Beschreibung: W32.Sober.L@mm
| Kategorie: | Virus-Warnung |
| Name: | W32.Sober.L@mm |
| Alias: | W32/Sober-L, WORM_SOBER.L |
| Art: | Wurm |
| Größe | 45.458 (ZIP-Datei) |
| Betriebssystem: | Microsoft Windows |
| Art der Verbreitung: | Massenmailing, Netzwerk |
| Verbreitung: | hoch (Deutschland) |
| Risiko: | mittel |
| Schadensfunktion: | Massenmailing, Beenden von Sicherheitsprogrammen |
| Spezielle Entfernung: | Tool |
| bekannt seit: | 07.03.2005 |
Beschreibung
Allgemeines
W32.Sober.L@mm (Sober.L) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Er beendet Prozesse von Sicherheitsprogrammen.
Infektion
Bei der Ausführung der angehängten Datei einer infizierten E-Mail wird der Computer infiziert:
Es werden folgende Dateien erzeugt:
- %Windir%\msagent\system\smss.exe
- %Windir%\msagent\system\emdata.mmx
- %Windir%\msagent\system\zipzip.zab
- %System%\nonrunso.ber
- %System%\xcvfpokd.tqa
- %System%\stopruns.zhz
Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.
Der Wert:
"Services.dll" = "%Windir%\msagent\system\smss.exe"
wird dem folgenden Registrierungsschlüssel hinzugefügt:
- HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
Mit Hilfe dieses Schlüssels in der Windows-Registrierung wird der Wurm bei jedem Systemstart aktiviert.
Sober.L untersucht den infizierten Computer nach E-Mail-Adressen und versendet sich mit gefälschtem Absender an diese gefundenen Adressen. Außerdem versucht der Wurm Verbindungen zu mehreren Internetseiten aufzubauen. Besteht keine Verbindung zum Internet, versucht Sober.L Wählverbindungen zum Internet zu aktivieren.
Verbreitungsart
Er versendet sich selbst als Anhang einer E-Mail. Die Absenderadresse ist mit den gefundenen Adressen gefälscht (Mehr Informationen zu gefälschten Absendern). Sober.L versendet sich sowohl mit deutschem, als auch mit englischem Text.
Von <Absender gefälscht>
Betreff:
- Ich habe Ihre E-Mail bekommen!
- Your Password & Account number
Nachrichtentext:
Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese Dinger
nicht mehr auf meinem Account landen, es Nervt naemlich.
Gruss
hi,
i've got an admin mail with a Password and Account info!
but the mail recipient are you! it's probably an esmtp error, i think.
i've copied the full mail text in the Windows text-editor & zipped.
ok, cya...
Anhang:
- MailTexte.zip (deutsche E-Mail)
- acc_text.zip (englische E-Mail)
Schadensfunktion
- Massenmailing
- Beenden von Prozessen verschiedener Schutzprogramme.
Entfernung
Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:
- der laufende Prozess blockiert die Datei
- Windows schützt das Verzeichnis, in dem sich das Programm befindet
Vorgehensweise der Entfernung
- Laden Sie eins der aufgeführten speziellen Entfernungstools:
H+BEDV "Rmsoberl.exe" Größe: 141.824 Bytes
SHA1-Checksumme: c1e8a963445d41defd6f90ef2d16976b5dc8d87e
MD5-Checksumme: 7995c78c31600fbc50377c2d479d284a
Direkt-Download vom BSI
Direkt-Download vom CERT-Verbund
Symantec (FixSober.exe): Direkt-Download oder Download mit englischer Beschreibung - Systemwiederherstellung von Windows Me/XP deaktivieren
- Start des Computers in den abgesicherten Modus
- Durchsuchen Sie mit dem Entfernung-Tool den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
- Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
- infizierte Dateien löschen
- Einträge aus der Windows-Registrierung entfernen
- normaler Systemstart
- Systemwiederherstellung (Me/XP) aktivieren
Besondere Hinweise:
Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.
(Erstellt : 07.03.2005, geändert: 09.03.2005)