störung
Postzustellungstatus
Bestätigung Erforderte
Schlechte Einfahrt
Warnung!
Ihr Dokument
vorbei gefolgt:
Anzeige-Kennzeichnung: < %Random_String%.qmail >
Körper: (ein vom folgenden deutschen oder das englisch)
Deutscher:
Ich Kriegauch ein wenigüberrascht!
Wer konnte also etwas ahnen!? Lese selbst
OH-Mann
Alles klaro bei dir?
Schau mal war Ich gefunden habe!
Sieh mal Nach Ob du den Scheiss Auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Tschuess
Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwörter rauszubekommen!!!
Passwoerter.txt
Details entnehmen Sie bitte dem Zubehör
Nähere Informationen befinden sich im Anhang.
*** SelbstcPostzustellung-System ***
Ihre email konnte nicht gesendet oder empfangen werden.
Bitte überprüfen Sie nochmals diese email auf mögliche Fehlerquellen.
Befestigung: AMD-System.txt
* Ende Getriebe
Virenschutz
--- Netz: https://www
--- Post Zu: Benutzer-Hilfe
Passwort und Benutzername wurde erfolgreich geändert
Ihre Benutzernamen und Passwörter befinden sich im Anhang dieser email
++++ Im WWW erreichbar unter: https://www
++++ email: KundenInfo
Wegen eines Datenbank- Fehlers könnte es möglicherweise zu, das einem Verlust Ihrer Daten wie Kennwörter persönlichen, gekommen sein.
Wenn Sie Unregelmässigkeiten festgestellt haben, melden Sie uns bitte umgehend Höhle Datenverlust.
Vielen Feuchtes für Ihr Verständnis
+++ Ein Service von
+++ https://www
+++ email: Kundenservice
Internet-Versorger-Mißbrauch:
Wir haben festgestellt, dass, Sie illegale, das Internet Seiten besuchen.
Bitte beachten Sie folgende Liste:
Englisch:
Ich war, auch überrascht! :- (
Wer konnte etwas wie das vermuten?
Ganz O.K.
sehen Sie, was ich gefunden habe!
hallo sein ich
ich habe ein shity Virus auf meiner PC Überprüfung Ihr PC, auch gefunden!
folgen Sie den Schritten in diesem Artikel.
Tschuess
' ve I erklärte Ihnen!:-) einmal ergreife ich Ihre Kennwörter!
Ich hoffe, daß Sie das Resultat annehmen!
Befolgen Sie die Anweisungen, die Anzeige zu lesen.
Lesen Sie bitte das Dokument
Ausrichtung Bestätigung
Ihr Kennwort
Ihr Postkonto
Ihr Kennwort wurde erfolgreich geändert.
Geschützte Anzeige wird angebracht.
++++ Service: http:/ /www.
++++ Post Zu: Benutzer-Info
*** SelbstcPostzustellung-System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said:_554_delivery_error:
_ dd_Sorry_your_message_cannot_be_delivered._This_account_has_been_disabled _
or_discontinued_[#102]._-_mta134.mail.dcn.com *** diese Linie ist von Symantec für Formatierung *** geändert worden
** Ende der Übertragung
Die ursprüngliche Anzeige ist ein unterschiedliches Zubehör.
--- Netz: http:/ /www.
--- Post Zu: Benutzer-Hilfe
Lesen Sie das Zubehör für Details.
Schlechte Einfahrt: Die Anzeige ist angebracht worden.
+++ A Service von < randomy choosen Gebiet >
+++ http:/ /www.
+++ Post: Haupt
Die Anzeige ist angebracht worden.
Datenbank # Störung
-- teilweise Anzeige ist vorhanden!
-- Störung: llegal Zeichen in der Post-Wegewahl
-- Mail server: ESMTP VX32.9 Version Betha Alpha
Jedes verwenden Ihre Konten!
Für weitere Details sehen Sie das Zubehör.
Ich habe Ihr Dokument empfangen. Das behobene Dokument wird angebracht.
grüßt
Zubehör: (ein des folgenden Deutschen oder des Englisch, mit einer pif oder zip Verlängerung)
Deutscher:
OH-Mann
Dokument
KurzText
AntiVirus-Text
Anleitung
Passwoerter.txt
Text-Inhalt
AMD-System.txt
Benutzer-Daten
Datenbank-Fehler
Mißbrauch-liste
schwarze-hören Sie
Blockieren-Listen
Englisch:
anitv_text
Anweisungen
your_article
your_passwords
messagedoc
Corrected_textakte
Anbringenanzeige
< Random>zubehör
< random>_attach
überschreiten-Anzeige
Text
Textdocument
Die Endlosschraube überspringt email Adressen, die die folgenden Teilketten enthalten:
Werbung-Dämon
Büro
redaktion
Unterstützung
variabel
Kennwort
Zeit
postmas
Service
freeav
@ca.
Mißbrauch
winrar
Gebiet.
Wirt.
viren
ewido.
emsisoft
linux
google
@foo.
winzip
@arin
mozilla
@iana
@avp
@msn
Microsoft.
