######################################################################
CERT-Bund -- Warn- und Informationsdienst
######################################################################
INFORMATION ZU PROGRAMMEN MIT SCHADFUNKTIONEN
ID: CB-V05/0001
Titel: Warnung - E-Mail-Wurm W32.Sober.L@mm
Datum: 08.03.2005
Name: W32.Sober.L@mm
Alias: W32/Sober-L WORM_SOBER.L
Art: Wurm
Dateianhang: 45.454 Bytes (Zip-Archiv)
Betriebssystem: Microsoft Windows 32bit
Verbreitung: Massenmailing
Verbreitungsgrad: hoch
Risiko: mittel
Schadensfunktion: Massenmailing, Beenden von Sicherheitsprogrammen
Bekannt seit: 07.03.2005
Entfernung: Tool (in Kuerze verfuegbar)
######################################################################
W32.Sober.L@mm (Sober.L) ist ein Internetwurm, der sich per
Massenmailing mit seiner eigenen SMTP-Maschine mit zufaellig
gewaehlten Absender-Adressen verbreitet. Er beendet Prozesse von
Sicherheitsprogrammen.
Eine infizierte Mail weist folgende Merkmale auf:
o Betreff: Ich habe Ihre E-Mail bekommen!
o Dringlichkeit: Hoch
o Anhang: MailTexte.zip
Sollten Sie eine derartige Nachricht erhalten haben, so loeschen Sie
diese ungelesen.
Falls Sie bereits eine infizierte Nachricht geoeffnet haben, sollten
Sie Ihr System mit einem speziellen Entfernungs-Tool ueberpruefen.
Entsprechende Programme sind bei Herstellern von Antiviren-Software
noch in Vorbereitung. CERT-Bund informiert ueber diese Liste, sobald
das Entfernungs-Tool verfuegbar ist.
Ausfuehrlichere Informationen zu W32.Sober.L@mm finden Sie auf den
Internetseiten des BSI unter
um die Download-Adresse zu einem speziellen Entfernungs-Tool
ergaenzt.
Viren-Schutzprogramme mit Viren-Signaturen ab dem 07.03.2005 erkennen
den Wurm.
Fragen richten Sie bitte an
Mit freundlichen Gruessen
das Team CERT-Bund
=================================================================
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Telefon +49-228-9582-444 / FAX +49-228-9582-427
=================================================================
=======================================================================
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
=======================================================================
######################################################################
CERT-Bund -- Warn- und Informationsdienst
######################################################################
INFORMATION ZU PROGRAMMEN MIT SCHADFUNKTIONEN
ID: CB-V05/0001-1
Titel: Update - E-Mail-Wurm W32.Sober.L@mm
Datum: 08.03.2005
Name: W32.Sober.L@mm
Alias: W32/Sober-L
WORM_SOBER.L
Art: Wurm
Dateianhang: 45.454 Bytes (Zip-Archiv)
Betriebssystem: Microsoft Windows 32bit
Verbreitung: Massenmailing
Verbreitungsgrad: hoch
Risiko: mittel
Schadensfunktion: Massenmailing, Beenden von Sicherheitsprogrammen
Bekannt seit: 08.03.2005
Entfernung: Tool
######################################################################
Zur Entfernung des stark verbreiteten Wurms W32.Sober.L@mm (Sober.L)
steht ein vom BSI beauftragtes, spezielles Entfernungstool kostenlos
zur Verfuegung, welches von der BSI-Seite herunter geladen werden
kann.
Bei der Verwendung des Tools ist zu beachten:
o Systemwiederherstellung von Windows Me/XP deaktivieren
o Start des Computers in den abgesicherten Modus
o Durchsuchen und Saeubern des Computers mit dem Entfernung-Tool
Dazu wird Administrator-Berechtigung benoetigt!
Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
o infizierte Dateien loeschen
o Eintraege aus der Windows-Registrierung entfernen
Starten Sie danach Ihr System neu und aktivieren Sie die
Systemwiederherstellung (Windows Me/XP).
Neben dem BSI-Server kann das Entfernungs-Tool RmSoberL.exe
(MD5-Checksumme: 7995c78c31600fbc50377c2d479d284a) auch direkt von
folgender Adresse herunter geladen werden:
o Download-Adresse fuer RmSoberL.exe
Weitere Download-Adressen finden Sie ausserdem in der Beschreibung zu
Sober.L auf den Internetseiten des BSI:
o Virenbeschreibung des BSI fuer Sober.L
Fragen richten Sie bitte an.
Mit freundlichen Gruessen
das Team CERT-Bund
=================================================================
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Telefon +49-228-9582-444 / FAX +49-228-9582-427
/
=================================================================
=======================================================================
HINWEIS:
Die Inhalte dieser Meldung repraesentieren den Kenntnisstand des BSI
zum Zeitpunkt der Versendung. Eine Haftung fuer eventuelle Schaeden
oder Konsequenzen, die durch die direkte oder indirekte Nutzung der
Inhalte entstehen, wird ausgeschlossen.
Diese Meldung kann unter Einhaltung des Urheberrechts im vollstaendigen
Wortlaut, ohne Aenderungen und mit BSI-Copyright-Informationen kopiert
und fuer den persoenlichen und privaten Gebrauch weitergeleitet werden.
Eine kommerzielle Nutzung ist ausdruecklich untersagt.
=======================================================================
Florian, du bist doch hoffentlich kein Abonnent der Virinfo-Liste, oder? Zumindest nicht gestern Abend