# Sober C, aktuelle Mails, Anhang 74,2 KB



## Tonguru (26 Dezember 2003)

Here, the DigiCam photos. A few are overexposed.
cu

*****

Absender der Mail ist meine eigene Addy   , Adresse ist "[email protected](meineaddy)".
Obwohl mein Provider angeblich keine Catch-all-Mails zuläßt, kam die Mail an.

Der Anhang "photos.scr" (74,2 KB) darf keinesfalls geöffnet werden. Ok, ich war dumm genug, die Neugierde war eben zu groß.

Nach Anklicken des vermeintlichen Bildschirmschoners (.scr) kommt eine Fehlermeldung, es installiert sich aber im WINNT / System 32 ein Spionageprogramm. 

Es wird eine dll-Datei erstellt mit allen auf dem Rechner gespeicherten Mail- und Internetadressen.

Sollte jemand diese Mail bekommen und den Anhang schon geöffnet haben, unter WINNT / SYSTEM 32 folgende Dateien löschen (ging bei mir ohne Probleme, weil ich 2 Betriebssysteme habe, könnte ansonsten schwierig sein) und die Registry säubern (SPYBOT o.ä.):

syshostx.exe
Diskdll.exe
diskqv.exe
Humgly.lkur
savesyss.dll
yfig.yqwm

Die .exe-Dateien stehen im Autostart und sind im Task-Manager zu sehen.

Firewall meldet:
Datum: 26.12.2003 Uhrzeit: 16:08:41
Für dieses Mal hat der Benutzer Folgendes gewählt: Kommunikation "Blockieren". 
Details: Abgehende TCP-Verbindung 
Remote-Adresse, Dienst ist (128.118.25.3,time(37))
Prozessname ist "D:\WINNT\System32\Diskdll.exe"

Weitere geblockte Zugriffe z.B. auf
(209.87.233.53,time(37))
(131.188.3.223,time(37))
(193.204.114.233,time(37))

Habe Autostart blockiert, Registryeintrag gelöscht und Dateien aus System 32 verschoben, hoffe, das wars...


----------



## Dino (26 Dezember 2003)

Sieht doch sehr nach Sober.C aus! Das gute Stück startet gleich zwei Prozesse, die sich gegenseitig schützen. Insofern ist es wohl tatsächlich problematisch, das Teil aus einem laufenden Windows-System zu entfernen. Wird der eine Prozess abgeschaltet, stellt ihn der andere sofort wieder her...

Siehe auch:
http://forum.computerbetrug.de/viewtopic.php?t=3503
http://forum.computerbetrug.de/viewtopic.php?t=3500
http://forum.computerbetrug.de/viewtopic.php?t=3505

Gruß
Dino


----------



## Tonguru (27 Dezember 2003)

*...the Story continues*

Thanks for your registration.
( We say Sorry again, the first mail was delivered to an unknown mail address.
This was a bug in our mailing system! )

The amount of 239.- USD was deducted by your credit card.

Welcome,
you can now visit more than 1200 very very hot web pages!
Your registration, pages and passwords are in the attachment.

enjoy

*****

Wie gut, daß ich keine Kreditkarte hab, sonst wär ich wohl in leichte Panik verfallen...   

Absender: newlist @ akzent-werbung.de (Der Inhaber der Mailadresse wurde informiert und hat den Wurm auf seinem Rechner gefunden...)
Anhang: yourregistration.txt.exe  
Größe: 74,2 kB... exakt die gleiche Dateigröße wie "photos.scr"  :roll: 

Scheint ein neuer Volkssport zu werden, mal sehen, was noch so alles kommt...


----------



## Tonguru (27 Dezember 2003)

*Treffer!*

@Dino
Hast Recht gehabt, das hab ich grad gefunden:

http://www.antivir.de/vireninfo/sober_c.htm

REMOVAL-TOOL

Dateigröße, installierte Dateien und Verhalten sowie die Mails sind identisch...


----------



## Anonymous (27 Dezember 2003)

Um den Kaffee nochmal aufzuwärmen:
...bin heute irgendwo quer durch Germanien gefahren und ein lokaler Radiosender im Rheinland meldete: "... Computervirus wird mit Mailheadeader eines Polizeipräsidiums versendet und enthät den Betreff "_Ermittlungsverfahren wurde eingeleitet_".
Zu Hause guckt´s Annale in den E-Mail-Account und prompt ist eine Mail mit dem o. g. Betreff von irgend einem *****@web.de-User am Server - für mich ist die Nachricht (Dank T-Online-Server) gelöscht - allen anderen Usern (insbesondere Outlook-Nutzern) sei besondere Vorsicht geboten.

