W32/Sober-N

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

W32/Sober-N ist ein Massmailing-Wurm, der sich an Adressen sendet, die er auf dem infizierten Computer aufgespürt hat. W32/Sober-N ist ein Massmailing-Wurm, der sich an Adressen sendet, die er auf dem infizierten Computer aufgespürt hat. W32/Sober-N kopiert sich in einen Unterordner des Windows-Ordners namens \Connection Wizard\Status\ mit den Dateinamen SMSS.EXE, SERVICES.EXE und CSRSS.EXE.
W32/Sober-N erstellt außerdem die folgenden Datendateien: <Windows-Ordner>\Connection Wizard\Status\packed1.sbr
<Windows-Ordner>\Connection Wizard\Status\packed2.sbr
<Windows-Ordner>\Connection Wizard\Status\packed3.sbr
<Windows-Ordner>\Connection Wizard\Status\sacri1.ggg
<Windows-Systemordner>\adcmmmmq.hjg
<Windows-Systemordner>\langeinf.lin
<Windows-Systemordner>\nonrunso.ber
<Windows-Systemordner>\seppelmx.smx
<Windows-Systemordner>\xcvfpokd.tqa W32/Sober-N spürt E-Mail-Adressen in Dateien auf, die folgende Zeichenfolgen in ihren Dateinamen enthalten: pmr phtm stm slk inbox imb csv bak imh xhtml imm imh cms nws vcf ctl dhtm cgi pp ppt msg jsp oft vbs uin ldb abc pst cfg mdw mbx mdx mda adp nab fdb vap dsp ade sln dsw mde frm bas adr cls ini ldif log mdb xml wsh tbb abx abd adb pl rtf mmf doc ods nch xls nsf txt wab eml hlp mht nfo php asp shtml dbx W32/Sober-N sendet sich nicht an E-Mail-Adressen, die folgende Zeichenfolgen enthalten: ntp- ntp@ ntp. test@ office @www @from. support smtp- @smtp. gold-certs ftp. .dial. .ppp. anyone subscribe announce @gmetref sql. someone nothing you@ user@ reciver@ somebody secure whatever@ whoever@ anywhere yourname mustermann@ .kundenserver. mailer-daemon variabel password noreply -dav law2 .sul.t- .qmail@ t-ipconnect t-dialin ipt.aol time postmas service freeav @ca. abuse winrar domain. host. viren bitdefender spybot detection ewido. emsisoft linux google @foo. winzip @example. bellcore. @arin mozilla @iana @avp icrosoft. @sophos @panda @kaspers free-av antivir virus verizon. @ikarus. @nai. @messagelab nlpmail01. clock Die von W32/Sober-N gesendeten E-Mails sind abhängig von der Empfängeradresse. E-Mails an Empfänger, deren Adresse aus den Domänen .de, .ch, .at, .li stammt oder die Zeichenfolge "gmx." enthalten, erhalten folgende E-Mail: Betreffzeile: Ihr Passwort
Mail-Fehler!
Ihre E-Mail wurdeverweigert
Ich bin's, was zum lachen :)
Glueckwunsch: Ihr WM Ticket
WM Ticket Verlosung
WM-Ticket-Auslosung
Ich habe Ihre E-Mail bekommen! Text: Herzlichen Glueckwunsch, Passwort und Benutzer-Informationen befindensich in der beigefuegten Anlage. Diese E-Mail wurde automatisch erzeugt Mehr Information finden Sie unter <URL> Folgende Fehler sind aufgetreten: Fehler konnte nicht Explicit ermittelt werden End Transmission Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden. Wir bitten Sie, dieses zu beruecksichtigen. Nun sieh dir das mal an! --- FIFA-Pressekontakt:
beim Run auf die begehrten Tickets fnr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei. Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang. Mail-Scanner: Es wurde kein Virus festgestellt,AntiVirus: Kein Virus gefunden,AntiVirus-
System: Kein Virus erkannt Angehängte Datei: Fifa_Info-Text.zip
okTicket-info.zip
our_secret.zip Die Namen der angehängten Datei können optional das Präfix "error-" oder das Suffix "-Text", gefolgt von einer ZIP-Erweiterung enthalten, z. B.: our_secret-Text.zip E-Mails an andere Adressen haben folgende Merkmale: Betreffzeile: mailing error
Registration Confirmation
Your email was blocked
Your Password Text: This is an automatically generated E-Mail Delivery Status Notification. Mail-Header, Mail-Body and Error Description are attached
(See attached file: <Name der ZIP-Datei>)
 
  Account and Password Information are attached! Visit: <URL> *** AntiVirus: No Virus found
*** "<vendor name>" Anti-Virus
*** <Hersteller-URL>
(See attached file: <Name der ZIP-Datei>)
 
 
Account and Password Information are attached! Visit: <URL>
(See attached file: <Name der ZIP-Datei>)
 
 
Account and Password Information are attached! Visit: <URL> *** Server-AntiVirus: No Virus (Clean)
*** "<vendor name>" Anti-Virus
*** <vendor url>
(See attached file: <Name der ZIP-Datei>)
 
 
ok ok ok,,,,, here is it *** AntiVirus: No Virus found
*** "<Herstellername>" Anti-Virus
*** <Hersteller-URL>
(See attached file: <Name der ZIP-Datei>) Angehängte Datei: mail_info.zip
account_info.zip
our_secret.zip Die Namen der angehängten Datei können optional das Präfix "error-" oder das Suffix "-Text", gefolgt von einer ZIP-Erweiterung enthalten, z. B.: our_secret-Text.zip In der ZIP-Datei ist eine ausführbare Datei namens Winzipped-Text_Data.txt<Leerzeichen>.pif enthalten. Die Senderadresse ist gefälscht.