Sober.F im Umlauf

Sober.F kommt mit folgenden Eigenschaften:

kopiert sich in den System-Ordner als:

BCEGFDS.DLL (leer)
WINHEX32XX.WRM (57 KB, mime-codierte Wurmkopie)
WINSYS32XX.ZZP (57 KB, mime-codierte Wurmkopie)
SYST32WIN.DLL (gesammelte Mailadressen)
SPOOFED_RECIPS.OCX (gesammelte Mailadressen)
ZMHCARXXI.VVX (leer)
ZMNDPGWF.KXX (leer)

Mails erscheinen sowohl mit englischen als auch deutschen Betreffs und Inhalten. Hier die deutschen Beispiele:

Betreff (dt.):
Einzelheiten
Hallo Du!
Hallo!
Hey Du
Hi, Ich bin's
Ich bin es .-)
Verdammt
Na, überrascht?!
Info
Information
Fehlerhafte Mailzustellung
Mailzustellung fehlgeschlagen
Fehler
Illegale Zeichen in Mail-Routing
Verbindung fehlgeschlagen
Ung
Fehler in E-Mail
Bestätigung
Registrierungs-Bestätigung
Ihr neues Passwort
Ihr Passwort
Datenbank-Fehler
Warnung!
Details

Nachricht (dt.):
Ich war auch ein wenig
überrascht! Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann

Alles klaro bei dir?
Schau mal was Ich gefunden habe!

Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Bye

Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwörter rauszubekommen!!!
Passwoerter.txt

Details entnehmen Sie bitte dem Attachment
Nähere Informationen befinden sich im Anhang.

*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte überprüfen Sie nochmals diese E-Mail auf mögliche Fehlerquellen.
attach: AMD-System.txt
* End Transmission
Virenschutz
--- Web: h**p://www.{Zufallsadresse}
--- Mail To: User-Hilfe

Passwort und Benutzername wurde erfolgreich geändert
Ihre Benutzernamen und Passwörter befinden sich im Anhang dieser E-Mail
++++ Im www erreichbar unter: h**p://www.{Zufallsadresse}
++++ E-Mail: KundenInfo

Wegen eines Datenbank- Fehlers könnte es möglicherweise zu einem Verlust Ihrer persönlichen Daten wie Kennwörter gekommen sein. Wenn Sie Unregelmäßigkeiten festgestellt haben, melden Sie uns bitte umgehend den Datenverlust.
Vielen Dank für Ihr Verständnis
+++ Ein Service von
+++ h**p://www.{Zufallsadresse}
+++ E-Mail: Kundenservice

Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen. Bitte beachten Sie folgende Liste:

Anhang, Namensbestandteil (dt.):
Oh-Mann
Dokument
KurzText
AntiVirus-Text
Anleitung
Passwoerter.txt
Text-Inhalt
AMD-System.txt
Benutzer-Daten
Datenbank-Fehler
abuse-liste
schwarze-listen
Block-Lists

Beim Herstellen einer Internetverbindung zwecks Wurmverbreitung zeigt Sober.F folgende Meldung:

Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [filename].exe
Connection lost or blocked by Firewall

Die Erzeugung des Dateinamens, unter dem sich Sober.F in den System-Ordner kopiert entspricht derselben Methode wie bei Sober.E.

 

kommt eh in den GMX Spamverdacht isch net schlimm

 

Benutz halt serverseitige Mailfilter oder ein AntiSpam-Programm, das nur die Header lädt und dann auf dem Server löscht.

 

nervt bisschen ich krieg täglich 20-70 mal

 

Ich war seit Karfreitag weg(am Do letztes Mal Mails gecheckt) und hab heute wieder geguckt und 101 Mails bekommen. 20 davon waren kein Sober.

 

Bei meinem Neffen kam heute auch eine Mail mit seiner eigenen Adresse. Dumm, wie er ist, überlegte er, ob er sich nicht vielleicht doch selbst eine aus Versehen geschickt hat und wurde neugierig.
Was denkt ihr was er gemacht hat? Natürlich: Klick!

 

Hi!

Das ist so ein nerviger Wurm. Gott sei Dank hat web.de diesen Schutz schon drauf, sonst wäre ich sicherlich auch drauf reingefallen.

Hehe, bei meiner Freundin stand als Absender ihre eigene Mailadresse. sie hatte schon gedacht ,dass sich nen Fremder in ihren Account eingeloggt hat.

 

Wow, ich habe eben bei meiner web.de Addresse von einer petra.kurz@gmx. diese nachricht mit den ""passwörter.txt""
erhalten. Zum Glück hat Web.de Sobig F erkannt! Ist erschreckend wie die an meine Adresse kommen!

 

http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.removal.tool.html

 

leider war ich so blöd (zum ersten Mal) darauf reingefallen zu sein und ihn anzuklicken. Wo gibts ein Tool um den Wurm zu enternen? Bei Antivir und dergleichen hab ich noch nix gefunden..
Weiss von euch schon jemand was?

 

Ich werde den Thread oben festhalten. Damit es nicht zu voll wird löse ich den Thread von Sober.E

Die Infos zu Sober.E