@sophos
@panda
symant
NTP
NTP @
@ntp.
@kaspers
frei-Handels
antivir
Virus
verizon.
@ikarus.
@nai.
@messagelab
Taktgeber
Symantec Sicherheit Antwort regt alle Benutzer und Verwalter an, die folgende grundlegende Sicherheit "beste Praxis" zu befolgen:
Stellen Sie ab und entfernen Sie nicht benötigte Dienstleistungen. Durch Rückstellung bringen viele Betriebssysteme zusätzliche Dienstleistungen, die nicht, wie ein ftp server, telnet kritisch sind, und ein web server an. Diese Dienstleistungen sind Alleen des Angriffs. Wenn sie entfernt werden, haben gemischte Drohungen weniger Alleen des Angriffs und Sie haben wenige durch Fleckenupdates beizubehalten Dienstleistungen.
Wenn eine gemischte Drohung einen oder mehr Vermittlungsdienste ausnutzt, sperren Sie oder blockieren Sie Zugang zu, jene Dienstleistungen, bis ein Flecken angewendet ist.
Halten Sie immer Ihre Fleckenniveaus aktuell, besonders auf Computern, die allgemeine Dienstleistungen bewirten und durch die Brandmauer, wie HTTP, ftp, Post und DNS Dienstleistungen zugänglich sind.
Erzwingen Sie eine Kennwortpolitik. Komplizierte Kennwörter bilden es schwierig, Kennwortakten auf verglichenen Computern zu knacken. Dieses hilft, Beschädigung zu verhindern oder zu begrenzen, wenn ein Computer verglichen wird.
Bauen Sie Ihren email Bediener zusammen, um email zu blockieren oder zu entfernen, das Akte Zubehöre enthält, die allgemein benutzt werden, um Viren, wie vbs, bat, exe, pif und scr Akten zu verbreiten.
Lokalisieren Sie angesteckte Computer schnell, um Ihre Organisation weiter sich vergleichen zu verhindern. Führen Sie eine gerichtliche Analyse durch und stellen Sie die Computer mit verläßlichen Mitteln wieder her.
Bilden Sie Angestellte, um aus Zubehöre nicht zu öffnen, es sei denn sie sie erwarten. Auch führen Sie nicht Software durch, die vom Internet downloadet wird, es sei denn es auf Viren abgelichtet worden ist. Eine verglichene Web site einfach besichtigen kann Infektion verursachen, wenn bestimmte Datenbanksuchroutineverwundbarkeit nicht ausgebessert wird.
Abbau, das W32.Sober Abbau-Werkzeug verwendend
Symantec Sicherheit Antwort hat ein Abbau werkzeug entwickelt , um die Infektion von W32.Sober.F@mm zu säubern. Versuchen Sie dieses Abbauwerkzeug zuerst, da es die einfachste Weise ist, diese Drohung zu entfernen.
Manueller Abbau
Die folgenden Anweisungen betreffen alle gegenwärtigen und neuen Symantec antivirus Produkte, einschließlich Symantec AntiVirus und Norton AntiVirus Produktserien.
Sperren Sie System Wiederherstellung (Windows Me/XP).
Aktualisieren Sie die Virusdefinitionen.
Beginnen Sie den Computer im sicheren Modus oder IM VGA Modus wieder.
Lassen Sie einen vollen System Scan laufen und löschen Sie alle Akten, die als W32.Sober.F@mm ermittelt werden.
Heben Sie die Änderungen auf, die am Register vorgenommen werden.
Für Details über jeden dieser Schritte, lesen Sie die folgenden Anweisungen.
1. System Wiederherstellung (Windows Me/XP) sperren
Wenn Sie Windows ich oder Windows.xp laufen lassen, empfehlen wir, daß Sie vorübergehend System Wiederherstellung abstellen. Windows Me/XP benutzt diese Funktion, die durch Rückstellung ermöglicht wird, um die Akten auf Ihrem Computer wieder herzustellen, falls sie beschädigt werden. Wenn ein Virus, eine Endlosschraube oder ein Trojan einen Computer ansteckt, kann System Wiederherstellung das Virus, die Endlosschraube oder das Trojan auf dem Computer unterstützen.
Windows verhindert äußere Programme, einschließlich antivirus Programme, an ändernder System Wiederherstellung. Folglich können antivirus Programme oder Werkzeuge nicht Drohungen im System Wiederherstellung Heft entfernen. Infolgedessen hat System Wiederherstellung das Potential der Wiederherstellung einer angesteckten Akte auf Ihrem Computer, selbst nachdem Sie die angesteckten Akten von allen anderen Positionen gesäubert haben.
Auch ein Virusscan kann eine Drohung im System Wiederherstellung Heft ermitteln, obwohl Sie die Drohung entfernt haben.
