VirusAlert.nl logo
  13 december 2018 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Naam (type):
W32.Sober.I@mm (Internet Worm)
Besturing:
Microsoft Windows
Datum:
19 november 2004
Risico:
<font class=darkred>Hoog</font>
Bron:
(c) 2004, VirusAlert
Aliassen:
WORM_SOBER.I<br /> W32/Sober.j@MM<br /> Trojan.Win32.VB.qa
Eigenschappen:
Sober.I (56808 bytes) is een mass-mailer internetworm die zich verspreidt via e-mail. Het is een nieuwe variant van W32.Sober.a@mm

Dit virus verwijderen? Dat leest u onderin deze pagina, bij het kopje "verwijder instructies".

De eigenschappen van verzending via e-mail varieren nogal.
De gebruikte teksten zijn Engels of Duitstalig. Voor de verzending via e-mail maakt het gebruik van een eigen SMTP-engine. Activering vindt plaats door het bijlagebestand (handmatig) te openen.

Payload/Schade

-Als een gebruiker dubbel klikt op de bijlage toont het virus een vals error bericht. "WinZip_Data_Module is missing~Error: {2A0DCCF6}"

-Het virus kopiëert zich tweemaal naar de Windows\systeem folder en gebruikt een geconstrueerde bestandsnaam.

-De bestandsnaam van de virus-processen wordt gegenereerd door twee of drie van de volgende strings samen te voegen, en eindigt altijd op .exe:

sys
host
dir
expoler
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

Bijvoorbeeld:

datadiscwin.exe
cryptservice.exe
runlog32.exe

-Het virus creeert de volgende bestanden in de %windir%\systeem folder:

clonzips.ssc 78.090 bytes
clsobern.isc 77.738 bytes
cvqaikxt.apk 0 bytes
dgssxy.yoi 0 bytes
nonzipsr.noz 77.738 bytes
Odin-Anon.Ger 0 bytes
sb2run.dii 0 bytes
sysmms32.lla 0 bytes
winexerun.dal 1.779 bytes
winmprot.dal 1.832 bytes
winroot64.dal 672 bytes
winsend32.dal 1.779 bytes
zippedsr.piz 78.090 bytes

- Het virus zoekt naar e-mail adressen op het geinfecteerde systeem in folders van een van de volgende extenties:

pmr
stm
inbox
imb
csv
bak
ihm
xhtml
imm
imh
cms
nws
vcf
ctl
dhtm
cgi
pp
ppt
msg
jsp
oft
vbs
uin
ldb
abc
pst
cfg
mdw
mbx
mdx
mda
adp
nab
fdb
vap
dsp
ade
sln
dsw
mde
frm
bas
adr
cls
ini
ldif
log
mdb
xml
wsh
tbb
abx
abd
adb
pl
rtf
mmf
doc
ods
nch
xls
nsf
txt
wab
eml
hlp
mht
nfo
php
asp
shtml
dbx

Het virus zend zichzelf niet naar de volgende adressen.
ntp-
ntp@
office
@www
@from
support
redaktion
smtp-
@smtp.
gold-certs
ftp.
.dial.
.ppp.
anyone
subscribe
announce
@gmetref
sql.
someone
nothing
you@
user@
reciver@
somebody
secure
msdn.
me@
whatever@
whoever@
anywhere
yourname
mustermann
.kundenserver.
mailer-daemon
variable
password
noreply
-dav
law2
.sul.t-
.qmail@
t-ipconnect
t-dialin
ipt.aol
time
postmas
service
freeav
@ca.
abuse
winrar
domain.
host.
viren
bitdefender
spybot
detection
ewido.
emisoft
linux
google
@foo.
winzip
@example.
bellcore.
@arin
mozilla
@iana
@avp
@msn
icrosoft
@spiegel.
@sophos
@panda
@kaspers
free-av
antivir
virus
verizon
@ikarus
@nai.
@messagelab
nlpmail01.
clock
sender
youremail
home.com
hotmail.
t-online
hostmaster
webmaster
info

Eigenschappen e-mail bericht

-Afzender (from):

Info
FehlerMail
Webmaster
ReMailer
Lisa
Peter
Michael
Thomas
Elke
Susi
Nadine
Benutzer-Daten
Information
Service
Hilfe
Webmaster
Hostmaster
Postmaster
User-Info

