| Alias-Namen: I-Worm.Sober.b, Win32.Sober.B, W32/Sober.B@mm, W32/Sober.c@MM, Win32/Sober.B.Worm Virentyp: Wurm (Grösse 54 bis 60 KB - variiert) Verbreitung: Über E-Mail als Dateianhang
Betreff/Subject (bei E-Mail): In englischer und deutscher Sprache möglich. Hier einge Beispiele (mehr siehe weiterführende Links): Hihi, ich war auf deinem Computer - Du bist Ge-Hackt worden - Ich habe Sie Ge-Hackt - Der Kannibale von Rotenburg - You Got Hacked - George W. Bush plans new wars - George W. Bush wants a new war - Have you been hacked?. Offensichtlich werden hier aktuelle Themen oder die Angst der Empfänger zum Anlass genommen, damit der E-Mail überhaupt Beachtung geschenkt wird.
Mailtext: Ebenfalls unterschiedlich, in deutscher und englischer Sprache möglich.
Dateianhang: Die Dateinamen selber stellen sich auch unterschiedlich dar, wie z.B.: ALLFILES.CMD, WWW.HCKET-USER-PCS.COM, WWW.GWBUSH-NEW-WARS.COM, YOURLIST.PIF, SERVER.COM, DATEILIST.PIF, DATEN-TEXT.PIF Erkennbare Anzeichen einer Infektion: Existenz der Datei "mscolmon.ocx" im Windows System Verzeichnis.
Bekannte Schäden: Verschickt mittels einer eigenen SMTP-Routine an Mailadresse weiter, die Sober.b auf einem System finden kann. Hierzu durchsucht der Wurm Dateien recht vieler unterschiedlicher Endungen. Hier nur die wichtigsten bzw. bekanntesten Endungen (mehr siehe weiterführende Links): .rtf, .doc, .mdb, .txt, .htm, .html, .wab, .eml, .php, .asp, .shtml, .shtm.
Der Wurm verfügt über eine "hauseigene Schutzfunktion". Hierzu startet sich der Wurm gleich zwei mal. Sollte ein Wurm beendet werden, so trägt der andere Wurm dafür Sorge, dass dieser neu gestartet oder erneuert wird. Das erschwert für den normalen Anwender die manuelle Entferung ungemein. Denn selbst wenn ein Wurm mittels des Task-Managers beendet wird, so startet der zweite Wurm den fehlenden Prozess wieder. Auch manuell entfernte Registry-Einträge (auch hier trägt der Wurm sich zwecks Autotrun - Start bei jedem Systemstart) werden jeweils sofort wieder "erneuert", da eine sogenannte "Intervall-Funktion" regelmässig in kurzen Abständen die Einträge in der Registry abfragt, ob diese noch vorhanden sind. Diese Technik ist nicht neu, konnten jedoch bisher weniger bei Würmer beobachtet werden. Dazu sperrt jeder der beiden aktiven Würmer jedoch den anderen laufenden Prozess im "Exlusiv Zugriff". Das soll bewirken, dass Virenscanner den Wurm während eines Scanvorgangs nicht finden, da kein Zugriff möglich wäre.
Wer sich also an der manuellen Entfernung versuchen möchte (Beschreibungen siehe weiterführende Links), sollte Windows im abgesicherten Modus starten, da dann die Würmer nicht ausgeführt werden. Gegenmittel: kostenloses Removal-Tool bei H+BEDV Informationen Englisch: CAI | TrendMicro | McAfee | Symantec | F-Secure | Sophos | Panda | Informationen Deutsch: H+BEDV | |