Alias Namen: W32/Sober.f@MM, Sober.F, WORM_SOBER.F, I-Worm.VB.C
Virentyp: Wurm, Grösse um 42 Kilobyte
Verbreitung: Über E-Mail mittels einer eigenen SMTP-Routine (also eigenes "Mini-Mailprogramm" im Wurm integriert)
Betreff/Subject: Unterschiedlich - deutsche und englische Texte möglich (siehe auch weiterführende Links)
Mailtext: Unterschiedlich - deutsche und englische Texte möglich (siehe auch weiterführende Links)
Dateianhang: Unterschiedlich, deutsche und englische Dateinamen möglich, auch variabel. Dateiendungen ".zip" oder ".pif" möglich. ZIP-Dateien enthalten jedoch ebenfalls eine PIF-Datei (z.B. Pmessage-text.txt .pif - Die Leerzeichen sind vom Wurmautor so gewollt, damit auch kritischen Betrachtern zunächst nur die Endung ".txt" ins Auge fällt)
Erkennbare Anzeichen einer Infektion: SYST32WIN.DLL im Windows - Systemverzeichnis.
Bekannte Schäden: Legt Registry-Einträge und kopiert mehrere Dateien in das Windows - Systemverzeichnis. Sober.f sucht Mailadressen aus einer Vielzahl von Dateien eines infizierten Systems um sich an diese zu versenden. Der Wurm enthält auch eine "Negativliste" um sich an bestimmte Mailadressen nicht zu verschicken, dazu gehören auch diverse Anbieter von AntiVirus - Programmen. Für uns liegt übrigens die Vermutung nah, daß die gesamte "Sober-Familie" aus dem deutschsprachigen Raum stammen könnte.
Gegenmittel: bei TrendMicro
Informationen Englisch: McAfee | TrendMicro | F-Secure | Symantec | CAI | |