-Onderwerp (subject):

hi there
hey dude!
wazzup!!!
yeah dude :P
Details
Oh God it's
damn!
#
Registration confirmation
Confirmation
Your Password
Your mail account
Delivery failure notice
Faulty mail delivery
Mail delivery failed
Mailing Error
Illegal signs in E-Mail
Invalid mail length
Mail Delivery failure
mail delivery status
Warning!
error in dbase
DBase Error
ups, i've got your mail
Sorry, that's your mail
why do you do that?
Life's a Bitch
Smiling Like a Killer
lol,wat'nlosey?
Informationvon
FalscheMailzustellung
FehlerinIhrerE-Mail
IhreE-Mailwarfehlerhaft
ESMTPError
UngültigeVariableninihrerE-Mail
Verbindungwurdegetrennt
Mail_Fehler
IhrneuerAccount
NeueAccountDaten
Siehabennichtgezahlt
Rechnung
Hi,seivorsichtig!
Achtung!gefährlicherVirus!
Schongehört?
DieTools!
DeinZeug's!
Hierfürdich^^
BestellungsBestätigung
Lieferungs-Bestätigung
Ok,hieristmein
Ichhabemichindichv

-Bericht (body):

--------------------------------------------------
yo wazzup :P
well here is ur stuff! good luck!

cya!
--------------------------------------------------
hey man! you'll not belive me what i've found on your computer!^^ ... thats funny dude!

well cya soon
--------------------------------------------------
nice pic u send me! here is mine!
--------------------------------------------------
I was surprised, too! :-(??
Who could suspect something like that? shit
--------------------------------------------------
hey dude!#

ive found a shity virus on my pc. yo must check your pc!
follow the steps in this article.

bye
--------------------------------------------------
###
--------------------------------------------------
Your password was changed successfully.


++++ User-Service: http://www.
++++ MailTo: postmaster@
--------------------------------------------------
Protected message is attached.


++++ User-Service: http://www.
++++ MailTo: postmaster@
--------------------------------------------------
This e-mail was generated automatically.
Information about -- - under: http://www.

-----
Errors:



End
-----

The full mail is attached.

Auto-ReMail.System#: []
--------------------------------------------------
Anybody use your accounts and (or) passwords!

For further details see the attachment.
--------------------------------------------------
*** Partial message is available!
*** Error: llegal signs in Mail-Routing
*** Mail-Server: ESMTP V
--------------------------------------------------
i'm very very sorry, anybody have sent your mail to my account address.l
--------------------------------------------------
I've got your mail, but its came on my mail address???
i've read this mail ,,, sorry about that

excuse for my bad english, but I'm a Dutchman
(or, excuse for my bad english, but I'm a Swede!)
cya
--------------------------------------------------
???
--------------------------------------------------
+-+-+ X- Mail_Scanner: No Virus found
+-+-+ - Anti_Virus Service
+-+-+ http://www.
--------------------------------------------------
Man hört und sieht nikkes mehr von Dir!
Haste D.e.i.n.e. Tage oder so?;) Wäre mal sehr nett von dir, wenn Du mal was von dir hören laaaasssssen tutest(tut tut)!

bis spaeeeter mal
--------------------------------------------------
Diese Information ist Passwort gesch
Da Sie uns Ihre Pers

Viel Spass mit unserem Angebot


--- Im I-Net unter: http://www..
--------------------------------------------------
Diese E-Mail wurde automatisch erzeugt.
Weitere Informationen erhalten Sie unte


-----
Folgende Fehler sind aufgetreten:



Ende der Mitteilung
-----

Das diese E-Mail automatisch generiert
Wir bitten dies zu ber

Auto-ReMail.System#: []
--------------------------------------------------
Guten Tag!

Da unsere Datenbank von Hackern befallen wurde, mussten wir leider eineÃâ€nderung bezüglich Ihrer Account Daten vornehmen.

Ihre neuen Account Daten finden Sie im beigefügten Dokument.


Vielen Dank für Ihr Verständnis.

--- GmbH & Co. KG
--- Mail-To: Service@.com
--- www.
--------------------------------------------------
Guten Tag,

Da Sie vor einiger Zeit ihren -Tarif bei uns gewechselt haben, müssen wir darauf hinweisen, dass Ihre Zahlung noch nicht bei uns eingegangen ist.

