Payload/Schade
* Stuurt zich door naar mensen in adreslijst.
* Doet DNS verzoeken bij verschillende grote websites, deze kunnen hierdoor overbelast raken.

Eigenschappen van het e-mailbericht:

* Onderwerp: [wisselend, een van onderstaande]
Alert! New Sober Worm!
Anhang Scanner: Kein Virus enthalten
AntiVirus System: No Virus found
AntiVirus: Found to be clean
Attachment: No Virus found
EMail-Empfang fehlgeschlagen
Ihr neues Passwort
Ihr Passwort wurde geaendert
Mail Scanner: Kein Virus gefunden
Mail_delivery_failed
Mail-Scanner: No Virus detected
Paris Hilton Nackt!
Paris Hilton SexVideos
Paris Hilton, pure!
Seitensprung gesucht?
Vorsicht! Neuer Sober Wurm!
You visit illegal websites
Your new Password

* Tekst van het bericht: [wisselend, een van onderstaande]
a)Attachment: No Virus found
[uw domeinnaam]" Anti-Virus Service
http://www.[uw domeinnaam]

b)AntiVirus: Found to be clean
"[uw domeinnaam]" Anti-Virus Service
http://www.[uw domeinnaam]
c)- System Mail -
Diese an ihnen gerichtete E-Mail, wurde in einem falschen Format gesendet.
Der Betreff, Header und Text dieser Mail, wurde deshalb separat in einer Text-Datei gespeichert und gezippt.
Vielen Dank fuer Ihr Verstaendnis[System auto- mail]
## Diese E-Mail wurde automatisch generiert
## Aus Gruenden der Sicherheit, bekommen Sie diese E-Mail
## wenn Ihr aktuelles Benutzer- Passwort veraendert wurde
---------------
Ihr neues Passwort und weiter Informationen befinden sich im beigefuegten Dokument.
**** Ein Service von
**** http://www.[uwdomeinnaam.nl]
**** Mail: Help-Line

d)ATTENTION!
Antivirus vendors are warning of a new variant of the Sober
virus discovered today that can delete the hard disk.
Protection:
Download and read the zipped patch. It's very easy to install!
Thanks for your cooperation!
--- (c)2005 Microsoft Corporation. All rights reserved
--- Microsoft Corporation
--- One Microsoft Way
--- Redmond, Washington 98052-6399

e)Dear Sir/Madam,
we have logged your IP-address on more than 40 illegal Websites.
Important: Please answer our questions!
The list of questions are attached.
Yours faithfully,
M. John Stellford
++-++ Federal Bureau of Investigation -FBI-
++-++ 935 Pennsylvania Avenue, NW, Room 2130
++-++ Washington, DC 20535
++-++ (202) 324-3000

f)Guten Tag,
mehr als 50 Videos,
Mehr als 1000 heisse Fotos
und mehr als 300 original Sounds von der kleinen Hilton ........ .
Alles frei zum Download, aber nur bis zum 01 April 2005 !!!
Weitere Details entnehmen Sie bitte dem vorliegendem Dokument.
Vielen Dank!
Webmaster

g)Hallo,
wir hoffen das Ihnen die Betreffszeile unsere Mail genug sagt.
Der Jugendschutz verbietet uns leider mehr Auskunft ueber unser Angebot zu geben.
Informationen,,,, wie Sie sich bei uns anmelden koennen befinden sich im beigefuegten Dokument.
Natuerlich ist die Anmeldung Kostenlos!
Mehr als 2.5 Millionen registrierte Benutzer!!!
Da ist fuer jeden was dabei!
Auf Wiedersehen

h) More than 50 HOT Hilton Videos
More than 3000 Hilton picks
FREE Download until April, 2005
Make your own Download Account, its free!
Further details are attached
Thanks & have fun ;)

i) Thanks for your registration!
We have received your payment.
For more detailed information, read the attached text.