Hier nochmal die üblichen Betreff´s (gem. Link von Tonguru):
Betr: Klassentreffen 
Testen Sie ihren IQ 
Bankverbindungs- Daten 
Neuer Dialer Patch! 
_Ermittlungsverfahren wurde eingeleitet _
Ihre IP wurde geloggt 
Sie sind ein Raubkopierer 
Sie tauschen illegal Dateien aus 
Ich hasse dich 
Ich zeige sie an! 
Sie Drohen mir!! 
Anime, Pokemon, Manga, Handy ... 
AnmeldebestStigung 
Neu! Legales Filesharing 
Umfrage: Rente erst mit 80! 
du wirst ausspioniert 
Ein Trojaner ist auf Ihrem Rechner! 
Du hast einen Trojaner drauf! 
Hi, Ich bin's 
ups, i've got your mail 
Sorry, that's your mail 
hi, its me 
Thank You very very much 
you are an idiot 
why me? 
I hate you 
Preliminary investigation were started 
Your IP was logged 
You use illegal File Sharing ... 
A Trojan horse is on your PC 
a trojan is on your computer! 
Anime, Pokemon, Manga, ...


----------



## Tonguru (27 Dezember 2003)

...in Deutsch oder Englisch, je nach Domainendung der (Ziel-)Mailadresse.

Bei mir waren es (bis jetzt  :roll: )

hi, it´s me / hi, ich bin´s
registration confirmation / Anmeldebestätigung

Konstant scheint die Größe des Anhangs zu sein, auch wenn antivir diese etwas kleiner angibt - aber vielleicht wächst das Teil ja auch...


----------



## Tonguru (31 Dezember 2003)

*Und die 3.*

"Preliminary investigation were started"

Ladies and Gentlemen,
Downloading of Movies, MP3s and Software is illegal and punishable by law.

We hereby inform you that your computer was scanned under the IP 172.224.232.203 . The contents of your computer were confiscated as an evidence, and you will be indicated.
In the next days, you'll get the charge in writing.
In the Reference code: #44215, are all files, that we found on your computer.

The sender address of this mail was masked, to protect us against mail bombs.

- You get more detailed information by the Federal Bureau of Investigation -FBI-
- Department for "Illegal Internet Downloads", Room 7350
- 935 Pennsylvania Avenue
- Washington, DC 20535, USA
- (202) 324-3000

*****

Hmm, und der Anhang "refcode44215.txt.pif" ist mittlerweile auf 74,1 kB "geschrumpft"  :lupe: 

Absender ist wieder mal meine eigene Addy, am besten setz ich die mal auf die SPAM-Liste   :zunge:


----------



## Uwe1 (13 Januar 2004)

*Re: Und die 3.*

*Das Thema Sober C bleibt aktuell:*

Habe gestern auf meiner gmx-email-adresse im Ordner Spamverdacht folgende mail vorgefunden (siehe auch Startposting im Thread "komische email"):


```
Von:   car*******@gmx.net
An:   mailpag*@gmx.net 
Betreff:   Sie sind ein Raubkopierer 
Datum:   Sat, 10 Jan 2004 00:24:27 +0100 


Sehr geehrte Damen und Herren,

das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter
der IP 81.84.226.90 erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel
sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet.

Die Strafanzeige und die Möglichkeit zur Stellungnahme wird Ihnen in den nächsten
Tagen schriftlich zugestellt.
Die von uns gesammelten Daten unter dem Aktenzeichen #9978
sind für Sie und ggf. Ihrem Anwalt beigefügt und einsehbar.

Da wir negative Erfahrungen mit Mailbomben in der Vergangenheit
gemacht haben, wurde die Herkunft dieser Mail verschleiert.


Nähere Auskunft erteilt Ihnen die Kriminalpolizei Düsseldorf,
Europa Sonderkommission "Internet Downloads"
Rufnummer innerhalb Deutschland (0211) 870 - 0 oder (0211) 870 - 6868
Rufnummer außerhalb Deutschland (0049211) 870 - 0 oder (0049211) 870 - 6868

Hochachtungsvoll

i.A. PK Mollbach

Anhang: aktenz9978.com
```

Was ich nicht verstehe, ist, folgendes: Meine Email-Adresse ist nur nahestehenden Personen und, wie im IE bezeichnet, vertrauenswürdigen Zonen, bekannt.
Keine Einträge in Tauschbörsen, Hacker- und Sexseiten etc.  :holy:

Ich habe wesentlich "riskantere" Mail-Accounts, unter denen ich in Formularen explizit meine Adresse angegeben habe, dort werde ich auch bespamt, aber eine derart aggressive Mail ist mir bisher nicht annähernd vorgekommen.

