ACHTUNG! NEUER VIRUS IM UMLAUF!!!

Seit zwei Tagen ist ein neuer Virus unterwegs!
Er wird über den Mail-Anbieter WEB.DE versendet.
Man bekommt eine Mail(Betreff meistens: ICh liebe dich, Lange nix mehr gehört, usw.) mit web.de oder microsoft.de, bzw. com..
Dort ist ein Anhang angefügt, in welchen der Virus versteckt ist!
Ich selbst habe mittlerweile(bin bei web.de) 52!!! dieser Mails bekommen, man wird regelrecht bombardiert!
Zum Glück nutze ich Norton, das Programm hat das Schlimmste verhindert.
Also VORSICHT!

das schlimmste daran ist ja, die kommen teilweise mit dem Text
" du verschickst viren ohne ende... ist wahrscheinlich der blablabla, im Anhang befindet sich ein Tool um ihn zu entfernen !!!"

das Tool natürlich nicht ausführen !

Das Bundesamt hat mich auch schon gewarnt. Hier mal die Email:

-----BEGIN PGP SIGNED MESSAGE-----

######################################################################

CERT-Bund -- Warn- und Informationsdienst

######################################################################

Informationen zu Programmen mit Schadfunktionen

VIRINFO 03/012 vom 27.10.2003

Name: W32.Sober.A@mm
Alias: Sober [F-Secure]
W32/Sober@mm [McAfee]
Worm_Sober.A [TrendMicro]
Win32/Sober-A [Sophos]
Art: Wurm
Groesse des Anhangs: 63.488 (variiert) (upx-gepackt)
Betriebssystem / Software: Microsoft Windows 32bit
Art der Verbreitung: Massenmail
Verbreitungsgrad: mittel-hoch
Risiko bei Aktivierung: mittel
Schadensfunktion: Massenmail
Entfernung: aktuelle Definitionen (ab 24.10.2003)
Spezielle Entfernung: -
Bekannt seit: 24.10.2003

Beschreibung:

W32.Sober@mm ist ein Massenmail-Wurm, der sich mit seiner eigenen
SMTP-Maschine an Adressen, die er auf dem Rechner findet versendet.

Achtung: Aufgrund der deutschen Betreffzeilen werden von vielen
Empfaengern die beigefuegten Dateien durch Doppelklick aktiviert,
was zu einer hoeheren Verbreitung in Deutschland fuehrt.

Eine infizierte E-Mail hat eine der folgenden Betreffzeilen:

Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
RE: Sex
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
_berraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Back At The Funny Farm
Ich Liebe Dich
New internet virus!
You send spam mails (Worm?)
A worm is on your computer!
Now, its enough
You have sent me a virus!
Hi darling, what are you doing now?
Be careful! New mail worm
Re: Contact
Sorry, Ive become your mail
Hey man, long not see you
Viurs blocked every PC (Take care!)
Surprise
Ive become your mail!
Advise who I am!
New Sobig-Worm variation (please read)
I love you (Im not a virus!)

und enthaelt einen der folgenden Anhaenge:

anti-Sob.bat
Anti-Sob.bat
anti-trojan.exe
anti_virusdoc.pif
AntiTrojan.exe
AntiVirusDoc.pif
Bild.scr
check-patch.bat
Check-Patch.bat
CM-recover.com
CM-Recover.com
funny.scr
Funny.scr
Hengst.pif
Liebe.com
little-scr.scr
love.com
Mausi.scr
nacked.com
NackiDei.com
NAV.pif
Odin_Worm.exe
perversion.scr
Perversionen.scr
pic.scr
playme.exe
potency.pif
Privat.exe
private.exe
removal-tool.exe
Removal-Tool.exe
robot_mail.scr
robot_mailer.pif
RobotMailer.com
schnitzel.exe
screen_doc.scr
Screen_Doku.scr
security.pif

Beim Ausfuehren des E-Mail-Anhangs wird der Wurm in das
Systemverzeichnis des Rechners (Standard-Einstellung:
Windows 95/98/Me/XP: C:\Windows\System32;
Windows NT/2000: C:\Winnt\System32)
unter einem der folgenden Namen abgelegt:

drv.exe
similare.exe
systemchk.exe
systemini.exe
winreg.exe
filexe.exe
sysrunll.exe
Macromed\Help\Media.dll (das Verzeichnis %SYSTEM%\Macromed\Help wird
vom Wurm angelegt.)
und durch einen Eintrag in der Registrierung dafuer gesorgt, dass bei
jedem Neustart des Rechners der Wurm mitgestartet wird. Dann versendet
er sich selbst.

Weitere Informationen finden Sie unter:
<http://www.bsi.bund.de/av/vb/sober.htm>

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswuerdigen
Absendern pruefen, ob der Text der Nachricht auch zum Absender passt
(englischer Text von deutschem Partner, zweifelhafter Text oder
fehlender Bezug zu konkreten Vorgaengen etc.) und ob die Anlage
(Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausfuehrbaren Programmen
(Dateiendungen .COM, .EXE, .BAT, ...) oder anderer Dateien, die
Programmcode enthalten koennen (Dateiendungen .DO*; .XL*, .PPT,
.VBS ...) vorher telefonisch abzustimmen. Dadurch wird abgesichert,
dass die Datei vom angegebenen Absender geschickt und nicht von einem
Virus verbreitet wird.

Fragen richten Sie bitte an <mailto:antivir@bsi.de>.
Virenmeldungen koennen Sie an <mailto:virmeld@bsi.de> senden.

Mit freundlichen Gruessen
Ihr Team CERT-Bund

- -----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund

Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
<mailto:wid-virinfo@bsi.bund.de> / <http://www.bsi.bund.de>
- -----------------------------------------------------------------