deadO in berlin
Mittwoch, 24. November 2004
pinkNgreen 16:24h

W32/Sober.I

W32/Sorber.I verschickt sich
über gefälschte Absendeadressen (auch über @provider.at;
z.B.: Service@aol.com) und versucht mit auf deutsch verfaßtem
Text den Empfänger dazu zu bringen das Attachment zu öffnen.

Durch einen gefälschten
Eintrag im Text der Nachricht gibt W32.Sober.I vor, von einem Virus-Scanner
überprüft und als virenfrei bewertet worden zu sein.

Dieser Wurm kann verschieden
Antivirus-und Firewallprogramme deaktivieren.


Hier wie immer die ausführlichen Details zum Nachlesen:

Name: W32/Sober.I
Alias:
W32.Sober.J
In
Umlauf seit: 		19.11.2004
Betroffene Betriebssysteme: Windows 95, Windows
98, Windows ME, Windows NT, Windows 2000, Windows XP, Windows Server 2003
Typ: EXE (Win32), Wurm
(56.808 Bytes)
Verbreitung:
E-Mail
Absenderangabe:

verschieden (gefälscht!) Auch
über UTA-Adressen z.B. "Hostmaster@provider.at" oder "info@provider.at"
Betreff/Subject:


- "Re: Auftragsbestätigung"

- "Ungültige Zeichen in Ihrer E-Mail -SMTP: 7407"

- "Registration confirmation"

- "Mailzustellung fehlgeschlagen -Damon: 4440"

- "Re: Lieferungs-Bescheid"

- "FwD: Mail_Delivery_failure"

- "Mailer Error -8900"

- "FwD: Mailer Error -Damon: 4639"

- "invalid mail"

- "Mail- Verbindung wurde abgebrochen -Code: 4358"

- "Ihre E-Mail wurde verweigert"

- "Re: Ihre neuen Account-Daten"

- "Mailer-Fehler -836"
Nachricht:

Eine der folgenden:

Weitere Informationen befinden sich im Anhang dieser
Mail

*-*-* Attachment-Scanner: NO VIRUS
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.sysinternals.com

-------
Folgende Fehler wurden aufgezeichnet:

61.134.157.181_failed_after_I_sent_the_message.
# 172: MAILBOX NOT FOUND
# 247: This_account_has_been_disabled_[#433].
# 529: mailbox_unavailable
STOP mailer
-------

Aus Datenschutzrechtlichen Gründen, darf die
vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.

Automatic-Mail.Config#: [sysinternals]

Your password was changed successfully!

++++++ User-Service: http://www.testvir.de
++++++ MailTo: postmaster@testvir.de

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.windows.gui.asm32.elite.coder.com

-------
Folgende Fehler wurden aufgezeichnet

39.238.149.96_does_not_like_recipient.
# 157: Remote_host_said:_delivery_error
# 192: mailbox_unavailable
# 335: Giving_up_on_39.238.149.96.
# 307: MAILBOX NOT FOUND

STOP mailer
-------

Aus Datenschutzrechtlichen Gründen, darf die
vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.

Automatic-Mail.Config#: [windows]

*-*-* Anti_Virus: Es wurde kein Virus gefunden
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de

This mail was generated automatically.
More info about --TESTVIR-- under: http://www.testvir.de

-------
Occured_Errors:

200.225.136.47_does_not_like_recipient.
# 195: MAILBOX NOT FOUND
# 175: Giving_up_on_200.225.136.47.

End
-------

The original mail is attached.

Auto_Mail.System: [testvir]

*-*-* Attachment: No Virus found
*-*-* MIRC- Anti_Virus Service
*-*-* http://www.mirc.com

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.ppp666.microsift.com

-------
Folgende Fehler wurden aufgezeichnet:

115.59.254.142_failed_after_I_sent_the_message.
# 204: MAILBOX NOT FOUND

STOP mailer
-------

Aus Datenschutzrechtlichen Gründen, darf die
vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.

Automatic-Mail.Config#: [ppp666]

*-*-* Anti_Virus: Es wurde kein Virus gefunden
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.some.network.net


-------
Folgende Fehler wurden aufgezeichnet:

80.25.230.181_failed_after_I_sent_the_message.
% 260: Remote_host_said:_delivery_error
% 125: MAILBOX NOT FOUND
% 558: mailbox_unavailable
% 245: This_account_has_been_disabled_[#440].
% 360: Giving_up_on_80.25.230.181.

STOP mailer
-------

Aus Datenschutzrechtlichen Gründen, darf die
vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.

Automatic-Mail.Config#: [some]

*-*-* X-MS_Scanner: Kein Virus erkannt
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de

This mail was generated automatically.
More info about --TESTVIR-- under: http://www.testvir.de'

-------
Occured_Errors:

218.228.154.101_failed_after_I_sent_the_message.
% 414: This_account_has_been_discontinued_[#143].
% 140: Giving_up_on_218.228.154.101.
% 319: Remote_host_said:_delivery_error
% 537: MAILBOX NOT FOUND

End
-------

The full mail is attached.

Auto_Mail.System: [testvir]

*-*-* Anti_Virus: No Virus was found
*-*-* YAHOO- Anti_Virus Service
*-*-* http://www.yahoo.com

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.innocent.com


-------
Folgende Fehler wurden aufgezeichnet:

15.169.240.8_failed_after_I_sent_the_message.
% 238: This_account_has_been_discontinued_[#135].
% 556: Giving_up_on_15.169.240.8.
% 201: MAILBOX NOT FOUND
% 548: Remote_host_said:_Requested_action_not_taken

STOP mailer
-------

Aus Datenschutzrechtlichen Gründen, darf die
vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.

Automatic-Mail.Config#: [innocent]


Anhang:


- Daten
- Daten.word
- Daten3765
- sysinternals.1381
- testvir_7768
- system-windows
- re_mail
- data_info
- system-innocent_7658
- Daten3765
- Auto_Mail_4325
- re_mail_5116
- some

Die Dateierweiterung kann sich
aus zwei Erweiterung zusammensetzen, wobei die erste dann .XLS oder .TXT
lautet. Die zweite Dateierweiterung kann dann .EXE, .PIF, .COM, .SCR oder
.BAT sein.
Ebenfalls kann das Attachment als ZIP Archiv versendet werden.
Symptome:

Folgende Einträge im Windows
Systemverzeichnis:

\%systemDIR%\%filename%.exe (46.056 Bytes)
\%systemDIR%\%filename%.exe (46.056 Bytes)
\%systemDIR%\nonzipsr.noz (BASE64-Archiv)
\%systemDIR%\clsobern.isc (BASE64-Archiv)
\%systemDIR%\zippedsr.piz (BASE64-Archiv)
\%systemDIR%\clonzips.ssc (BASE64-Archiv)
\%systemDIR%\winmprot.dal
\%systemDIR%\winroot64.dal
\%systemDIR%\winsend32.dal

Folgende Einträge
in der Windows Registry:

HKEY_CURRENT_USER\Software\Microsoft\W indows\CurrentVersion\Run\
"%random%"="\%systemDIR%\%filename%.exe"
"%random%"="\%systemDIR%\%filename%.exe %srun%"


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\
"%random%"="\%systemDIR%\%filename%.exe"
"%random%"="\%systemDIR%\%filename%.exe %srun%"

Schaden: E-Mail-Versand,
deaktiviert Antivirus- und Firewall-Software
Gegenmittel: Symantec;
Bitdefender
Deaktivierung: nicht
bekannt
Info:

Antivir

Online for 8264 days
Last modified: 16.10.10, 11:40
Status
Youre not logged in ... Login
Menu

... Home
... Tags

... Antville.org

Suche
Calendar
November 2024
So.Mo.Di.Mi.Do.Fr.Sa.
12
3456789
10111213141516
17181920212223
24252627282930
Januar
Recent updates
stärke vs scheisse
wieviel kann man ertragen. und wieviel in kurzer zeit. wann wird das...
by deado (10.01.09, 18:21)
veränderung ich habe immer mitgespielt.
habe mich so verhalten wie ich dachte dass es sein...
by deado (21.08.08, 21:36)
einblicke und weitblicke...
by deado (24.07.08, 23:02)
einplatzende neuflaschen ein brief meiner
lieben schottischen mitbewohnerin xD zu deutsch: die ketchupflasche is ihr...
by deado (22.02.08, 18:26)

by deado (18.02.08, 22:29)
berlin
ohne worte
by deado (03.02.08, 18:05)
FARBE !??! !! O_o ich..
ich habe.. ich habe was rot-schwarzes an. das erste mal...
by deado (25.01.08, 19:13)
ende... gut? unfassbar! zufällig beim
durchschländern einer buchhandel-kette dieses buch entdeckt. und es is beinah...
by deado (09.12.07, 10:36)
Vorabend einer neuen Ära.. berlin,
stadt der erkenntnisse. es ist schon witzig. manchmal hat man...
by deado (30.11.07, 21:23)

RSS feed

Made with Antville
Helma Object Publisher