Bundesamt BSI warnt vor neuem Computerwurm "Sober"

Andreas

Andreas

Ich bekomme hier mails mit infiziertem Anhang, wie beispielsweiese:
Funny.scr 67.386 Bytes

Dazu die Warnmeldung der Bundesbehörde von heute, 15:38 Uhr:
CERT-Bund -- Warn- und Informationsdienst

######################################################################

Informationen zu Programmen mit Schadfunktionen

VIRINFO 03/012 vom 27.10.2003


Name: W32.Sober.A@mm
Alias: Sober [F-Secure]
W32/Sober@mm [McAfee]
Worm_Sober.A [TrendMicro]
Win32/Sober-A [Sophos]
Art: Wurm
Groesse des Anhangs: 63.488 (variiert) (upx-gepackt)
Betriebssystem / Software: Microsoft Windows 32bit
Art der Verbreitung: Massenmail
Verbreitungsgrad: mittel-hoch
Risiko bei Aktivierung: mittel
Schadensfunktion: Massenmail
Entfernung: aktuelle Definitionen (ab 24.10.2003)
Spezielle Entfernung: -
Bekannt seit: 24.10.2003

Beschreibung:

W32.Sober@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen
SMTP-Maschine an Adressen, die er auf dem Rechner findet versendet.

Achtung: Aufgrund der deutschen Betreffzeilen werden von vielen
Empfaengern die beigefuegten Dateien durch Doppelklick aktiviert,
was zu einer hoeheren Verbreitung in Deutschland fuehrt.

Eine infizierte E-Mail hat eine der folgenden Betreffzeilen:

Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: S.ex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
_berraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, its enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
Sorry, Ive become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise
Ive become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
I love you (Im not a virus!)

und enthaelt einen der folgenden Anhaenge:

anti-Sob.bat
Anti-Sob.bat
anti-trojan.exe
anti_virusdoc.pif
AntiTrojan.exe
AntiVirusDoc.pif
Bild.scr
check-patch.bat
Check-Patch.bat
CM-recover.com
CM-Recover.com
funny.scr
Funny.scr
Hengst.pif
Liebe.com
little-scr.scr
love.com
Mausi.scr
nacked.com
NackiDei.com
NAV.pif
Odin_Worm.exe
perversion.scr
Perversionen.scr
pic.scr
playme.exe
potency.pif
Privat.exe
private.exe
removal-tool.exe
Removal-Tool.exe
robot_mail.scr
robot_mailer.pif
RobotMailer.com
schnitzel.exe
screen_doc.scr
Screen_Doku.scr
security.pif

Beim Ausfuehren des E-Mail-Anhangs wird der Wurm in das
Systemverzeichnis des Rechners (Standard-Einstellung:
Windows 95/98/Me/XP: C:\Windows\System32;
Windows NT/2000: C:\Winnt\System32)
unter einem der folgenden Namen abgelegt:

drv.exe
similare.exe
systemchk.exe
systemini.exe
winreg.exe
filexe.exe
sysrunll.exe
Macromed\Help\Media.dll (das Verzeichnis %SYSTEM%\Macromed\Help wird
vom Wurm angelegt.)
und durch einen Eintrag in der Registrierung dafuer gesorgt, dass bei
jedem Neustart des Rechners der Wurm mitgestartet wird. Dann versendet
er sich selbst.

Weitere Informationen finden Sie unter:
<
>


Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswuerdigen
Absendern pruefen, ob der Text der Nachricht auch zum Absender passt
(englischer Text von deutschem Partner, zweifelhafter Text oder
fehlender Bezug zu konkreten Vorgaengen etc.) und ob die Anlage
(Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausfuehrbaren Programmen
(Dateiendungen .COM, .EXE, .BAT, ...) oder anderer Dateien, die
Programmcode enthalten koennen (Dateiendungen .DO*; .XL*, .PPT,
.VBS ...) vorher telefonisch abzustimmen. Dadurch wird abgesichert,
dass die Datei vom angegebenen Absender geschickt und nicht von einem
Virus verbreitet wird.

