Nützliche Hintergrundinfos hierzu:Sehr geehrte Damen und Herren,
das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.
Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 67.197.216.66 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.
Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten
Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #55159
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.
Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.
Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868
Hochachtungsvoll
i.A. PK .........
Quelle: http://www.antivir.de/vireninfo/soberc.htm
Es ist allerdings erstaunlich, wieviele Menschen darauf schon reingefallen sind.Der Wurm Sober.C wurde wie auch seine Vorgänger in Visual Basic 6.0 (deutsche Version) entwickelt und mit UPX gepackt. Dabei wurden wiederum die UPX-Header nachträglich gepatcht, um ein Auspacken mit herkömmlichen Mitteln zu erschweren.
Infektion des "My Shared Folder": Beim ersten Start des Wurms infiziert dieser sämtliche Executables im "My Shared Folder" indem er sich generell an die erste Stelle im File setzt.
Der Wurm agiert damit als sogenannter "Overwriter", der die entsprechenden Executables damit unreparierbar beschädigt. Sinn und Zweck dieser Vorgehensweise ist eine angestrebte zusätzliche Verbreitung über Filesharing Netzwerke welche ihre Austauschdateien in diesem Ordner gerne standardmäßig ablegen. Ist die Wirtsdatei kleiner als der Wurm selber, so wird sie mit dem kompletten Wurm überschrieben.
Worm/Sober.C erstellt drei Kopien von sich selbst im Windows-Systemverzeichnis, zwei davon mit unterschiedlichen (zufälligen) Dateinamen sowie eine Datei mit dem Dateinamen 'SYSHOSTX.EXE'.
Anschließend erscheint die oben dargestellte (gefakte) Messagebox.
Der Selbstschutz des Wurms:
Der Wurm startet sich generell in zwei Instanzen, das heißt er läuft gleichzeitig zweimal im System. Beendet man einen der beiden Prozesse, wird dessen Fehlen durch den anderen Prozess festgestellt, und der gerade eben beendete Prozess wird vom anderen Prozess aus erneut gestartet. Dadurch hat der Anwender mit Hilfe des Taskmanagers keine Chance, beide Wurmprozesse gleichzeitig zu terminieren.
Darüber hinaus sperrt der Wurm seine eigenen Dateien für normale Lesezugriffe. Hierzu verwendet er den Modus des "EXCLUSIVEN ZUGRIFFS", sodass diese Dateien nicht mehr im Normalmodus zum Lesen geöffnet werden können. Dies ist ein ähnliches Verfahren wie Windows es zum Schützen seiner Auslagerungsdatei verwendet.
Wird versucht, den Autostart-Run-Eintrag eines aktiven Wurmes zu entfernen, schreibt sich dieser sofort wieder in die Registry zurück. Dieses Verhalten wird mit einem Visual-Basic-Timer-Objekt ausgelöst, das in Intervallen die Registry auf diesen Autorun-Eintrag hin abprüft.
Der Wurm erstellt die drei folgenden Registry Keys, welche variable Namen besitzen können:
* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
"%Name%"="C:\\%WINDOWS%\\%SYSTEM%\\%variabler Dateiname%.exe"
* [HKEY_CURRENT_USER\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
"%Name%"="C:\\%WINDOWS%\\%SYSTEM%\\%variabler Dateiname%.exe"
Sober enthält eine eigene SMTP-Engine zum Versenden von Emails.
Die Email-Betreffzeile wird zufälligerweise aus folgender Liste ausgewählt:
* Deutsch:
Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
Anmeldebestätigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
*
Englisch:
Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Caution: To all gamers
Danach hängt der Wurm sich selber als Anhang an die Email an indem einen zufälligen Namen wählt. Neu bei der C-Variante des Sober-Wurmes ist das Anhängen von zwei Dateiendungen zur Verschleierung einer ausführbaren Dateinamneserweiterung. Hierdurch wird einem Benutzer in einer Standardinstallation von Windows eine harmlose doc- bzw. txt-Datei vorgegaukelt, zum Beispiel:
* %dateiname%.txt.exe
* %dateiname%.txt.com
* %dateiname%.txt.bat
* %dateiname%.doc.pif
Der Wurm sammelt Emailadressen aus folgenden Dateitypen:
* htt, rtf, doc, xls, ini, mdb, txt, htm, html, wab, pst, fdb, cfg, ldb, eml, abc, ldif, nab, adp, mdw, mda, mde, ade, sln, dsw, dsp, vap, php, nsf, asp, shtml, shtm, dbx, hlp, mht, nfo
Diese gesammelten Emailadressen speichert er in einer selbst angelegten Datei savesyss.dll im Windows-Systemverzeichnis.
Gruß
Drow
*hoff*
, dass ich wirklich kurze zeit wegen dieser mail beunruhigt war *rofl* 
![[ external image ]](http://www.seizewell.de/ddrow/banner.jpg){kind=link}
![[ external image ]](http://www.egosoft.com/x/xnews/gfx/X2Banner_04.jpg){kind=link}