[Main topics] [Navigation]

Sober-I

Siehe auch Windows à jour halten !
Siehe auch Desinfektion nach virenbefall für hartnäckige fälle.

Sober-I missbraucht den infizierten rechner, um spam zu versenden

Sober.H kommt in D, A und CH mit deutschen texten daher. Der wurm versendet erzeugte e-mails mit einer eigenen SMTP-maschine. Sie sind in jedem fall spam (unerwünschte mail). Diese e-mails enthalten einen infizierten anhang.

Besonders tückisch ist das ende der mail-meldung mit der bemerkung: Attachment-Scanner: NO VIRUS oder eine andere angabe zur angeblichen viren-freiheit.

Syptome

Sober.I kann nur schwer entdeckt werden, da er weder meldungen noch warnungen ausstösst, dass er aktiv ist.

Nicht selbst ausgelöste netz-aktivität (zb durch aktiven e-mail vesand, surfen, automatischer Windows-update) ist verdächtig.
Absender Gefälschte Adresse, kann 'bekannte' person sein. Häufig webmaster-adressen (frei erfunden, siehe beispiel)
Betreff (beispielel) Mailzustellung fehlgeschlagen:
Fehler in E-Mail:
Ihre E-Mail wurde verweigert:
Mailer Error:
Ungültige Zeichen in Ihrer E-Mail:
Mail- Verbindung wurde abgebrochen:
Mailer-Fehler:
Betr.- Ihr Account:
Ihre neuen Account-Daten:
Auftragsbestätigung:
Lieferungs-Bescheid

Meldungstext

(beispiel)

Von: Webmaster@ibh.uni-hohenheim.de
To: ddd@daube.ch
Subject: FwD: Ihre neuen Account-Daten
Date sent: Mon, 29 Nov 2004 09:51:21 UTC

Guten Tag,

da unsere Datenbanken leider durch einen Programm Fehler zerstört wurden,
mussten wir leider eine Änderung bezüglich Ihrer Nutzungs- Daten
vornehmen.

Ihre geänderten Account Daten, befinden Sie im beigefügten Dokument.


Vielen Dank für Ihr Verständnis.


------ <IBH> GmbH & Co. KG
------ Send-To: Home-Service@ibh.com
------ www.ibh.uni-hohenheim.de


*-*-* Attachment-Scanner: NO VIRUS
*-*-* DAUBE- Anti_Virus Service
*-*-* http://www.daube.ch
Angehängte datei (zb) Daten.8689.EML.zip enthält message_text.txt.pif worin der wurm enthalten ist

Gegen diesen virus habe ich folgende medizin bereit gestellt:

Programm Quelle
antisober-de.exe http://de.bitdefender.com/html/free_tools.php

Antisober-de (deutsch)

Nach dem start des programms sollten nach und nach folgende meldungen im hauptfenster stehen:

   Prüfung der Arbeitsspeichermodule gestartet 
   Prüfung der Arbeitsspeichermodule beendet 
   Prüfen der Autostart Dateien gestartet 
   Prüfen der Autostart Dateien beendet 
   Dienstdateien prüfen gestartet 
   Dienstdateien prüfen beendet

Im feld Pfad steht nun Alle Festlaufwerke, was bei einem gut organisierten PC ein bisschen viel sein kann. Daher mit mit der schaltfläche Pfad auswählen die zu prüfenden pfade oder laufwerke auswählen und dann mit Scan starten die virensuche starten.

Der dann ausgegebene prüfbericht gibt an, ob viren gefunden wurden und diese ev. erst nach einem neustart (reboot) vollkommen entfernt sein werden.

[Main topics] [Navigation]
 URL:  Created: 2004-07-07  Updated:
 © Docu+Design Daube, Zürich    
  Business of Docu + Design Daube Documentation issues Sharing information Klaus Daube's personal opinions Guest(s) on this site Home of Docu + Design Daube To main page in this category To first page in series To previous page in series To next page in series To bottom of page To top of page search in this site Site map send e-mail to webmaster