W32/Sober-C

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Bitte folgen Sie den Hinweisen zum Entfernen von W32/Sober-C.

W32/Sober-C ist ein Internetwurm, der sich über Peer-to-Peer-Netzwerke zum
Dateiaustausch verbreitet sowie indem er sich an Adressen sendet, die er in
Dateien auf dem Computer findet.

Die E-Mail-Betreffzeile und der Text werden zufällig aus internen Listen
ausgewählt und sind entweder in englischer oder in deutscher Sprache verfasst. Die angehängte Datei wird ebenfalls zufällig aus internen Listen ausgewählt und kann eine der folgenden Erweiterungen haben: EXE, SCR, PIF, COM, CMD oder BAT. Weiter Informationen siehe unten.

Wenn er erstmals ausgefürht wird, kopiert sich der Wurm als syshostx.exe und mit zwei weiteren zufällig gewählten Dateinamen in den Windows-Systemordner.

W32/Sober-C erstellt dann die folgenden Registrierungseinträge:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\<zufällige Zeichen>
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\<zufällige Zeichen>

Dieser Eintrag verweist auf die zwei Kopien des Wurms mit zufällig gewählten Dateinamen, um sicherzustellen, dass er bei der Systemanmeldung gestartet wird.

Die folgenden Dateien werden ebenfalls im Windows-Systemordner erstellt:

ms16taskwin.exe
savesyss.dll
Humgly.lkur
yfjq.yqwm

Diese Dateien sind nicht schädlich und können einfach gelöscht werden.

W32/Sober-C kopiert sich in den Ordner "My Shared Folder" innerhalb des KaZaA-Ordners und ersetzt dort bestehende Programme mit den Erweiterungen COM, EXE, SCR, BAT, CMD oder PIF.

Deutsche Attachmentnamen:
Klassenfoto
www.iq4you-german-test.com
BaB
SysDial-patch.
aktenz<zufällige Zahl>
haha_sehr_witzig
DrohMails
RTL-DSDS-anmelde
www.free4manga.com
Zugangsdaten
www.free4share4you.com
sharedfree
www.tagespolitik-umfragen.com
Abstimmen
meld dich einfachremove-<zufällig erzeugt>.exe
test
alledigis

Englische Attachmentnamen:
yourmail
photos
reward
youtoo
www.onlinegamerspro-worm.com
set_config
downloader.exe
www.freegames4you-gzone.com
painfulness
www.boards4all-terror432.com
terror-list
yourregistration
letters
refcode<zufällige Zahl>
remove-<zufällig erzeugt>_tool.exe
remove<zufällig erzeugt>-patch.exe
www.anime4allfree.com
www.animepage43252.com
mangaconection

Deutsche Betreffzeilen:
Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
Anmeldebestotigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's

Englische Betreffzeilen:
ups, i've got your mail
Sorry, that's your mail
hi, its me
Thank You very ver much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal file sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
<
Der deutsche Text der E-Mail beginnt folgendermaßen:
Hallo, ich hoffe das ich jetzt mal ...
Guten Tag, sind Sie auch der Meinung das Sie ntelligenter sind, ...
Sehr geehrte Frau Meiers, ...
Seit einiger Zeit kursieren wieder gef ...
Sehr geehrte Damen und Herren, das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar. ...
Wenn Du meinst mich beleidigen zu ...
Wenn Sie meinen mir DROHEN zu ...
Deutschland Sucht Den Deutschland Sucht Den Superstar (DSDS) auf RTL. ...
RTL: DSDS Deutschland Sucht Den Superstar (DSDS) auf RTL. ...
Guten Tag, da immer mehr unseri ...
Sehr geehrter Kunde, Vielen Dank ...
Sitzt Ihnen immer die Angst im Nacken, wenn Sie sich MP3's herunterladen? ...
Sie Lesen richtig!! Das sind die neuen, noch geheimen ...
Juten Tach, Habe mal einen internet port scan ...
Ich bin wahrscheinlich zu ...
Hier die Digi-Cam Bilder. Manche sind nix geworden! ...

Der englische Text der E-Mail beginnt folgendermaßen:
i'm very very sorry, anybody have sent your mail to my address. ...
I've got your mail, but its came on my mail address??? ...
I don't know how to start this! I'm dull,, can you test!? ...
Here, the DigiCam photos. A few are overexposed. ...
That you've killed this bastard. Your reward: ...
That you have paid for me! And that's your ...
Caution: To all gamers A new worm spread via online gaming! ...
To all gamers More than 75.000 freeware games!!! ...
why do you do that? idiot. ...
You say in the www. that i'm a terrorist!!! No way out for you. I REPORT YOU ! ...
Registration confirmation Thanks for your registration. ...
I said, I love you..,, and you said NOTHING And now,,, Go Away From Me ...
Ladies and Gentlemen, Downloading of Movies, MP3s and Software is illegal and punishable by law. ...
NEW! More than 84.000 entries on our page: ...
hi, I am from <random country> and you'll don't believe me, but a trojan horse in on your ...
hello, I am from <random country> and you'll don't believe me, but a trojan horse in on your ...
(where <random country> is Austria, Switzerland, Norway, Denmark, Spain or Belgium.)