E-Mail Virus - WORM_SOBER.A

Beschreibung:
Dieser speicher-residente Computerwurm benutzt seine eigene SMTP Engine um sich per Massen-eMails verbreiten zu können. Die eMails werden mit unterschiedlichste Betreffzeilen und Dateinamen der Wurmkopie im eMail-Anhang verschickt. Der Dateianhang hat eine der folgenden Dateierweiterungen:

BAT
COM
EXE
PIF
SCR
Diese Malware infiziert Windows 95, 98, NT, 2000, ME und XP Systeme.

Lösung:
Deaktivieren des Malware Programms

Zum Entfernen der Malware, muss diese zunächst lokalisiert werden.

Durchsuchen Sie Ihren Computer mit einem TREND MICRO AntiViren-Produkt.
Notieren Sie den Namen aller Dateien, die als WORM_SOBER.A erkannt werden.

Beenden des Malware-Programms

Folgendermassen beenden sie den laufenden Prozess der Malware aus dem Speicher. Bitte legen sie sich den / die Namen der vorher entdeckten vireninfizierten Dateien bereit.

Öffnen Sie den Windows Task Manager.
Auf Windows 95/98/ME Systemen, klicken Sie hierfür
CTRL+ALT+DELETE
Auf Windows 2000/NT/XP Systemen, klicken Sie hierfür
CTRL+SHIFT+ESC, und klicken dann auf Prozesse .
Durchsuchen Sie die Liste der laufenden Programme* nach der Malware-Datei oder der vorher entdeckten infizierten Dateien.
Markieren Sie den Malware-Prozess und klicken Sie entweder auf die Schaltfläche Task beenden oder Prozess beenden (abhängig von der Windows-Version auf Ihrem Computer):
Wiederholen Sie diesen Vorgang so lange bis alle infizierten oder Malware-Dateien aus der Liste der laufenden Prozesse entfernt sind.
Überprüfen Sie nun ob der Prozess tatsächlich beendet wurde. Schliessen Sie dazu den Task Manager und öffnen Sie ihn erneut. Wenn der Prozess nicht mehr auf der Liste der laufenden Programme zu finden ist, wurde er erfolgreich beendet.
Schliessen Sie den Task Manager.
*Bitte beachten Sie: Auf Windows 95/98/ME – Systemen, zeigt der Task Manager bestimmte Prozesse möglicherweise nicht an. Daher ist es möglicherweise notwendig ein „Process-Viewer“-Tool einzusetzen, um die Malware-Prozesse zu beenden. Ansonsten fahren Sie bitte mit den nächsten Schritten fort.

Entfernen der Autostart-Einträge aus der Registrierungsdatei

Um die Autostart-Einträge in der Registry zu löschen – damit die Malware nicht bei jedem Systemstart erneut ausgeführt wird – gehen Sie bitte wie folgt vor: Auf diese Weise wird auch der Prozess erfolgreich beendet. Bitte legen sie sich den / die Namen der vorher entdeckten vireninfizierten Dateien bereit.

Öffnen Sie den Registrierungs-Editor. Klicken Sie auf Start>Ausführen, tippen sie Regedit und drücken Sie die Eingabe-Taste.
Auf der linken Leiste führen Sie einen Doppelklick aus auf: :
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
Suchen und löschen Sie in der rechten Spalte den Eintrag/die Einträge, deren Datenwert den/die Malware-Pfad/e oder Malware-Dateiname/n enthält die sie vorher notiert hatten.
Schliessen Sie den Registrierungsedito.
WICHTIG: Falls das Beenden des Malware-Prozesses im Speicher wie oben beschrieben nicht funktioniert hat, führen Sie jetzt einen Neustart durch.

bitte diesen Link eingeben.......http://www.bitdefender.de/bd/s…o.php?menu_id=1&v_id=160#

Und so erkennt ihr den Virus:

Im Betreff steht folgendes

Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr gehört!
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, it's enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
RE: Sex
Sorry, I've become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise
I've become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
I love you (I'm not a virus!)

Folgende Anhänge können bei den Mails dabei sein:

AntiVirusDoc.pif
Check-Patch.bat
Screen_Doku.scr
Removal-Tool.exe
Perversionen.scr
Bild.scr
robot_mail.scr
RobotMailer.com
Privat.exe
AntiTrojan.exe
Mausi.scr
NackiDei.com
Anti-Sob.bat
security.pif
Funny.scr
Liebe.com
Odin_Worm.exe
anti_virusdoc.pif
check-patch.bat
removal-tool.exe
screen_doc.scr
potency.pif
perversion.scr
pic.scr
CM-Recover.com
playme.exe
robot_mailer.pif
little-scr.scr
love.com
nacked.com
Hengst.pif
schnitzel.exe
anti-trojan.exe
NAV.pif

bitte diesen Link eingeben.......http://www.bitdefender.de/bd/s…o.php?menu_id=1&v_id=160#

Hallo Adolf,

Zur Zeit gibt es noch keine Alternativ Lösung, solange Du diese Mails
nicht öffnest und sie sofort löscht sollte nichts passieren, ich werde
sobald es ein Tools gibt es hier posten.

