Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1157

[MS/Generic] E-Mail-Wurm gibt sich unter anderem als Virenentfernungswerkzeug oder Spambeschwerde aus
(2003-10-28 18:22:27.764276+00)

Quelle: http://www.symantec.com/avcenter/venc/data/w32.sober@mm.html

Derzeit verbreitet sich ein neuer E-Mail-Wurm, der z.T. deutsche Betreffzeilen und Textkörper in die Nachrichten schreibt, mittels denen er sich verbreitet. Im Anhang befindet sich der eigentliche Wurm, der ein System infiziert, wenn der Benutzer das Attachment öffnet.

Betroffene Systeme

Einfallstor
E-Mail Attachment

Auswirkung

Typ der Verwundbarkeit
E-Mail-Wurm

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Infektion

Weiterverbreitung

Beschreibung
Der Wurm W32.Sober@mm verbreitet sich via E-Mail. Er sendet sich selbst im Anhang einer Nachricht, die eine deutsch- oder englischsprachige Betreffzeile und Nachrichtenkörper enthalten kann. Durch Ausführung (bei standardmäßig konfigurierten Systemen genügt i.A. das Öffnen) des in Visual Basic geschriebenen und mit UPX komprimierten Wurmcodes im Anhang durch den Benutzer installiert sich der Wurm auf dem beherbergenden Rechnersystem und durchsucht es nach E-Mail-Adressen. Der Wurm besitzt seine eigene SMTP-Engine, die zum Verschicken der Nachrichten an die gefundenen Adressen verwandt wird. Der Wurm fälscht die Absenderadresse dieser Nachrichten.

Gegenmaßnahmen
Entfernung des Wurmes:

  1. Deaktivieren Sie die Wiederherstellung systemkritischer Dateien unter Mirosoft Me und Windows XP, da sie bei der erfolgreichen Entfernung des Wurmes stören kann.
    Information zu diesem Schritt finden sich unter:
  2. Fahren Sie das System herunter und starten Sie es erneut im Safe Mode oder VGA Mode
  3. Entfernen Sie die o.g. Dateien aus dem Systemverzeichnis
  4. Entfernen Sie die o.b. Einträge aus den Registry-Keys
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  5. Starten Sie das System neu.
Sobald Updates für die verschiedenen Antivirusprogramme verfügbar sind, sollten folgende Schritte durchgeführt werden:
  1. Aktualisieren Sie die Datenbank Ihres Antivirusprogrammes
  2. Untersuchen Sie das System mit Ihrem Antivirusprogramm
  3. Entfernen Sie alle als infiziert markierten Dateien

Hinweis für Mitglieder der Universität Stuttgart
Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt und entfernt. Näheres hierzu erfahren Sie unter

Generelle Empfehlung (Wh)

Aliases
Der Wurm ist unter folgenden Namen bekannt:

Charakteristika
Die Nachrichten, mit denen sich der W32.Sober@mm-Wurm verbreitet, haben folgende Charakteristika:

Absender
Der Wurm ist in der Lage, Headerzeilen zu fälschen.
Unter anderem enthalten die From:-Zeilen (Absenderadresse) infektiöser Nachrichten gefälschte Inhalte.

Betreffzeile
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, eine der folgenden Betreffzeilen (Subject)

Attachment
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, ein Attachment mit einem der folgenden Namen:

Textkörper
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, einen der folgenden Textkörper (weitere sind möglich):

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1157