j)This is an automatically generated Delivery Status Notification.
ESMTP Error []
I'm afraid I wasn't able to deliver your message.
This is a permanent error; I've given up. Sorry it didn't work out.
The full mail-text and header is attached

k) Vielen Dank, dass Sie sich bei registriert haben.
Der Betrag von,- Euro ist erfolgreich auf unserem Konto eingegangen.
Passwort, Benutzername und weitere wichtige Informationen zu ihrem neuen Account befinden sich im angehefteten Dokument.
Hochachtungsvoll
Silvia Hochberger

l)Wichtige Information!
Eine neue Sober-Variante verbreitet sich derzeit im Internet. Wie seine Vorgaenger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen.
Es wird deshalb empfohlen, das Patch-Tool auszufuehren um sich vor diesem Wurm zu schuetzen bzw. diesen wieder zu entfernen.
--- (c)2005 Microsoft Corporation. Alle Rechte vorbehalten
--- Vertretungsberechtigter: Juergen Gallmann
--- Handelsregisternummer: HRB 70438
--- E-Mail Adresse: security@microsoft.com

* Naam bijlagebestand: [wisselend, een van onderstaande]
header_text.zip
patch_help-text.zip
Patch-Tool.zip
Patch-Formular.zip
PSW-Text.zip
register_text.zip
Register-Info.zip
text_register.zip
text-indictment_cit.zip
zipped-mail.zip
zipped-text.zip

met eventueel tweede extensie; .bat, .com, .pif, .scr of .zip

-Overmatig netwerk verkeer op TCP poort 37. Dit is de poort die gebruikt wordt voor tijdsynchronisatie.

Bestanden
1a. Aanwezigheid van 2 bestanden, met extensie .exe, aanwezig in de Windows\System directorie die in naam zijn samengesteld uit de volgende termen:
32
crypt
data
diag
dir
disc
expoler
host
log
run
service
smss32
spool
sys
win

Bijvoorbeeld "datadisc.exe". De twee bestanden hebben een [wijzigingsdatum] die gelijk is aan de datum van infectie.

2a) Het plaatst onderstaande bestanden in de Windows\MSAGENT\WIN32 directory.
DATAMX1.DAT
DATAMX2.DAT
DATAMX3.DAT
GOTO1.DAT
GOTO2.DAT
GOTO3.DAT
RUNNOWSO.BER
SMSS.EXE
WINLOGON.EXE
ZIPEDSO1.BER
ZIPEDSO2.BER
ZIPEDSO3.BER
GOTO3.DAT
RUNNOWSO.BER
SMSS.EXE
WINLOGON.EXE
ZIPEDSO1.BER
ZIPEDSO2.BER
ZIPEDSO3.BER

2b) Het plaats de volgende bestanden in de standaard Windows\System direcotory:
NONRUNSO.BER
READ.ME
STOPRUNS.ZHZ

Toelichting locatie C:\Windows of C:\Windows\System
Hiermee wordt de standaard installatie van Windows of Windows\Sytem mee bedoeld. Dit is afhankelijk van het type en de versie:

C:\Windows bij (Windows 95/98/Me/XP) of C:\Winnt bij (Windows NT/2000).

C:\Windows\System bij Win95/98/Me & c:\Windows\System32 bij Win2000, XP en NT)

Registry
2) In de registry wordt een verwijzing gemaakt naar het bestand genoemd onder punt 1 in twee sleutels:

HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run
waarin wordt geplaatst de waarde:
"Windows\\MSAGENT\WIN32\[bestand genoemd onder punt 1a].exe"

Overige,..
Eenmalig wordt het programma Notepad (kladblok) geopend met daarin allerlei data. Dit heeft verder geen functie

1b. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette.

Handmatig een virus verwijderen
voor Windows 9x, 2000, NT en XP

Onderstaande algemene beschrijving geldt voor alle Windows systemen.
Voor gebruikers van Windows XP wijzen wij graag op een andere mogelijkheid voor het verwijderen van een virus. Gebruik [systeemherstel] een optie om de configuratie van een eerder moment terug te zetten.

U kunt op die manier uw systeem opstarten met de configuratie van de virusinfectie!
Let wel: de virusbestanden kunnen daarna nog wel aanwezig zijn maar de installatie wordt ongedaan gemaakt. (Controleer vervolgens uw systeem met een antiviruspakket, zie punt 1.
Raadpleeg Windows help voor meer informatie over [systeemherstel]

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.

Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

- Een registry sleutel verwijst in de "Waarde" altijd naar een bestand, vaak het virusbestand, gebruik de zoekfunctie van het register (CTRL-F) om deze bestanden (en bijbehorende sleutels) op te zoeken.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met een online scanner