Zum Inhalt springen

W32.Sober.O


Leinadogal

Empfohlene Beiträge

Geschrieben

Eine neue Version des Sober-Wurms tauchte gestern Nachmittag auf. Dabei wurde die Tatsache genutzt, dass gestern auch die zweite Phase der Ticket-Verlosung für die Fußball-WM startete. Mit darauf abgestimmtem Betreff und Text breiteten sich die ersten Exemplare schnell aus, so dass mehrere Antivirus-Hersteller noch am Abend eine erhöhte Alarmstufe ausriefen.

Wie bei Sober üblich gibt es deutsche und englische Varianten der verschickten Mails:

Glueckwunsch: Ihr WM Ticket

Ich bin's, was zum lachen ;)

Ihr Passwort

Ihre E-Mail wurde verweigert

Mail-Fehler!

WM Ticket Verlosung

WM-Ticket-Auslosung

mailing error

Registration Confirmation

Your email was blocked

Your Password

Es kommen auch Kombinationen mit "FwD: " oder "Re: " vor. Die Mail-Texte bestehen zum einen aus einem etwas längeren, der zu einer Zuteilung von WM-Tickets gratuliert, zum anderen aus zufälligen Kombinationen verschienener Textbausteine. So heißt es unter anderem:

"Herzlichen Glueckwunsch,

beim Run auf die begehrten Tickets für die 64 Spiele der

Weltmeisterschaft 2006 in Deutschland sind Sie dabei.

Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang."

Die Textbausteine imitieren Meldungen bei nicht zugestellten Mails und Textzusätze von Antivirus-Programmen (zum Beispiel "AntiVirus: Kein Virus gefunden"), sowie die Übermittlung eines Passworts. Die Absenderangabe sind gefälscht und enthalten zum Teil Domains der WM-Organisation (fifa.de, ok2006.de).

Der Anhang besteht aus einer 52 KB großen ZIP-Datei mit einem der folgenden Dateinamen:

_PassWort-Info.zip

account_info.zip

account_info-text.zip

autoemail-text.zip

error-mail_info.zip

Fifa_Info-Text.zip

LOL.zip

mail_info.zip

okTicket-info.zip

our_secret.zip

Die Datei enthält eine 53,554 KB große Programmdatei mit dem Namen "Winzipped-Text_Data.txt" gefolgt von mehreren Leerzeichen und der zweiten Endung ".exe" oder ".pif". Wird diese Datei entpackt und gestartet, durchsucht der Wurm die Festplatte nach Mail-Adressen, an die er sich versendet. Vorher prüft er noch, ob eine aktive Internet-Verbindung besteht, etwa durch Abfrage eines Zeit-Servers (NTP, über TCP-Port 37).

Ferner trägt er sich in die Windows-Registry ein:

Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Eintrag:

WinStart = %Windir%\Connection Wizard\Status\services.exe

(%Windir% steht dabei für das Windows-Verzeichnis, meist C:\Windows oder C:\Winnt).

Einige Antivirus-Programme wie McAfee und AntiVir erkennen den Wurm bereits ohne aktuelles Update als "W32/Sober.gen" oder "Worm/Sober.gen". Wenn Sie diesen Artikel lesen, dürften für die meisten Virenscanner Updates bereit stehen, mit denen der neue Wurm erkannt wird. Die Namensgebung variiert von einem Hersteller zu nächsten:

AntiVir Worm/Sober.P

AVG I-Worm/Sober.P

BitDefender Win32.Sober.O@mm

eTrust Win32.Sober.N

F-Prot W32/Sober.O@mm

Kaspersky Email-Worm.Win32.Sober.p

McAfee W32/Sober.p@MM

NOD32v2 Win32/Sober.O

Norman Sober.O@mm

Panda W32/Sober.V.worm

Sophos W32/Sober-N

Symantec W32.Sober.O@mm

Trend Micro WORM_SOBER.S

Weitere Details finden Sie Sie zum Beispiel bei McAfee und Symantec . McAfee hat sein Programm " Stinger " aktualisiert, das nun auch diese Sober-Variante entfernen kann.

Quelle: pcwelt.de

Geschrieben

Bei AOL kommen solche schwachsinnigen Mails erstmal gar ned durch Mwuahaha :-)))

Geschrieben

Boah Scheisse, über Web.de hat ich gestern 14 Mails das ich doch Karten für die WM gewonnen hab... Obwohl ich mich nicht drum gekümmert hab *g* Das nenn ich ne Ticketvergabe... naja hab sie zum Glück alle auf Arbeit bekommen die Mails & per Handy gelöscht nicht das ich sie am Rechner überhaupt erst öffnen muss.

Geschrieben

Sober.o schaltet XP-Firewall ab

Die neueste Variante des seit Montagabend im Umlauf befindlichen Computerwurms Sober schaltet auf befallenen Rechnern die Firewall von Windows XP ab. Auch das automatische Update von Windows wird deaktiviert, so das Bundesamtes für Sicherheit in der Informationstechnik (BSI). Diese Schadensfunktion trete erst nach einem Neustart des infizierten Computers auf. Erst nach der Entfernung des Wurms können die Firewall und die Update-Funktion wieder eingeschaltet werden.

Der Wurm tarnt sich als Mail des Fußball-Weltverbandes FIFA und gibt vor, die Empfänger über zugeloste WM-Tickets zu informieren. Er schaltet auch einige Anti-Viren-Programme ab und löscht vor allem bestimmte Dateien der Anti-Viren-Software von Symantec. Dadurch wird nach Angaben der Experten die Aktualisierung des Programms verhindert.

Zudem werde der Start verschiedener Programme unterdrückt, die den Wurm entfernen sollen. Die betroffenen Hersteller hätten ihre Tools entsprechend geändert. Die aktuelle Beschreibung des Sober-Wurms und Hinweise zu seiner Entfernung bietet das BSI auf seiner Website: www.bsi.de/av/vb/sobero.htm.

Ein praktisches Tool, um die Nervensäge wieder los zu werden, ist Stinger. Das Programm erkennt und entfernt neben Sober noch viele weitere Schadprogramme und ist über diesen Link erhältlich . Um das Abschalten des Programms durch Sober zu verhindern, wurde die Datei nun erneut umbenannt. Nachdem aus stinger.exe gestern st1nger.exe geworden war, heißt die Datei nun s-t-i-n-g-e-r.exe.

Geschrieben
... schaltet auf befallenen Rechnern die Firewall von Windows XP ab. Auch das automatische Update von Windows wird deaktiviert, ...

ein wurm der wenigstens mal was vernünftiges macht!!! :gigirockdahouse:

Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde Dich hier an.

Jetzt anmelden
  • Wer ist Online

    • Keine registrierten Benutzer online.
×
×
  • Neu erstellen...