Nachdem der Vorgänger
dieses Wurms am 05.01.05 aufgehört hat sich zu verbreiten, ist seit
heute eine neue Variante in Umlauf. Ebenfalls mit deutsprachigem Text
versucht dieser Virus, den User dazu zu bringen den Anhang der eMail zu
öffnen.

verschieden (gefälscht!)

- "Ey
du DOOF Nase, warum beantw... "

"Warum beantwortest Du meine E-Mails nicht?

Kommen meine Mails nicht mehr bei dir an oder
so???

Habe mir jetzt extra eine neue Mail Adresse bei
GMX gemacht!

Ich hoffe mal, das sie jetzt zu dir durch dringen
wird.

In meinen anderen Mails habe ich einige Wichtige
Dinge niedergeschrieben, hatte aber keine Lust alles nochmal zu schreiben.

Deshalb habe ich die alten Mail-Texte im Texteditor
kopiert und mit Winzip klei ner gemacht.

Lesen und diesmal auch bescheid geben!!!!

tschau..... "

----------------------------------------------------------------------------------------------------------

Englische Version:

"Hello,
First, Sorry for my very bad English!

Someone send your private mails on my email account!
I think it's an Mail-Provider or SMTP error.
Normally, I delete such emails immediately, but in the mail-text is a
name & ad ress. I think it's your name and adress.

In the last 8 days i've got 7 mails in my mail-box,
but the recipient are you, not me. lol OK,

I've copied all email text in the Windows Text-Editor
and i've zipped the t ext file with WinZip. The sender of this mails is
in the text file, too.

bye"

"Texte.zip"
bzw.
"text.zip"
in der englischen Version

Existenz des Registry-Eintrags
# HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run "adisccrypt" = %SYSDIR%\sysspooldisc.exe
# HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\Run " dircryptlog" = %SYSDIR%\sysspooldisc.exe

McAfee;
TU Berlin

W32/Sorber.I verschickt sich
über gefälschte Absendeadressen (auch über @provider.at;
z.B.: Service@aol.com) und versucht mit auf deutsch verfaßtem
Text den Empfänger dazu zu bringen das Attachment zu öffnen.

Durch einen gefälschten
Eintrag im Text der Nachricht gibt W32.Sober.I vor, von einem Virus-Scanner
überprüft und als virenfrei bewertet worden zu sein.

Dieser Wurm kann verschieden
Antivirus-und Firewallprogramme deaktivieren.

verschieden (gefälscht!) Auch
über UTA-Adressen z.B. "Hostmaster@provider.at" oder "info@provider.at"

- "Re: Auftragsbestätigung"

- "Ungültige Zeichen in Ihrer E-Mail -SMTP: 7407"

- "Registration confirmation"

- "Mailzustellung fehlgeschlagen -Damon: 4440"

- "Re: Lieferungs-Bescheid"

- "FwD: Mail_Delivery_failure"

- "Mailer Error -8900"

- "FwD: Mailer Error -Damon: 4639"

- "invalid mail"

- "Mail- Verbindung wurde abgebrochen -Code: 4358"

- "Ihre E-Mail wurde verweigert"

- "Re: Ihre neuen Account-Daten"

- "Mailer-Fehler -836"

Eine der folgenden:

Weitere Informationen befinden sich im Anhang dieser
Mail

*-*-* Attachment-Scanner: NO VIRUS
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.sysinternals.com

-------
Folgende Fehler wurden aufgezeichnet:

61.134.157.181_failed_after_I_sent_the_message.
# 172: MAILBOX NOT FOUND
# 247: This_account_has_been_disabled_[#433].
# 529: mailbox_unavailable
STOP mailer
-------

Aus Datenschutzrechtlichen Gründen, darf die
vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.

Automatic-Mail.Config#: [sysinternals]

Your password was changed successfully!

++++++ User-Service: http://www.testvir.de
++++++ MailTo: postmaster@testvir.de

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.windows.gui.asm32.elite.coder.com

-------
Folgende Fehler wurden aufgezeichnet

39.238.149.96_does_not_like_recipient.
# 157: Remote_host_said:_delivery_error
# 192: mailbox_unavailable
# 335: Giving_up_on_39.238.149.96.
# 307: MAILBOX NOT FOUND

STOP mailer
-------

Aus Datenschutzrechtlichen Gründen, darf die
vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.

Automatic-Mail.Config#: [windows]

*-*-* Anti_Virus: Es wurde kein Virus gefunden
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de

This mail was generated automatically.
More info about --TESTVIR-- under: http://www.testvir.de

-------
Occured_Errors:

200.225.136.47_does_not_like_recipient.
# 195: MAILBOX NOT FOUND
# 175: Giving_up_on_200.225.136.47.

End
-------

The original mail is attached.

Auto_Mail.System: [testvir]

*-*-* Attachment: No Virus found
*-*-* MIRC- Anti_Virus Service
*-*-* http://www.mirc.com

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.ppp666.microsift.com

-------
Folgende Fehler wurden aufgezeichnet:

115.59.254.142_failed_after_I_sent_the_message.
# 204: MAILBOX NOT FOUND

STOP mailer
-------

Aus Datenschutzrechtlichen Gründen, darf die
vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.

Automatic-Mail.Config#: [ppp666]

*-*-* Anti_Virus: Es wurde kein Virus gefunden
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.some.network.net

-------
Folgende Fehler wurden aufgezeichnet:

80.25.230.181_failed_after_I_sent_the_message.
% 260: Remote_host_said:_delivery_error
% 125: MAILBOX NOT FOUND
% 558: mailbox_unavailable
% 245: This_account_has_been_disabled_[#440].
% 360: Giving_up_on_80.25.230.181.

STOP mailer
-------

Aus Datenschutzrechtlichen Gründen, darf die
vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.

Automatic-Mail.Config#: [some]

*-*-* X-MS_Scanner: Kein Virus erkannt
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de

This mail was generated automatically.
More info about --TESTVIR-- under: http://www.testvir.de'

-------
Occured_Errors:

218.228.154.101_failed_after_I_sent_the_message.
% 414: This_account_has_been_discontinued_[#143].
% 140: Giving_up_on_218.228.154.101.
% 319: Remote_host_said:_delivery_error
% 537: MAILBOX NOT FOUND

End
-------

The full mail is attached.

Auto_Mail.System: [testvir]

*-*-* Anti_Virus: No Virus was found
*-*-* YAHOO- Anti_Virus Service
*-*-* http://www.yahoo.com

Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.innocent.com

-------
Folgende Fehler wurden aufgezeichnet:

15.169.240.8_failed_after_I_sent_the_message.
% 238: This_account_has_been_discontinued_[#135].
% 556: Giving_up_on_15.169.240.8.
% 201: MAILBOX NOT FOUND
% 548: Remote_host_said:_Requested_action_not_taken

STOP mailer
-------

Aus Datenschutzrechtlichen Gründen, darf die
vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.

Automatic-Mail.Config#: [innocent]

- Daten
- Daten.word
- Daten3765
- sysinternals.1381
- testvir_7768
- system-windows
- re_mail
- data_info
- system-innocent_7658
- Daten3765
- Auto_Mail_4325
- re_mail_5116
- some

Die Dateierweiterung kann sich
aus zwei Erweiterung zusammensetzen, wobei die erste dann .XLS oder .TXT
lautet. Die zweite Dateierweiterung kann dann .EXE, .PIF, .COM, .SCR oder
.BAT sein.
Ebenfalls kann das Attachment als ZIP Archiv versendet werden.

Folgende Einträge im Windows
Systemverzeichnis:

\%systemDIR%\%filename%.exe (46.056 Bytes)
\%systemDIR%\%filename%.exe (46.056 Bytes)
\%systemDIR%\nonzipsr.noz (BASE64-Archiv)
\%systemDIR%\clsobern.isc (BASE64-Archiv)
\%systemDIR%\zippedsr.piz (BASE64-Archiv)
\%systemDIR%\clonzips.ssc (BASE64-Archiv)
\%systemDIR%\winmprot.dal
\%systemDIR%\winroot64.dal
\%systemDIR%\winsend32.dal

Folgende Einträge
in der Windows Registry:

HKEY_CURRENT_USER\Software\Microsoft\W indows\CurrentVersion\Run\
"%random%"="\%systemDIR%\%filename%.exe"
"%random%"="\%systemDIR%\%filename%.exe %srun%"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\
"%random%"="\%systemDIR%\%filename%.exe"
"%random%"="\%systemDIR%\%filename%.exe %srun%"

Antivir

Dieser Virus ist durch den
gleichbleibenden Text der eMail relativ leicht zu erkennen. Mydoom.s versucht
den Trojaner Backdoor.Win32.Surila.g aus dem Netz zu laden und auf dem
betroffenen System zu installieren.

verschieden (gefälscht!)

"photos"

"LOL!;))))"

~27 KB, Dateiname: "photos_arc.exe"

Existenz der Dateien rasor38a.dll
im Windows-Verzeichnis
und winpsd.exe im System[32]-Verzeichnis
sowie des Registry-Eintrags "winpsd = C:\WINDOWS\System32\winpsd.exe"
im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

McAfee
Sophos
Symantec