Fragen richten Sie bitte an <mailto:[email protected]>.
Virenmeldungen koennen Sie an <mailto:[email protected]> senden.


Mit freundlichen Gruessen
Ihr Team CERT-Bund

- -----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Zum Vergrößern anklicken....

Bei
(AntiVir) gibt es ein Update, damit werden die Würmer erkannt.
 
  • 18. April 2024
  • #Anzeige
Hi Andreas ... hast du hier schon mal geguckt?
  • Gefällt
Reaktionen: Gefällt 14 Personen
#VerdientProvisionen | Als Amazon-Partner verdiene ich an qualifizierten Verkäufen.
Danke Andreas,wenn wir Dich nicht hätten!
Ich habe den Mistwurm nämlich.
 
Hab ich auch.
Ich habe sogar eine Mail von meiner eigenen E-Mail Addy bekommen...:crazy:

Sag mal Andreas,ich habe eigentlich Norton Antivirus.Jetzt habe ich mit das Anti-Vir Programm runtergeladen(hat den Wurm auch gefunden).Muß ich das Norton Programm löschen? Da stand so was bei Anti Vit...:verwirrt:
"dagigarkeineahnungvoncomputerhat"
 
Ich habe auch 3 solche Mail bekommen und gleich gelöscht.

Vielen Dank für die Info das es richtig war :D .
 
Original geschrieben von Dagi

ich habe eigentlich Norton Antivirus.Jetzt habe ich mit das Anti-Vir Programm runtergeladen(hat den Wurm auch gefunden).Muß ich das Norton Programm löschen? Da stand so was bei Anti Vir
Zum Vergrößern anklicken....

Es besteht die Möglichkeit, dass zwei gleichzeitig laufende Antivirusprogramme sich gegenseitig als Virus erkennen (falsch erkennen).
Das liegt daran, weil die AV-Programme natürlich eine Liste mit Erkennungszeichen der echten Viren in sich tragen. Diese Erkennungszeichen "Signaturen" genannt, sind verschlüsselt. Aber es kann vorkommen, dass trotz Verschlüsselung das erste AV-Programm die Signatur des zweiten AV-Programms "erkennt" und Alarm macht. Deswegen wird empfohlen, immer nur ein Programm zu nutzen.

Es gibt aber meines Wissens nur diese Möglichkeit eines falsch-positiven Ergebnisses. Ein falsch-negatives Ergebnis wäre schlimmer, ist mir aber noch nie berichtet worden.

Ich habe nur AntiVir und bin damit zufrieden und es reicht mir (natürlich habe ich außerdem eine Firewall). Wenn du mit AntiVir zufrieden bist, dann kannst du Norton desinstallieren oder drauflassen, wei du willst. AntiVir ist halt umsonst.
 
UPDATE:

[Update] Mittlerweile kursiert eine weitere gefälschte Mail mit einer Virenwarnung im Netz, die vorgibt, von Symantec zu stammen. Derzufolge sei der Download neuer Viren-Signaturen zu unsicher, da ein neuer Virus PCs beim Besuch von Webseiten infiziere. Deshalb habe man die Signaturen als Anhang beigefügt, so die Mail. Öffnet man den Anhang, so installiert sich zwar kein Virus, dafür aber ein Dialer.
 
Habe eben auch zwei Mail's erhalten. Norton hat sie aber sofort gelöscht. Seit ich von Symatec "Norton Internet Security 2003" installiert habe, bin ich vor Angriffen ziemlich sicher. Jedenfalls habe ich seit Anfang des Jahres kein Virus u.ä. mehr gehabt.

Hoffe, dass das so bleibt.

Jeanette
 
Ich habe seit gestern mittag ungefähr zwanzig dieser Mails mit verschiedenen Betreffs bekommen:unsicher:
Echt nervig...mal ganz blöd frage:solange ich den Anhang nicht öffne sondern die Mails gleich lösche kann aber nix passieren,oder??
 
Löschen ist gut.
Leider gibt es einige merkwürdige Verhaltensweisen des Programms Microsoft Outlook, dieses kann unter Umständen in der Vorschaufunktion bereits einen Anhang starten.

