Infos-Malware d'Emsisoft

Nom: Worm.Win32.Sober.I

Description :

Symptoms:
Presence of files winsend32.dal,winroot64.dal,cvqaikxt.apk,sysmms32.lla,dgssxy.yoi,zippedsr.piz,nonzipsr.noz,
winexerun.dal, winmprot.dal,clonzips.ssc,clsobern.isc,sb2run.dii in %SYSDIR%.
Presence of registry key:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run or RunOnce with a value created with the following words:
sys,host,dir,expoler,win,run,log,32,disc,crypt,data,diag,spool,service,smss32 pointing to a file in the Windows directory created
with the same rules. For example:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\host = c:\winnt\system32\disclogexpoler.exe

Technical description:
The worm comes by mail in German or English language.
The mail address of the sender is spoofed.



The message body is generated from various templates, using information about the targeted user (such as the domain name).These templates contain the following strings (though the final mail may contain more text):

I was surprised, too!
Who_could_suspect_something_like_that? shityiiiii
im_shocked
thats_hard
oh_nono
Your password was changed successfully!
Protected message is attached!
This mail was generated automatically.
Diese Information ist geschützt durch ein Passwort!
Diese E-Mail wurde automatisch generiert.
Da Sie uns Ihre Persönlichen Daten zugesandt haben, ist das Passwort Ihr Geburts- Datum.
Viel Vergnügen mit unserem Angebot!
Folgende Fehler wurden aufgezeichnet:
Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.
Vielen Dank für Ihr Verständnis.
Ihre geänderten Account Daten, befinden Sie im beigefügten Dokument.
Weitere Informationen befinden sich im Anhang dieser Mail



The subject may be one of:
Info von :
Mailzustellung fehlgeschlagen:
Fehler in E-Mail:
Ihre E-Mail wurde verweigert:
Mailer Error:
Ungültige Zeichen in Ihrer E-Mail:
Mail- Verbindung wurde abgebrochen:
Mailer-Fehler:
Betr.- Ihr Account:
Ihre neuen Account-Daten:
Auftragsbestätigung:
Lieferungs-Bescheid
Details
Oh God it's
Registration confirmation
Confirmation
Your Password
Your mail password
Delivery_failure_notice
Faulty_mail delivery
Mail delivery_failed
Mail Error
illegal signs in your mail
invalid mail
Mail_Delivery_failure
mail delivery system


The mail may also contain strings that state that the message has been scaned and was found clean:
Attachment: No Virus found
Mail_Scanner: No Virus
Anti_Virus: No Virus was found
Attachment-Scanner: NO VIRUS
Anti_Virus: Es wurde kein Virus gefunden


The attachment is either a ZIP archive or a SCR,BAT,COM or PIF file with the name one of composed of one of
daten,KDE_Info,system-,data_info etc., possibly with a random number appended to it. Also, the file may have an document
extension ( such as XML,TXT,EML ) followed by spaces, followed by the real extension.
Examples:
message_text.txt.(spaces).pif,
system-cmd.pif,
daten.bat,
data_info8326.pif,
KDE_Info901.bat,
daten.eml.bat.

Once executed, the worm copies itself to the Windows System32 directory with a name built with a combination of the following words:
sys,host,dir,expoler,win,run,log,32,disc,crypt,data,diag,spool,service,smss32 , such as disclogexpoler.exe.

The worm creates registry entries so that it will be run at Windows startup. (such as Software\Microsoft\Windows\CurrentVersion\RunOnce and Run).



To gather email addresses it searches files with the following extensions:
pmr,stm,slk,inbox,imb,csv,bak,imh,xhtml,imm,imh,cms,nws,vcf,ctl,dhtm,
cgi,pp,ppt,msg,jsp,oft,vbs,uin,ldb,abc,pst,cfg,mdw,mbx,mdx,mda,adp,nab,fdb,vap,dsp,ade,sln,
dsw,mde,frm,bas,adr,cls,ini,ldif,log,mdb,xml,wsh,tbb,abx,abd,adb,pl,rtf,mmf,doc,ods,nch,xls,nsf,
txt,wab,eml,hlp,mht,nfo,php,asp,shtml,dbx .

Source: BitDefender Virusinfo

Instructions pour la suppression de Worm Sober I:

Pour supprimer l'infection par ce Malware, téléchargez et installez s'il vous plaît Emsisoft Anti-Malware. Effectuez une analyse complète de tous les lecteurs et placez tous les objets détectés dans la quarantaine.

Plus de détails sur ce danger :

Des compléments d'information peuvent être trouvés ici :

Rechercher avec Google pour Worm Sober I Rechercher avec Google pour Worm Sober I
Rechercher avec Bing pour Worm Sober I Rechercher avec Bing pour Worm Sober I
Rechercher avec Yahoo pour Worm Sober I Rechercher avec Yahoo pour Worm Sober I

Comment puis-je me protéger contre Worm Sober I?

Important !
Vous avez essentiellement besoin d'un produit antivirus, qui non seulement est capable de supprimer les infections, mais également, de protéger votre ordinateur en permanence des nouveaux dangers. C'est le seul moyen d'empêcher la perte de données et des tracas inutiles et les conséquences de nouvelles installations de votre système d'exploitation.

N'hésitez pas, saisissez votre chance dès aujourd'hui, et achetez le logiciel de protection, Emsisoft Anti-Malware à qui de multiples prix ont été décernés !

Seulement 30€ pour la sécuriter de votre ordinateur.

Acheter Emsisoft Anti-Malware en ligne :

Acheter Emsisoft Anti-Malware maintenant

Faites seulement confiance au meilleur logiciel de protection !

Le meilleur dans les tests !

Emsisoft Anti-Malware est le meilleur des 19 programmes antivirus testés - testé par MRG - Malware Research Group - juin 2009!
Plus d'études indépendantes sur les logiciels anti-malware (anglais)