W32.Sober.C Email Virus - vorsicht!

#1 Ein neuer unbekannter Virus wird per E-Mail verschickt, hier die Beschreibung


Aus aktuellem Anlaß (und da wir die neuesten Viren aus offensichtlichen Gründen immer mit als erste bekommen eine kleine Warnung.
Anscheinend ist wieder mal ein neuer Emailvirus im Umlauf. Dieser tarnt sich diesmal allerdings besonders perfide, darum ist eine Warnung angebracht.
In offiziellem Ton und mit einer willkürlichen T-Online-IP versehen wird man als erwischter Raubkopierer scheinbar von der Kriminalpolizei über ein laufendes Strafverfahren informiert.
Im Anhang befinden sich dann angebliche weitere Informationen über das Verfahren, als .exe oder .pif-Datei, was einen wirklich stutzig machen sollte, wenn einem die anderen Ungereimtheiten der Mail nicht sofort aufgehen.
Der Betreff der Mails lautet entweder "Sie sind ein Raubkopierer" oder "Sie tauschen illegal Dateien aus".
Aktuelle Virenscanner finden den Virus scheinbar nicht ,auch auf den Seiten der Hersteller ist noch keine Info zu diesen Mails zu finden. Der Online-Scanner von Kaspersky Labs beanstandet den Anhang (noch) nicht.
--------------------------------------------------------------------------


Sehr geehrte Damen und Herren,
das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP 81.214.170.220(wechselnde IP) erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #7346(wechselndes Aktenzeichen)
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit gemacht haben, wurde die Herkunft dieser Mail verschleiert.

Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868

Hochachtungsvoll

i.A. PK Mollbach

--------------------------------------------------------------------------

Der Virus wird inzwischen von Kaspersky als Infected: I-Worm.Sober.c eingestuft. Er verschickt sich übrigens auch unter dem Betreff "Du hast einen Trojaner drauf" (gerade frisch bei mir eingetroffen).Weiterer Betreff "Hi ich bin's".


--------------------------------------------------------------------------
Hier von symantec die Beschreibung (leider auf English)

W32.Sober.C@mm is a mass-mailing worm that uses its own SMTP engine to spread. The subject of the email varies and will be in either English or German. The email's attachment name also varies, but will have a .bat, .com, .cmd, .exe, .pif or .scr file extension.

The first time W32.Sober.C@mm is activated, it displays a fake error message, with the subject "Microsoft" and the text "<file name> has caused an unknown error. Stop: 00000010x18"

This threat is written in the Microsoft Visual Basic programming language and is compressed with UPX.


Type: Worm
Infection Length: 74,346 bytes (minimum size)
Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Systems Not Affected: Linux, Macintosh, OS/2, UNIX


Wild:
Number of infections: 0 - 49
Number of sites: 0 - 2
Geographical distribution: Low
Threat containment: Easy
Removal: Easy

Damage
Payload Trigger: n/a
Payload: n/a
Large scale e-mailing: n/a
Deletes files: n/a
Modifies files: n/a
Degrades performance: n/a
Causes system instability: n/a
Releases confidential info: n/a
Compromises security settings: n/a

Distribution
Subject of email: varies
Name of attachment: varies
Size of attachment: varies
Time stamp of attachment: varies
Ports: n/a
Shared drives: n/a
Target of infection: n/a



When W32.Sober.C@mm is executed, it performs the following actions:

Creates two copies of itself in the %System% folder with random file names. Some of the copied files may contain garbage data appended to themselves.


Note: %System% is a variable. The worm locates the System folder and copies itself to that location. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).

Scans files with the following extensions for email addresses and stores them in C:\%System%\savesyss.dll:

.htt
.rtf
.doc
.xls
.ini
.mdb
.txt
.htm
.html
.wab
.pst
.fdb
.cfg
.ldb
.eml
.abc
.ldif
.nab
.adp
.mdw
.mda
.mde
.ade
.sln
.dsw
.dsp
.vap
.php
.nsf
.asp
.shtml
.shtm
.dbx
.hlp
.mht
.nfo


Adds the value:

"<random text string>"="<path and random file name>"

to the registry keys:


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

so the worm starts when Windows starts.


Displays the following fake error message the first time the worm is activated:




Uses its own SMTP engine to send email messages. The email will have one of the following Subjects and Attachment names:

Subject:
Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
AnmeldebestStigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
ups, i've got your mail
Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...

Attachment:
www.iq4you-german-test.com
www.freewantiv.com
www.free4share4you.com
www.onlinegamerspro-worm.com
www.freegames4you-gzone.com
www.anime4allfree.com
www.animepage43252.com
downloader.exe
yourmail.[rand1][rand2]
alledigis.[rand2]

[rand1] can be one of { txt., doc. }
[rand2] can be one of { bat, cmd, pif, scr, exe, com }
Note: W32.Sober.C@mm may spoof the return address.





Symantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":
Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.
If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.
Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services.
Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.
Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.
Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.
Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.