Verfügbare Informationen zu "Virus-Warnung: W32.Sober.P@mm"
Qualität des Beitrags: Beteiligte Poster: spirti Forum: spirti´s Chill & fun-Forum Forenbeschreibung: MEIN NEUES FORUM http://www.carookee.com/forum/Sonneninsel "DIE SONNENINSEL" aus dem Unterforum: Viren,Trojaner & Co. Antworten: 1 Forum gestartet am: Sonntag 09.01.2005 Sprache: deutsch Link zum Originaltopic: Virus-Warnung: W32.Sober.P@mm Letzte Antwort: vor 18 Jahren, 9 Monaten, 24 Tagen, 17 Stunden, 59 Minuten
Alle Beiträge und Antworten zu "Virus-Warnung: W32.Sober.P@mm"
Re: Virus-Warnung: W32.Sober.P@mm
spirti - 07.07.2005, 21:12Virus-Warnung: W32.Sober.P@mm
Name: W32.Sober.p@mm alias Trojan.Ascetic.C
Alias: W32.Sober.P@mm, Win32.Sober.O [Computer Associates],
Email-Worm.Win32.Sober.q [Kaspersky Lab],
W32/Sober.q@MM [McAfee],
Troj/Sober-Q [Sophos],
WORM_SOBER.U [Trend Micro] Art: Trojanisches Pferd
Größe -
Betriebssystem: Microsoft Windows
Art der Verbreitung: keine
Verbreitung: mittel
Risiko: gering
Schadensfunktion: Verbreitung rechtsradikaler Texte
Spezielle Entfernung: keine
bekannt seit: 15.05.2005
Allgemeines
Sober.P ist ein Trojanisches Pferd, das E-Mail-Nachrichten mit rechtsradikalem Inhalt verbreitet. Der Text der E-Mails ist in deutscher oder in englischer Sprache verfasst.
Der Wurm löscht Dateien des AV-Herstellers Symantec. Weiterhin deaktiviert er Sicherheitssoftware, darunter die Windows XP-Firewall und das automatische Windows Update.
Infektion
Sober.P gelangt auf Computer, die mit dem Wurm Sober.O infiziert sind. Sober.O lädt eine Datei, die Sober.P beinhaltet, aus dem Internet und infiziert damit den Computer. Sober.P selbst ist ein Trojanisches Pferd, das sich nicht automatisch weiter verbreitet.
Es werden folgende Dateien erzeugt:
%Windir%\Help\Help\csrss.exe
%Windir%\Help\Help\smss.exe
%Windir%\Help\Help\services.exe
%Windir%\Help\Help\sacri1.ggg
%Windir%\Help\Help\sacri2.ggg
%Windir%\Help\Help\sacri3.ggg
%Windir%\Help\Help\voner1.von
%Windir%\Help\Help\voner2.von
%Windir%\Help\Help\voner3.von
%Windir%\Help\Help\sysonce.tst
%Windir%\Help\Help\fastso.ber
%System%\nonrunso.ber
%System%\langeinf.lin
%System%\gdfjgthv.cvq
%System%\seppelmx.smx
%System%\adcmmmmq.hjg
%System%\xcvfpokd.tqa
%System%\fastso.ber
%Program Files%\Symantec\Liveupdate\luall.exe
Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.
Es werden folgende Registrierungsschlüssel erzeugt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Run\"SystemBoot" = "%Windir%\Help\Help\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run \"SystemBoot" = "%Windir%\Help\Help\services.exe"
Mit Hilfe dieser beiden Schlüssel in der Windows-Registrierung wird der Wurm bei jedem Systemstart aktiviert.
Sober untersucht den infizierten Computer nach E-Mail-Adressen und versendet sich mit gefälschtem Absender an diese gefundenen Adressen.
Verbreitungsart
Sober.P hat keine eigene Verbreitung. Er verbreitet jedoch E-Mail-Nachrichten mit rechtsradikalen Inhalten. Die Absenderadresse ist mit den gefundenen Adressen gefälscht (Mehr Informationen zu gefälschten Absendern). Sober.P versendet Text sowohl in deutsch, als auch in englisch.
Von: <Absender gefälscht>
Betreff:
4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
Auf Streife durch den Berliner Wedding
Auslaender bevorzugt
Deutsche Buerger trauen sich nicht ...
Auslaenderpolitik
Blutige Selbstjustiz
Deutsche werden kuenftig beim Arzt abgezockt
Paranoider Deutschenmoerder kommt in Psychiatrie
Du wirst zum Sklaven gemacht!!!
Dresden 1945
Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
Gegen das Vergessen
Tuerkei in die EU
Hier sind wir Lehrer die einzigen Auslaender
Multi-Kulturell = Multi-Kriminell
Verbrechen der deutschen Frau
S.O.S. Kiez! Polizei schlaegt Alarm
Transparenz ist das Mindeste
Trotz Stellenabbau
Vorbildliche Aktion
Augen auf
Du wirst ausspioniert ....!
Volk wird nur zum zahlen gebraucht!
60 Jahre Befreiung: Wer feiert mit?
Graeberschaendung auf bundesdeutsche Anordnung
Schily ueber Deutschland
The Whore Lived Like a German
Turkish Tabloid Enrages Germany with Nazi Comparisons
Dresden Bombing Is To Be Regretted Enormously
Armenian Genocide Plagues Ankara 90 Years On
Entfernung
Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:
der laufende Prozess blockiert die Datei
Windows schützt das Verzeichnis, in dem sich das Programm befindet
Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Weitere Beiträge aus dem Forum spirti´s Chill & fun-Forum
Endless Story Of Love - gepostet von Keks am Montag 11.09.2006
alles gute - gepostet von allforyou am Samstag 31.12.2005
rsc kurz zeit ideen :) - gepostet von Anonymous am Samstag 02.04.2005
Ähnliche Beiträge wie "Virus-Warnung: W32.Sober.P@mm"
Warnung an folgende Member - Schinkenwasser (Freitag 08.04.2005)
Warnung vor resistenten Aids-Viren - Villucia (Dienstag 17.01.2006)
wider ein virus - Da Round (Montag 13.03.2006)
!!! Letzte Warnung !!! - m3y3r (Montag 29.01.2007)
Computer Virus - BierKönig (Dienstag 07.08.2007)
Rekenber Corp Warnung - yuichan (Dienstag 20.03.2007)
Manual - Alles was es zu wissen gibt (Game over) - Baphemot (Sonntag 17.10.2010)
Warnung an die die nie kommen! - Horsegirl (Dienstag 16.05.2006)
Virus Fahren - stoppelhopser (Freitag 28.07.2006)
Virus auf der neuen Homepage. - psycot (Freitag 03.08.2007)