Für Anweisungen in, wie man System Wiederherstellung, lesen Sie Ihre Windows Unterlagen oder einen der folgenden Artikel abstellt:
",wie man Windows ich System Wiederherstellung sperrt oder ermöglicht"
",wie man abstellt oder Windows.xp System Wiederherstellung einschaltet"
--------------------------------------------------------------------------------
Anmerkung: Wenn Sie vollständig das Abbauverfahren beendet sind und erfüllt sind, das die Drohung entfernt worden ist, re-enable System Wiederherstellung durch nach die Anweisungen in den vorher erwähnten Dokumenten.
--------------------------------------------------------------------------------
Zu zusätzlicher Information und einer Alternative zur Sperrung von von Windows sehe ich System Wiederherstellung, den Microsoft Wissensbasisartikel, "Antivirus Werkzeuge kann nicht angesteckte Akten im _ Wiederherstellung Heft säubern," Artikel Identifikation: Q263455.
2. Die Virusdefinitionen aktualisieren
Symantec Sicherheit Antwort prüft völlig alle Virusdefinitionen auf Qualitätssicherung, bevor sie zu unseren Bedienern bekanntgegeben werden. Es gibt zwei Möglichkeiten, die neuesten Virusdefinitionen zu erreichen:
Laufendes LiveUpdate, das die einfachste Weise ist, Virusdefinitionen zu erreichen: Diese Virusdefinitionen werden zu den LiveUpdate Bedienern sobald jede Woche (normalerweise an Mittwoch) bekanntgegeben, es sei denn es einen Hauptvirusausbruch gibt. Um festzustellen ob Definitionen für diese Drohung durch LiveUpdate vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (LiveUpdate).
Downloading der Definitionen mit dem intelligenten Updater: Die intelligenten Updater Virusdefinitionen werden an den VEREINIGTE STAATEN Werktagen (Montag durch Freitag) bekanntgegeben. Sie sollten die Definitionen von der Symantec Sicherheit Warteweb site downloaden und sie manuell anbringen. Um festzustellen ob Definitionen für diese Drohung durch das intelligente Updater vorhanden sind, beziehen Sie sich die auf Virus-Definitionen (intelligentes Updater).
Die intelligenten Updater Virusdefinitionen sind vorhanden: Gelesen ",wie man Virusdefinition einordnet mit dem intelligenten Updater "für ausführliche Anweisungen aktualisiert.
3. Den Computer im sicheren Modus oder IM VGA Modus wiederbeginnen
Schließen Sie den Computer und stellen Sie den Strom ab. Warten Sie mindestens 30 Sekunden, und beginnen Sie dann den Computer im sicheren Modus oder IM VGA Modus wieder.
Für Windows 95 beginnen 98, ich, 2000 oder XP Benutzer, den Computer im sicheren Modus wieder. Für Anweisungen lesen Sie das Dokument, ",wie man anstellt den Computer im sicheren Modus."
Für Windows NT beginnen 4 Benutzer, den Computer im VGA Modus wieder.
4. Auf ablichten und die angesteckten Akten löschen
Starten Sie Ihr Symantec antivirus Programm und überprüfen Sie, ob es zusammengebaut wird, um alle Akten abzulichten.
Für Norton AntiVirus Verbraucherprodukte: Lesen Sie das Dokument, ",wie man Norton AntiVirus zusammenbaut, um alle Akten abzulichten."
Für Symantec AntiVirus Unternehmenprodukte: Lesen Sie das Dokument, ",wie man überprüft, daß ein Symantec korporatives antivirus Produkt eingestellt ist, um alle Akten abzulichten."
Lassen Sie einen vollen System Scan laufen.
Wenn irgendwelche Akten ermittelt werden, wie mit W32.Sober.F@mm angesteckt, Klicken Löschung.
5. Die Änderungen vorgenommen am Register aufheben
--------------------------------------------------------------------------------
WARNING: Symantec empfiehlt stark, daß Sie das Register unterstützen, bevor Sie irgendwelche Änderungen an ihm vornehmen. Falsche Änderungen am Register können dauerhaften Datenverlust oder verdorbene Akten ergeben. Ändern Sie nur die angegebenen Schlüssel. Lesen Sie das Dokument, ",wie man eine Unterstützung vom Windows Register," für Anweisungen bildet.
--------------------------------------------------------------------------------
Klicken Sie Anfang an und klicken Sie dann Durchlauf. (das Durchlaufdialogfeld erscheint.)
Schreiben Sie regedit
Klicken Sie dann O.K.. (der Register-Herausgeber öffnet sich.)
Steuern Sie zu und löschen Sie den folgenden Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \
< gelegentlicher Dateiname >
Steuern Sie zum Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \
RunOnce
In der rechten Scheibe löschen Sie den Wert:
"< gelegentlicher Wert >" = "%System%\
Nehmen Sie den Register-Herausgeber heraus.
Beginnen Sie den Computer im normalen Modus wieder. Für Anweisungen lesen Sie den Abschnitt auf dem Zurückbringen zum normalen Modus im Dokument, ",wie man anstellt den Computer im sicheren Modus."
Ein guter Freund ist immer da , wenn man ihn braucht .....