Also Klartext: Nur für dieses Forum, dialerschutz.de, mobile.de, amazon.de und ebay.de kam diese Adresse zum Einsatz, also: "WO HABEN DIE SPAMFUZZIES BLOSS MEINE EMAIL-ADRESSE HER" :-? 



			
				Tonguru schrieb:
			
		

> Hmm, und der Anhang "refcode44215.txt.pif" ist mittlerweile auf 74,1 kB "geschrumpft"  :lupe:



... bei mir (aktenz9978.com) noch 72,5 kB. Die Weiterentwicklung der Methode scheint noch nicht am Ende zu sein. Übrigens hat es mir in den Fingern "gejuckt", die Datei testweise offline zu starten, aber da sie offensichtlich in 2 Instanzen läuft, die sich gegenseitig schützen... nein danke, bin zu faul, meinen Rechner komplett plattzumachen und neu zu installieren...

mfg Uwe


----------



## Tonguru (13 Januar 2004)

Hallo Uwe1,

>Was ich nicht verstehe, ist, folgendes: Meine Email-Adresse ist nur nahestehenden Personen und, wie im IE bezeichnet, vertrauenswürdigen Zonen, bekannt.<

Vielleicht hat eben eine dieser nahestehenden Personen sich diesen verdammten Wurm eingefangen? Er verschickt sich dann von deren Rechner an alle im Computer erfassten, nicht nur im Adressbuch eingetragenen e-Mail-Adressen (meines Erachtens nach durchsucht er auch Offlinedateien und Temporärdateien des IE und quasi alle in Outlook-Ordnern vorhandene empfangene und gesendete Mails).

>Ich habe wesentlich "riskantere" Mail-Accounts, unter denen ich in Formularen explizit meine Adresse angegeben habe, dort werde ich auch bespamt, aber eine derart aggressive Mail ist mir bisher nicht annähernd vorgekommen.< 

Nun, diese Mailadressen werden von Suchmaschinen ausgelesen, und an Spammer weitergegeben, das hat nichts mit dem Wurm zu tun.
SOBER ist kein SPAM, sondern ein eigenständiges Programm!!!

Unverkennbar ist deine Mail die deutsche Version zu meiner   :lol: 

Was es mit der Größe des Anhangs auf sich hat, ist mir auch nicht klar, bin zuerst davon ausgegangen, daß es immer diese 74,2 kB sind, aber das scheint keine konstante Größe zu sein.

Das mit dem Testen würd ich lassen, es sei denn, du hast 2 Betriebssysteme, nur so kannst du von dem anderen System aus auf das Mistding zugreifen und es löschen.
Und wenn du keine Firewall hast, wäre es strafbarer Leichtsinn, denn dann merkst du gar nicht, wenn das Teil aktiv wird!

Wenn die Versuchung mittlerweile zu groß war: In einem meiner obigen Beiträge gibts den Link zum Removal-Tool, das sollte es schaffen, das Ding aus einem laufenden System zu löschen.

Gruß,
Tonguru


----------



## Devilfrank (22 Januar 2004)

Durch einen Programmierfehler in [email protected] kann es zum Versand von nicht infektiösen E-Mails kommen. Die angehängten Dateien haben die Erweiterung pif und sind ca. 45 kBytes groß. Viren-Schutzprogramme schlagen nicht an. Wenn man allerdings die angehängte Datei unter Windows speichert, kommt es zu einer Unverträglichkeit mit dem Windows-Explorer. Wegen der pif-Erweiterung versucht dieser vergeblich die Daten als Verknüpfung zu interpretieren. Das Ergebnis ist eine Systemleistung von 100%. Auf die Datei kann unter Windows nicht mehr zugegriffen werden. Melden Sie sich in diesem Fall neu an und verwenden Sie unter Start - Programme die Eingabeaufforderung, um die Datei zu löschen. Kenntnisse von Kommandozeilen-Befehlen sind hierzu erforderlich.

http://www.bsi.de/av/vb/soberc.htm


----------



## frl.hintermeyer (24 Januar 2004)

*WURMALARM*

Sorry -glaub die Nachricht gehört ja hier hin...  :lol: 

Also  nochmal.... ich habe den reizenden Wurm der bei mir im Taskmanager als lsass läuft.  :evil: 
Denke das is son sober-c! Der lässt sich jedenfalls weder finden noch löschen. Läuft man das alles ab, was sophos vorschlägt ist er auch da niCht. Nur als Prozess wird er permanent angezigt. Der zerlegt mir noch meinen ganzen computer wenn ich den niCht los werde...also "HILFE WAS SOLL ICH TUN?"


----------



## virenscanner (24 Januar 2004)

@frl.hintermeyer

Welches Betriebssystem?  Bei W2000/WinXP läuft stets ein "lsass"-Prozess...