Am besten Du besorgst Dir einen Virenscanner der auch die Mails
ordentlich prüft, unter http://www.nod32.de bekommst einen tollen den
auch ich verwende, der ist resourcen schonen, also er bremst das
System nicht aus und wird Stündlich Aktualisiert.

danke chronos für die informationen........ :klatsch:
.....bei mir wollte der virus auch schon rein...... :lol:

mit ............VORSICHT!!! Neuer Mail Wurm ufts ......gleich gelöscht.......

danke und schönen abend noch :elefant:

Hallo Adolf,

sag kann es sein das Du bei nod32 die E-Mail überprüfung nicht Aktiv hast?
ansonsten kann ich mir das nicht erklären denn der Nod müsste sofort
anschlagen, schau mal bei Deinen E-Mails ob folgendes steht und zwar ganz unten.

__________ NOD32 1.548 (20031031) Information __________

Diese E-Mail wurde vom NOD32 Antivirus System geprüft
http://www.nod32.com

Sollte dies nicht der fall sein, ist die EMail überprüfung nicht aktiviert.

huhu cama........ :winki1: ich war so frei und hab mir auch eben das programm runtergelanden........er scannt bereits........hoffentlich findet er nix...... :lol:

danke dir.......

Ich staune Bauklötze über das Wissen von Chronos und auch Saurus, speziell was den PC betrifft. Meine Hochachtung!
So möchte ich euch als "Grünschnabel", was ja auch mein Name hier ist, folgendes fragen:
Ich habe den Virenscanner Norton AntiVirus v.5.0 installiert. Er hat mir noch nie einen Virus gemeldet, das heißt aber auch, ich hatte in den 2 Jahren noch keinen Virus. Bei dem Öffnen der Mails bin ich sehr vorsichtig.
In letzter Zeit habe ich öfters gehört, dass dieser Virenscanner wohl nicht so gut sein soll. Stimmt das? Was ist eure Meinung?
Gibt es einen besseren, der vielleicht mal zur Abwechslung nichts kostet? Wenn ja, wo finde ich den und ist der einfach zu installieren?
Wenn ich mir einen anderen Virenscanner hole, kann ich den Norton dann als Programm auf dem PC lassen, also nur deaktivieren, oder muß ich ihn komplett runterwerfen?
Reicht es beim Deaktivieren, wenn ich den Button "Deaktivieren" anklicke oder muß ich da noch etwas anderes berücksichtigen.
Bitte bei der Antwort nicht zu kompliziert schreiben. Ich bin nicht mehr neu und habe auch nicht viel Ahnung vom PC.
Danke schon mal für eure Mühe und herzliche Grüße
Marlen

Hallo Marlen,

Also ich verwende nur NOD32, der ist sehr Resourcen schonend (verbraucht wenig arbeitspeicher) was dem Windows zu gute kommt

Man kann nie 2 Virenscanner gleichzeitig laufen lassen, die stören sich gegenseitig
und schlußendlich erledigen sie ihre Aufgae nicht mehr und es können sich Viren
einschleichen.

Der Nod32 wird sogar stündlich aktualisiert - schreiben sie zwar ist aber nur in ganz
seltenen Fällen so, meist jedoch jeden 2. Tag bekommst eine neue Virenliste und somit
ist er immer Up to Date. Leider ist dieses Programm nicht kostenlos, man bekommt jeden
Monat ein neues Passwort zugesendet das man eingeben muß um an die neuen Viren UpDates ranzukommen, aber er ist in deutsch und für jede Plattform.

Hier kannst Du mehr darüber lesen http://www.nod32.de

Ich werde mich mal umsehen was es so alles an kostenlosen Scannern gibt.

Ich danke dir ganz herzlich, lieber Chronos.

Du hast mir sehr geholfen und mir auch wirklich verständliche Auskunft gegeben.

Danke vielmals und liebe Grüße
herzlichst
Marlen
:klatsch:

Heimtückischer E-Mail-Wurm

HAMBURG. Ein heimtückischer neuer E-Mail- Wurm ist jetzt im Internet aufgetaucht und treibt darin sein Unwesen: Er gibt sich als Post des Zahlungssystems PayPal vom Internet-Auktionshaus eBay aus und behauptet, die Nutzungslizenz sei abgelaufen. Der Empfänger soll unter anderem seine Kreditkartennummer angeben. "Ahnungslose Nutzer geben die sensiblen Daten ein, die dann automatisch an vier Adressen verschickt werden", sagte der Karlsruher Virenexperte Christoph Fischer.

Gelesen in der Tageszeitung am 15.11.03

Allgemeines Wissen!

Jeder der ein Forum betreibt oder eine HomePage sein eigen nennt
hat verschiedene Passwörter zu verwalten, diese werden NIEMALS
via E-Mail vom Betreiber angefordert, also bitte keinerlei Daten
weiter geben.

Dies bezieht sich natürlich auch auf Kreditkarten Nummern!

Sollte der Betreiber, aus welchen Gründen auch immer ein passwort
verlangen passiert das immer auf postalischem Wege und zwar als
Eingeschriebener Brief (meistens).

Sollte euch einmal das Passwort für den Zugang zum Board entfallen
so gibt es die Option sich ein neues Passwort zusenden zu lassen.
Ich werde immer wieder gefragt ob die Administratoren die Passwörter
einsehen können, klares NEIN denn in der Datenbank schaut z.B. mein
Passwort so aus - e82844302a63d193879a21b2327eb8ab - ich denke
damit kann keiner was anfangen :-)))