Leider müssen wir darauf hinweisen, das rechtliche Schritte gegen Sie eingeleitet werden können.

Alle Informationen bezüglich diesem Tarifes finden Sie im mitgesendetem Dokument.

Hochachtungsvoll
R. Peters


### Peters Multi- Media GmbH
### www.
--------------------------------------------------
Hi... ich wollte dir schnell mal mitteilen, dass sich ein gefährlicher Virus/Trojaner über Internet Seiten verbreitet.
Der ist wirklich gefährlich!
Achte auf die Infos im Anhang!!!

Ciao!
--------------------------------------------------
Hey alles klar? Hier sind die Tools die du haben wolltest!
Viel Spaßdamit ;)

Cu!
--------------------------------------------------
Weitere Informationen befinden sich im Anhang dieser Mail
--------------------------------------------------
Da Du mir dein Foto geschickt hast, hier nun ein Bild von mir!
--------------------------------------------------
Ja, leider kann ich es nichtändern aber es ist so.
Wenn Du genauso fühlst, dann schau dir bitte den Anhang an.

Wenn nicht, dann lösche ungeöffnet diese Mail! Es wäre mir sonst zu peinlich .....

-Bijlage (attachment) met een van de volgende extenties .pif, .zip, .scr, .bat or .com:

stuff
your_docs
private
ohyeah
photo
shock
thatshard
oh_no
article
more_infos
ReMailer
EM.
mail
check_this
p_message
yourmail
idiot
painfulness
Jokers
Kundeninfo
ReMail
EM.
mail
Jokes
Kundeninfo
Benutzer-Daten
-tarif
Antitext
lese-das
Aufpassen
Tools
daten
Foto
bild
hallo.zip
© VirusAlert schaal

Innovatie:  17
Besturing:  50
Logistiek:  20
Schade:  15

Schaal:  25/100

Aanduiding: GEVAARLIJK



Gratis Nieuwsbrief!

Herkenning van besmetting:
Herkenning van besmetting

-Error bericht:"WinZip_Data_Module is missing~Error: {2A0DCCF6}"

-Veel overmatig en/of onbekend SMTP netwerk verkeer

-Firewall geeft melding dat een nieuwe applicatie verbinding probeert te maken met het internet.

-Netwerk verkeer door poort TCP 37

Registry

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run "hostexpoler"
Data: C:\WINNT\System32\datadiscwin.exe

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run "wincryptx"
Data: C:\WINNT\System32\cryptservice.exe %srun%

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "disccryptx"
Data: C:\WINNT\System32\cryptservice.exe %srun%

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "runsmss32"
Data: C:\WINNT\System32\datadiscwin.exe

Verwijder instructies:
TIP - Twijfels bij een bepaald bestand?
Laat een verdacht bestand analyseren door KasperskyLab Benelux. Deze service is gratis en Nederlandstalig! klik hier

TIP – Controleer uw systeem af en toe met een antiviruspakket van een andere fabrikant.
Kaspersky biedt een gratis 30 dagen proefversie van haar Nederlandstalige pakket, deze kun je hier downloaden.

TIP - Verwijder dit virus met de Stinger tool van Mcafee
klik hier


Handmatig een virus verwijderen
voor Windows 9x, 2000, NT en XP

Onderstaande algemene beschrijving geldt voor alle Windows systemen.
Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de configuratie van een eerder moment terug te zetten.

U kunt op die manier uw systeem opstarten met de configuratie van de virusinfectie!
Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met een antiviruspakket, zie punt 1.
Raadpleeg Windows help voor meer informatie over [systeemherstel]

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de folder wijzigen via de instructie cd.. Je komt dan uit in de folder C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

Die kun je vinden door op het plusje te klikken wat voor HKEY_LOCAL_MACHINE staat.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.

3.I. Installeer de door het virus verwijderde security-software opnieuw. Middels de originele installatie-procedure.
Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


© 2001-2018 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/Privacy Virusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing

Black Friday Nederland 2018

Wil je ook de beste electronica aanbiedingen tijdens black friday deals 2018? Neem dan een kijkje op blackfridaydeals.nu. Schrijf je vast in voor de nieuwsbrief zodat je niets misloopt op 23 november 2018!

RSS