Wie sah die Mail der Uni aus?


----------



## BenTigger (24 Januar 2004)

die LSASS.EXE ist ein Betriebsystem zugehöriges Teil (Betriebssystem Microsoft(R) Windows (R) 2000)

Dieser Dateiname und auch System.exe werden in der Sorber[c] verseuchten Mail genannt, um den Empfänger zu veranlassen, das der E-Mail angehängte Program auszuführen. Das lautet dann meistens remover-lsass.exe oder remover-system.exe und ist in Wirklichkeit erst der Wurm, der installiert werden soll.

Die genannten Dateien lassen sich nicht löschen, weil sie zum Windows Betriebsystem gehören und wenn du es dann doch irgendwie schaffen solltest, ist dein Betriebsystem putt 

Das ist auch der Grund, warum die sich im Taskmanager nicht deaktivieren lassen und das ist der Sinn der E-Mail, den User an diese Dateien heranzuführen, damit er dann in Panik denkt, das wäre der Sorber Wurm 

Ich hatte das gestern grade genau als solch eine Anfrage eines Kollegen,  der verzweifelt versuchte, diese Dateien zu löschen. Zum Glück für ihn, war er intelligent genug, erst mal bei uns in der EDV nachzufragen, bevor er das angehänget Removeprogramm anklickte. 

Ich habe die E-Mails an ihn gelesen und muss sagen, geschickt gemacht. Jeder Ottonormalanwender fällt leicht darauf rein, auch wenn er sich etwas mehr mit seinem PC auskennt, aber das Betriebssystem nicht genau kennt.

Die beste und einfachste Möglichkeit bei dieser E-Mail ist:
E-Mail löschen *ohne* den Anhang auszuführen!!!


----------



## Rechenknecht (24 Januar 2004)

win XP: lsass - lsass.exe
Der lokale Sicherheitsdienst lsass.exe (Local Security Authority Subsystem) steuert die Richtlinien für User. Wenn Sie nicht als Administrator angemeldet sind, und nur auf bestimmte Dateien zugriff haben, ist die lsass.exe dafür verantwortlich. Versuchen Sie sich mit einem falschen Usernamen anzumelden, wird die lsass.exe dieses feststellen und den Zugriff auf das Betriebssystem verhindern.


----------



## Counselor (19 Mai 2004)

Der Wurm W32/SOBER.G geht neue Wege:

```
Guten Tag, Da Sie vor einiger Zeit ihren TELTARIF-Tarif bei uns gewechselt haben, müssen wir darauf hinweisen, dass Ihre Zahlung noch nicht bei uns eingegangen ist. Leider müssen wir darauf hinweisen, das rechtliche Schritte gegen Sie eingeleitet werden können. Alle Informationen bezüglich diesem Tarifes finden Sie im mitgesendetem Dokument. Hochachtungsvoll R. Peter
```
http://www.teltarif.de/arch/2004/kw21/s13764.html
http://winfaq.redirectme.net/preview/dok.aspx?Dok_ID=54


----------



## Tonguru (20 Mai 2004)

Jep, solche laut Absender angeblich von mir versandten Mails habe ich letzte Woche gleich 50 (!) Stück mit dem Hinweis "Failure Notice" zurück bekommen.

Als Absender und im Text (vor dem Wort TARIF) wurde eine meiner Domains angegeben, clevererweise mit der e-mail-Addy "[email protected]"

Die Mails waren alle in diversen Variationen an ein und die selbe Domain gerichtet ( [email protected]).

Desweiteren wird im Anhang, unter dem Titel des Dr. Peters, auf meine Domain verwiesen, was natürlich bei ahnungslosen Menschen den Verdacht aufkommen läßt, daß 
a) hier zu Unrecht böse Abmahnungen von dieser Domain verschickt werden und 
b) diese Website mit einem Virus / Wurm in Zusammenhang gebracht wird.


http://www.teltarif.de/forum/s13369/4-1.html

_Hatte jemand mal Gelegenheit, den Header einer solchen Mail zu untersuchen?! Uns wurde auch eine vermeintlich von unserer Domain stammende Mail von einem 'Betroffenen' erbost zurückgeschickt. Wir würden daher gern unsererseits Rechtsmittel ergreifen, aber wahrscheinlich aussichtslos_

Diesen Gedankengang hatte ich auch als erstes, daß sich da jemand einen bösen Spaß auf meine Kosten erlaubt, und ähnliche Rachegedanken.
Nach dem Durchsehen der 50. Mail war mir dann klar, daß außer dem Programmierer des Wurms niemand etwas für diese Mails kann.

Ärgerlich bleibt es dennoch, wenn man von Kunden auf solche Mails angesprochen wird...


----------

