| Bezeichnung |
Name |
Typ |
| Sober.Q |
Sober.Q |
ausführender Mass Mailer Trojaner |
| Schaden |
Entdeckt |
Ermittelt |
| Niedrig |
14.05.2005 |
14.05.2005 |
| Größe |
Verbreitung |
Noch unterwegs |
| 53,792 bytes |
mittel |
Ja |
| Andere Namen |
| Trojan. Sober-Familie |
|
|
 |
Symptome :
|
Der Trojaner generiert folgende Dateien:
%Windir%\Help\Help\csrss.exe (jeweils Kopien des Trojaners)
%Windir%\Help\Help\smss.exe (ebenso)
%Windir%\Help\Help\services.exe (ebenso)
%Windir%\Help\Help\sacri1.ggg
%Windir%\Help\Help\sacri2.ggg
%Windir%\Help\Help\sacri3.ggg
%Windir%\Help\Help\voner1.von
%Windir%\Help\Help\voner2.von
%Windir%\Help\Help\voner3.von
%Windir%\Help\Help\sysonce.tst
%Windir%\Help\Help\fastso.ber
%System%\nonrunso.ber
%System%\langeinf.lin
%System%\gdfjgthv.cvq
%System%\seppelmx.smx
%System%\adcmmmmq.hjg
%System%\xcvfpokd.tqa
%System%\fastso.ber
und der Trojaner editiert folgende Registry-Einträge:
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run
Er läd sich beim Start von Windows immer wieder neu.
|
Technische Beschreibung:
|
Sober.q sucht in folgenden Dateiendungen nach Emailadressen um sich
an diese automatisch weiter zu versenden:
| an diese versendet er sich |
diese versucht er zu vermeiden |
.abc
.abd
.abx
.adb
.ade
.adp
.adr
.asp
.bak
.bas
.cfg
.cgi
.cls
.cms
.csv
.ctl
.dbx
.dhtm
.doc
.dsp
.dsw
.eml
.fdb
.frm
.hlp
.imb
.imh
.imh
.imm
.inbox
.ini
.jsp
.ldb
.ldif
.log
.mbx
.mda
.mdb
.mde
.mdw
.mdx
.mht
.mmf
.msg
.nab
.nch
.nfo
.nsf
.nws
.ods
.oft
.php
.phtm
.pl
.pmr
.pp
.ppt
.pst
.rtf
.shtml
.slk
.sln
.stm
.tbb
.txt
.uin
.vap
.vbs
.vcf
.wab
.wsh
.xhtml
.xls
.xml |
-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname
|
Die Emails haben in der Betreffszeile Aufmacher wie z.B.:
• verbrechen der deutschen frau
• auslaender bevorzugt
• tuerkei in die eu
• deutsche buerger trauen sich nicht
• dresden 1945
• 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
• volk wird nur zum zahlen gebraucht!
• Ohne Deutsch nach Deutschland:
• transparenz ist das mindeste
• auslaenderpolitik
• Traumziel Deutschland:
• paranoider deutschenmoerder kommt in
• 60 jahre befreiung
• gegen das vergessen
• hier sind wir lehrer die einzigen auslaender
• du wirst ausspioniert ....!
• Botschafter in Kiew beschwerte sich noch 2004:
• s.o.s. kiez! polizei schlaegt alarm
• vorbildliche aktion
• multi-kulturell = multi-kriminell
• augen auf
• schily ueber deutschland
• deutsche werden kuenftig beim arzt abgezockt
• massenhafter steuerbetrug durch auslaendische arbeitnehmer
• graeberschaendung auf bundesdeutsche anordnung
• 4,8 mill. osteuropaeer durch fischer-volmer erlass
• du wirst zum sklaven gemacht!!!
Diese Emails verweisen auf die rechtsradikale Seite der NPD (www.npd.de
) obwohl auch einige zu renomierten anderen Nachrichtendiensten wie Spiegel.de
oder Taz.de verweisen.
|
Entfernung:
|
In unserer Bereich der free
Downloads haben wir eine Rubrik geschaffen für kostenlose Removal Tools. Hier
Sober.Q Removal Tool
suchen & downloaden oder hier
zum Forum um Hilfe zu bekommen
[ Zurück zum Anfang ]
|
|
 |
aktuelle Viren
Meldungen |
|
|
|
weitere Dienste |
|
|
|
