Zitat:Sober.C-Wurm fegt durch Deutschland – so reagierten die Anti-Viren-Hersteller
ueber Mails mit Betreffzeilen wie "Ermittlungsverfahren wurde eingeleitet" und einer Nachricht, dass gegen Sie angeblich ein Verfahren wegen dem Herunterladen von Filmen, Software oder MP3-Dateien eingeleitet wurde, verbreitet sich der Win32/Sober.C-Wurm. Weiter heisst es dort, man wuerde innerhalb der naechsten Tage Post vom Staatsanwalt bekommen - vorab gibt es im Dateianhang schon einmal die Ermittlungsakte. Unzaehlige Leute klickten also eifrig auf den Dateianhang, hinter dem sich allerdings keine Textdatei verbarg, sondern eine EXE-Datei mit dem Wurm. Die angebliche brisante Nachricht sollte den Anwender lediglich zum unvorsichtigen Doppelklick "ueberreden".
Am Wochenende wurde der Wurm zum ersten Mal gesichtet, wobei er sich ausserhalb des deutschsprachigen Raumes kaum verbreiten konnte. Der Sober.C benutzt einige Tricks, um seiner Erkennung und Beseitigung zu entgehen. So aktiviert er sich nicht nur einmal, sondern gleich zweimal im System, wobei jeweils eine Wurmkopie die andere ueberwacht. Laeuft der jeweils andere Task nicht mehr, so startet der Wurm ihn neu. Somit ist es unmoeglich, den Wurm manuell per Task-Manager aus dem Speicher zu entfernen.
Auch Anti-Viren-Software kann der Wurm so einfach ueberlisten, indem er seine Programmdateien jeweils mit exklusiven Rechten selbst oeffnet - somit kann keine andere Anwendung auf diese Dateien mehr zugreifen. Die meisten Virenscanner ueberspringen solche "nicht zu oeffnende" Dateien kommentarlos und geben nach einem Suchlauf zu Unrecht Entwarnung, dass Ihr System virenfrei waere. Einzig Spezialreinigungsprogramme helfen, die den Wurm zunaechst im Speicher ausschalten und dann das System und die Registry vom Schaedling befreien. Links zu diesen Tools finden Sie auf Seite 4.
Ich hab hier noch n´Link zu Mcafee Stinger (StandAlone-Virenscanner)
<a href='http://vil.nai.com/vil/stinger/' target='_blank'>http://vil.nai.com/vil/stinger/</a>
Der Mailtext ist schon mal genial..da gibts sicher genug User was ins Schwitzen gekommen sind. Wer aber glaubt, das so´n Inhalt per Mail verschickt wird ist schon fast selber schuld.....
Fies ist aber schon die Tatsache, das 2 Progies sich gegenseitig neu anstarten, daher ist man mit dem Taskmanager machtlos <_<
Am meisten aergert mich aber das mein Lieblingsvirenscannenr als letztes aktualisiert wurde, weil ein Ami-Fachtrottel (yep, ich bin oberflaechlich
)von Mcafee gemeint hat, ein paar 100 Wurmmails sind kein Grund zur aktualisierung
Der hat wohl nie was von Dau´s gehoert und den Inhalt des Mail wohl auch nicht ganz verstanden. Mich wundert nicht das der Wurm sich so gut verbreitet...
Quelle: <a href='http://www.pcwelt.de/news/viren_bugs/36527/2.html' target='_blank'>http://www.pcwelt.de/news/viren_bugs/36527/2.html</a>
und das sieht dann ungefaehr so aus:
Zitat:Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.
We hereby inform you that your computer was scanned under the IP 61.102.72.23 . The contents of your computer were confiscated as an evidence, and you will be indicated. In the next days you will receive the charge in writing. In the Reference code: #35657, are all files, that we found on your computer.
The sender address of this mail was masked, to protect us against mail bombs.
- You get more detailed information by the Federal Bureau of Investigation -FBI-
- Department for "Illegal Internet Downloads", Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000
sehr glaubwuerdig
Hab schon einige Mailtexte zu diesem Virus gelesen.
Ein paar sind wirklich raffiniert
Ein paar Banken und Polizeistellen werden dagegen ihre liebe mueh und not haben, da Adressen/Tel./Fax-Nr meistens korrekt sind B)
Hier noch ein paar Auszuege:
Zitat:Sehr geehrte Damen und Herren,
das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 81.98.28.123 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten
Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #10257
sind fuer Sie und ggf. Ihrem Anwalt beigefuegt und einsehbar.
Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.
Naehere Auskunft erteilt Ihnen die Kriminalpolizei Duesseldorf,
Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Rufnummer ausserhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868
Hochachtungsvoll
i.A. PK Mollbach
Zitat:Wenn Sie meinen mir DROHEN zu koennen, haben sie sich in den Finger geschnitten!!! Erstens mal, weiss ich gar nicht wer Sie sind. Zweitens, kenne ich Ihre Frau oder Freundin nicht. Und Drittens, Ich habe kein Taechtel-Maechtel mit Ihrem Partner!!!
Ihre Drohgebaerden koennen sie woanders loswerden,
aber nicht bei mir!
Ihre Droh Mails habe ich gerade an die Behoerden weitergeleitet. Sie hoeren noch von mir!
UND
Ich bin wahrscheinlich zu bloede, Ich kriegs nicht gebacken. Kannst du das mal testen! Ich ruf dich spaeter mal an.
Und ein paar Betreffs:
Zitat:Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
Anmeldebestaetigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
In der Firma hab ich schon 10 solche Mails abgefangen....da aber die Benutzer die Mails mit entfernten Attachment trotzdem erhalten, rufen die mich immer ganz entsetzt an
2x Sie Drohen mir!! / 2x Ihre IP wurde geloggt / 1x du wirst ausspioniert der Rest glaub ich Sie sind ein Raubkopierer
Hier ne naehere Beschreibung des Virus, der echt raffiniert konstruriert ist:
<a href='http://www.antivir.de/vireninfo/soberc.htm' target='_blank'>http://www.antivir.de/vireninfo/soberc.htm</a>
Ich bewundere zwar nicht den Virencoder..solche Leute gehoert ein vernuenftiges Hobby eingeblaeut...aber mit den Betreffs und den Inhalt haben die wirklich einen Nerv getroffen
wenn das so weitergeht, bin ich fuers verschieben in den funstuff