Ob dieser Wurm von Outlook gestartet werden kann, weiß ich nicht.
Ich nutze deshalb überhaupt kein Outlook.
 
So echt sieht eine verWURMte Mail aus:

Betreff : Sie haben mir einen Wurm geschickt!
Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
Sie sollten diesen Entfernen!!
Wie es aussieht, ist bei Ihnen der ODIN Wurm aktiv!
Sie sollten mit dem Patch-Programm testen,
ob der Wurm bei Ihnen auf der Platte ist um Ihn dann automatisch
löschen zu lassen!

Niks wie ungut!
Zum Vergrößern anklicken....

Die angehängte Datei heißt Check-Patch.bat (67.765 Bytes lang)

Es ist keine Batchdatei, wie es gemäß Dateiendung aussieht, sondern eine umbenannte EXE-Datei.
Diese enthält den Wurm Sober.

Der Absender dieser Wurmverbreitungs-Mail ist [email protected]

Ich habe niemand im Adreßbuch von "libero.it"

Ich kenne keinen Wurm namens ODIN und ich habe ganz bestimmt an niemanden einen Wurm verschickt.

Durch die deutsche Sprache in der Nachricht macht das einen ziemlich glaubwürdigen Eindruck - da fallen bestimmt viele drauf rein. Wer die Datei startet, bekämpft nicht den Wurm ODIn, sondern installiert sich den Wurm Sober.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Wenn dir die Beiträge zum Thema „Bundesamt BSI warnt vor neuem Computerwurm "Sober"“ in der Kategorie „Off-Topic“ gefallen haben, du noch Fragen hast oder Ergänzungen machen möchtest, mach doch einfach bei uns mit und melde dich kostenlos und unverbindlich an:
Registrierte Mitglieder genießen u. a. die folgenden Vorteile:
  • kostenlose Mitgliedschaft in einer seit 1999 bestehenden Community
  • schnelle Hilfe bei Problemen und direkter Austausch mit tausenden Mitgliedern
  • neue Fragen stellen oder Diskussionen starten
  • Alben erstellen, Bilder und Videos hochladen und teilen
  • Anzeige von Profilen, Benutzerbildern, Signaturen und Dateianhängen (z.B. Bilder, PDFs, usw.)
  • Nutzung der foreneigenen „Schnackbox“ (Chat)
  • deutlich weniger Werbung
  • und vieles mehr ...

Diese Themen könnten dich auch interessieren:

Marion
Google Chrome: Bundesamt warnt vor Einsatz
ich habs ja auch extra nochmal nachgelesen (verbesser mich aber gern falls ich was ueberlesen hab) aber eigentlich wird auf das "prinzip" nach welchem man nicht google chrome benutzen sollte nicht mehr eingegangen. man kann zwar zwischen den zeilen lesen, was damit vll gemeint ist (siehe deine...
Antworten
5
Aufrufe
434
alphatierchen
alphatierchen
Andreas
Bundesamt warnt vor neuem Wurm
DANKE! LG Cathrin
Antworten
2
Aufrufe
556
Cathrin
C
Dagmar
Babsi burzelt heute
:birthday::torte::clover: Alles Gute nachträglich :)
Antworten
10
Aufrufe
651
embrujo
embrujo
Summer05
Notfall Staff-Mix Babsi, geb. 1999, TSV Sadelkow
Staff-Omi Babsi, 16 Jahre alt, sucht dringend ein neues Zuhause! :( Du musst registriert sein, um diesen Inhalt sehen zu können. "(...)Babsis Schicksal Unsere liebe Staffmix-Omi haben wir nach 2jähriger Vermittlung wieder zurückgeholt. Wir hatten sie unserer Meinung nach glücklich in eine...
Antworten
0
Aufrufe
628
Summer05
Summer05
Schnully87
Happy Birthday Babsi!
Euch lieben herzlichen Dank für die Glückwünsche :love::love: Und nen dicken Knutscher an Euch alle zurück:love::love:
Antworten
10
Aufrufe
647
Babsi0008
B
Zurück
Oben Unten