DEN ANHANG AUF KEINEN FALL ÖFFNEN!!!!!!!!!!!!!
Der enthält nämlich den Wurm Sober.C!!!
Die Absender-Adresse wird dabei gefälscht!
Der Betreff ist in Englisch oder in Deutsch. Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen
.bat, .com, .cmd, .exe, .pif oder .scr.
Wird der Wurm aktiviert geschieht folgendes:
1. Der Wurm kopiert sich selbst unter "<zufälligername>" in das Windows-Systemverzeichnis.
2. Danach durchsucht er das System nach E-Mail-Adressen in Dateien mit folgenden Dateierweiterungen:
.htt .rtf .doc .xls .ini .mdb .txt .htm .html .wab .pst .fdb .cfg .ldb .eml .abc .ldif .nab .adp .mdw .mda .mde .ade .sln .dsw .dsp .vap .php .nsf .asp .shtml .shtm .dbx .hlp .mht .nfo
und speichert diese im Windows-Systemverzeichnis unter dem Namen savesyss.dll.
Die gefundenen E-Mail-Adressen werden dann für die Weiterverbreitung verwendet.
3. Ein neuer Wert "<zufälliger Text>"="<zufälliger Pfad und Dateiname>" wird den beiden folgenden Registrierungsschlüsseln zugewiesen:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Durch den Eintrag in die Registry wird der Wurm beim jedem Start des Systems aktiviert.
4. Bei der ersten Aktivierung des Wurms erscheint folgende Meldung:
"first" has caused an unknown error – STOP 00000010x08
5. Die E-Mail hat eine der folgenden Betreffs und eine der folgenden Anhänge:
Betreff:
Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Deutschland sucht den ...
RTL: DSDS
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
AnmeldebestStigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
ups, i've got your mail
Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Anhang:
free4manga.com
free4share4you.com
tagespolitik-umfragen.com
iq4you-german-test.com
freewantiv.com
free4share4you.com
onlinegamerspro-worm.com
freegames4you-gzone.com
anime4allfree.com
animepage43252.com
[-Alle mit www. Prefix-]
aktenz#####.txt.*
alledigis.*
DrohMails.*
haha_sehr_witzig.*
Klassenfoto.*
Kundendat####BaB.*
remove-lsass.*
remove-smss.*
SysDial-patch.*
Zugangsdaten.*
downloader.*
yourmail.*
Wobei:
# beliebige Ziffer
* Dateierweiterung txt., doc, bat, cmd, pif, scr, exe, com
Ich hoffe jetzt ist das Ganze mal deutlich genug gesagt worden!
Quelle: www.chip.de
Der enthält nämlich den Wurm Sober.C!!!
Die Absender-Adresse wird dabei gefälscht!
Der Betreff ist in Englisch oder in Deutsch. Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen
.bat, .com, .cmd, .exe, .pif oder .scr.
Wird der Wurm aktiviert geschieht folgendes:
1. Der Wurm kopiert sich selbst unter "<zufälligername>" in das Windows-Systemverzeichnis.
2. Danach durchsucht er das System nach E-Mail-Adressen in Dateien mit folgenden Dateierweiterungen:
.htt .rtf .doc .xls .ini .mdb .txt .htm .html .wab .pst .fdb .cfg .ldb .eml .abc .ldif .nab .adp .mdw .mda .mde .ade .sln .dsw .dsp .vap .php .nsf .asp .shtml .shtm .dbx .hlp .mht .nfo
und speichert diese im Windows-Systemverzeichnis unter dem Namen savesyss.dll.
Die gefundenen E-Mail-Adressen werden dann für die Weiterverbreitung verwendet.
3. Ein neuer Wert "<zufälliger Text>"="<zufälliger Pfad und Dateiname>" wird den beiden folgenden Registrierungsschlüsseln zugewiesen:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Durch den Eintrag in die Registry wird der Wurm beim jedem Start des Systems aktiviert.
4. Bei der ersten Aktivierung des Wurms erscheint folgende Meldung:
"first" has caused an unknown error – STOP 00000010x08
5. Die E-Mail hat eine der folgenden Betreffs und eine der folgenden Anhänge:
Betreff:
Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Deutschland sucht den ...
RTL: DSDS
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
AnmeldebestStigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
ups, i've got your mail
Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Anhang:
free4manga.com
free4share4you.com
tagespolitik-umfragen.com
iq4you-german-test.com
freewantiv.com
free4share4you.com
onlinegamerspro-worm.com
freegames4you-gzone.com
anime4allfree.com
animepage43252.com
[-Alle mit www. Prefix-]
aktenz#####.txt.*
alledigis.*
DrohMails.*
haha_sehr_witzig.*
Klassenfoto.*
Kundendat####BaB.*
remove-lsass.*
remove-smss.*
SysDial-patch.*
Zugangsdaten.*
downloader.*
yourmail.*
Wobei:
# beliebige Ziffer
* Dateierweiterung txt., doc, bat, cmd, pif, scr, exe, com
Ich hoffe jetzt ist das Ganze mal deutlich genug gesagt worden!
Quelle: www.chip.de
