seit gestern nacht kriege ich vermehrt neue virenmails mit folgendem Inhalt:
Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer
das diese Dinger nicht mehr auf meinem Account landen,
es Nervt naemlich.
Als Anhang enthalten die Mails eine Datei mail_text-data.txt(viele Leerzeichen).pif, hinter der sich eine Ausführbare Datei versteckt. Bei der Ausführung der angehängten Datei einer infizierten E-Mail wird der Computer infiziert
Es werden folgende Dateien erzeugt:
* %Windir%\msagent\system\smss.exe
* %Windir%\msagent\system\emdata.mmx
* %Windir%\msagent\system\zipzip.zab
* %System%\nonrunso.ber
* %System%\xcvfpokd.tqa
* %System%\stopruns.zhz
Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.
Der Wert:
"Services.dll" = "%Windir%\msagent\system\smss.exe" wird dem folgenden Registrierungsschlüssel hinzugefügt:
* HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
Mit Hilfe dieses Schlüssels in der Windows-Registrierung wird der Wurm bei jedem Systemstart aktiviert.
Sober.L untersucht den infizierten Computer nach E-Mail-Adressen und versendet sich mit gefälschtem Absender an diese gefundenen Adressen. Außerdem versucht der Wurm Verbindungen zu mehreren Internetseiten aufzubauen. Besteht keine Verbindung zum Internet, versucht Sober.L Wählverbindungen zum Internet zu aktivieren.
Norton Antivirus erkennt den Virus noch nicht richtig, keine ahnung warum. Er lässt jeden 2.ten durch, obwohl sich die mails gleichen.
BitDefender ist da mal wieder ein bisschen weiter vorne, die hatten die signatur des Virus schon als ich den ersten noch garnet gesehen hab.
Die OpenSource Scanner clamscan und vscan wurden ebenfalls upgedated.
AntiVir hat momentan ein kleines Problem mit Ihren Servern, die sind wegen zu vielen Clientanfragen überlastet.
Die Update-Server des Antivirus-Unternehmens H+BEDV (AntiVir) sind derzeit nur teilweise oder gar nicht zu erreichen. Momentan zeigt die Webssite, auf der die Updates liegen, auf eine Platzhalter-Seite von Network Solutions.
Offizielle Stellungname von H+BEDV:
"Vorübergehend sind wegen des derzeit hohen Virenaufkommens die Download-Server der H+BEDV Datentechnik überlastet, was zur Folge hat, dass es bei Anwendern der AntiVir Personal Edition zu Verzögerungen bei den Downloads kommen kann."
Disclaimer (oder wo hab ichs her?)
Diese Daten beruhen auf eigenen Erfahrungen mit Sober.F, Meldungen des heise-security-newsletter und des BSI (BundesAmt für Sicherheit und Informationstechnik).
Hoffe ihr klickt net auf das Attachement. Ausgenommen sind natürlich Linux, *BSD und *Unix User, sowie alle anderen die kein Windows einsetztn.