Leinadogal Geschrieben 3. Mai 2005 Geschrieben 3. Mai 2005 Eine neue Version des Sober-Wurms tauchte gestern Nachmittag auf. Dabei wurde die Tatsache genutzt, dass gestern auch die zweite Phase der Ticket-Verlosung für die Fußball-WM startete. Mit darauf abgestimmtem Betreff und Text breiteten sich die ersten Exemplare schnell aus, so dass mehrere Antivirus-Hersteller noch am Abend eine erhöhte Alarmstufe ausriefen.Wie bei Sober üblich gibt es deutsche und englische Varianten der verschickten Mails:Glueckwunsch: Ihr WM TicketIch bin's, was zum lachen ;)Ihr PasswortIhre E-Mail wurde verweigertMail-Fehler!WM Ticket VerlosungWM-Ticket-Auslosungmailing errorRegistration ConfirmationYour email was blockedYour PasswordEs kommen auch Kombinationen mit "FwD: " oder "Re: " vor. Die Mail-Texte bestehen zum einen aus einem etwas längeren, der zu einer Zuteilung von WM-Tickets gratuliert, zum anderen aus zufälligen Kombinationen verschienener Textbausteine. So heißt es unter anderem:"Herzlichen Glueckwunsch,beim Run auf die begehrten Tickets für die 64 Spiele derWeltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang."Die Textbausteine imitieren Meldungen bei nicht zugestellten Mails und Textzusätze von Antivirus-Programmen (zum Beispiel "AntiVirus: Kein Virus gefunden"), sowie die Übermittlung eines Passworts. Die Absenderangabe sind gefälscht und enthalten zum Teil Domains der WM-Organisation (fifa.de, ok2006.de).Der Anhang besteht aus einer 52 KB großen ZIP-Datei mit einem der folgenden Dateinamen:_PassWort-Info.zipaccount_info.zipaccount_info-text.zipautoemail-text.ziperror-mail_info.zipFifa_Info-Text.zipLOL.zipmail_info.zipokTicket-info.zipour_secret.zipDie Datei enthält eine 53,554 KB große Programmdatei mit dem Namen "Winzipped-Text_Data.txt" gefolgt von mehreren Leerzeichen und der zweiten Endung ".exe" oder ".pif". Wird diese Datei entpackt und gestartet, durchsucht der Wurm die Festplatte nach Mail-Adressen, an die er sich versendet. Vorher prüft er noch, ob eine aktive Internet-Verbindung besteht, etwa durch Abfrage eines Zeit-Servers (NTP, über TCP-Port 37).Ferner trägt er sich in die Windows-Registry ein:Schlüssel:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunEintrag:WinStart = %Windir%\Connection Wizard\Status\services.exe(%Windir% steht dabei für das Windows-Verzeichnis, meist C:\Windows oder C:\Winnt).Einige Antivirus-Programme wie McAfee und AntiVir erkennen den Wurm bereits ohne aktuelles Update als "W32/Sober.gen" oder "Worm/Sober.gen". Wenn Sie diesen Artikel lesen, dürften für die meisten Virenscanner Updates bereit stehen, mit denen der neue Wurm erkannt wird. Die Namensgebung variiert von einem Hersteller zu nächsten:AntiVir Worm/Sober.PAVG I-Worm/Sober.PBitDefender Win32.Sober.O@mmeTrust Win32.Sober.NF-Prot W32/Sober.O@mmKaspersky Email-Worm.Win32.Sober.pMcAfee W32/Sober.p@MMNOD32v2 Win32/Sober.ONorman Sober.O@mmPanda W32/Sober.V.wormSophos W32/Sober-NSymantec W32.Sober.O@mmTrend Micro WORM_SOBER.SWeitere Details finden Sie Sie zum Beispiel bei McAfee und Symantec . McAfee hat sein Programm " Stinger " aktualisiert, das nun auch diese Sober-Variante entfernen kann.Quelle: pcwelt.de
DJ_Biohazard Geschrieben 3. Mai 2005 Geschrieben 3. Mai 2005 Bei AOL kommen solche schwachsinnigen Mails erstmal gar ned durch Mwuahaha :-)))
Leinadogal Geschrieben 3. Mai 2005 Autor Geschrieben 3. Mai 2005 Ja, ich hab auch noch keine bekommen. VR-Web hat auch einen Spam-Filter und prüft jede Mail auf Viren/Würmer.Aber hat ja nicht jeder...
Wally44 Geschrieben 4. Mai 2005 Geschrieben 4. Mai 2005 Boah Scheisse, über Web.de hat ich gestern 14 Mails das ich doch Karten für die WM gewonnen hab... Obwohl ich mich nicht drum gekümmert hab *g* Das nenn ich ne Ticketvergabe... naja hab sie zum Glück alle auf Arbeit bekommen die Mails & per Handy gelöscht nicht das ich sie am Rechner überhaupt erst öffnen muss.
Leinadogal Geschrieben 4. Mai 2005 Autor Geschrieben 4. Mai 2005 Hab jetzt auch welche erhalten, der Wurm wurde aber schon entfernt.Nochmal das Wörtchen WM in den Spam-Filter einfügen *g*
Leinadogal Geschrieben 4. Mai 2005 Autor Geschrieben 4. Mai 2005 Sober.o schaltet XP-Firewall abDie neueste Variante des seit Montagabend im Umlauf befindlichen Computerwurms Sober schaltet auf befallenen Rechnern die Firewall von Windows XP ab. Auch das automatische Update von Windows wird deaktiviert, so das Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese Schadensfunktion trete erst nach einem Neustart des infizierten Computers auf. Erst nach der Entfernung des Wurms können die Firewall und die Update-Funktion wieder eingeschaltet werden.Der Wurm tarnt sich als Mail des Fußball-Weltverbandes FIFA und gibt vor, die Empfänger über zugeloste WM-Tickets zu informieren. Er schaltet auch einige Anti-Viren-Programme ab und löscht vor allem bestimmte Dateien der Anti-Viren-Software von Symantec. Dadurch wird nach Angaben der Experten die Aktualisierung des Programms verhindert.Zudem werde der Start verschiedener Programme unterdrückt, die den Wurm entfernen sollen. Die betroffenen Hersteller hätten ihre Tools entsprechend geändert. Die aktuelle Beschreibung des Sober-Wurms und Hinweise zu seiner Entfernung bietet das BSI auf seiner Website: www.bsi.de/av/vb/sobero.htm.Ein praktisches Tool, um die Nervensäge wieder los zu werden, ist Stinger. Das Programm erkennt und entfernt neben Sober noch viele weitere Schadprogramme und ist über diesen Link erhältlich . Um das Abschalten des Programms durch Sober zu verhindern, wurde die Datei nun erneut umbenannt. Nachdem aus stinger.exe gestern st1nger.exe geworden war, heißt die Datei nun s-t-i-n-g-e-r.exe.
gemini Geschrieben 5. Mai 2005 Geschrieben 5. Mai 2005 ... schaltet auf befallenen Rechnern die Firewall von Windows XP ab. Auch das automatische Update von Windows wird deaktiviert, ... ein wurm der wenigstens mal was vernünftiges macht!!!
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden