W32/Sober.J

Nachdem der Vorgänger
dieses Wurms am 05.01.05 aufgehört hat sich zu verbreiten, ist seit
heute eine neue Variante in Umlauf. Ebenfalls mit deutsprachigem Text
versucht dieser Virus, den User dazu zu bringen den Anhang der eMail zu
öffnen.

verschieden (gefälscht!)

- "Ey
du DOOF Nase, warum beantw... "

"Warum beantwortest Du meine E-Mails nicht?

Kommen meine Mails nicht mehr bei dir an oder
so???

Habe mir jetzt extra eine neue Mail Adresse bei
GMX gemacht!

Ich hoffe mal, das sie jetzt zu dir durch dringen
wird.

In meinen anderen Mails habe ich einige Wichtige
Dinge niedergeschrieben, hatte aber keine Lust alles nochmal zu schreiben.

Deshalb habe ich die alten Mail-Texte im Texteditor
kopiert und mit Winzip klei ner gemacht.

Lesen und diesmal auch bescheid geben!!!!

tschau..... "

----------------------------------------------------------------------------------------------------------

Englische Version:

"Hello,
First, Sorry for my very bad English!

Someone send your private mails on my email account!
I think it's an Mail-Provider or SMTP error.
Normally, I delete such emails immediately, but in the mail-text is a
name & ad ress. I think it's your name and adress.

In the last 8 days i've got 7 mails in my mail-box,
but the recipient are you, not me. lol OK,

I've copied all email text in the Windows Text-Editor
and i've zipped the t ext file with WinZip. The sender of this mails is
in the text file, too.

bye"

"Texte.zip"
bzw.
"text.zip"
in der englischen Version

Existenz des Registry-Eintrags
# HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run "adisccrypt" = %SYSDIR%\sysspooldisc.exe
# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run " dircryptlog" = %SYSDIR%\sysspooldisc.exe

McAfee;
TU Berlin