Schon wieder neue Wurm-Variante

Andreas

Andreas

c't-News

Meldung vom 20.12.2003 18:54
Deutschsprachige Wurm-Variante Sober.c verbreitet sich schnell

Eine dritte Sober-Variante verbreitet sich derzeit schnell im Internet. Wie seine Vorgänger Sober und Sober.b verschickt sich der Wurm Sober.c von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Wesentliche technische Neuerungen bringt er nicht mit, dafür sind die Nachrichtentexte umso geschickter formuliert. Beispielsweise gibt eine Nachricht vor, von der Kripo Düsseldorf zu sein. Darin wird behauptet, dass gegen den Empfänger der Mail ein Ermittlungsverfahren eingeleitet werde, da er illegal Filme und MP3-Dateien aus dem Internet herunterlade. Als Attachment ist eine Datei mit dem angeblichen Akteninhalt beigefügt, die natürlich den Wurm enthält. Andere Varianten warnen vor einem neuen Dialer und einem Trojaner, der sich dem Rechner des Empfängers befände.

Öffnet man die Dateianhänge *.bat, *.pif und *.exe infiziert der Wurm den Rechner. Diesmal kopiert er sich sogar dreimal auf das System, zwei der Dateinamen erzeugt Sober.c pseudo-zufällig. Auf befallenen System startet sich der Wurm in zwei Instanzen, die sich gegenseitig versuchen zu schützen, in dem sie unter anderem den Datei-Zugriff blockieren.

Die Betreffzeilen und Texte von Sober.c variieren sehr stark, allerdings ist auch er wieder bilingual: Er verschickt sich sowohl mit deutschen, als auch englischen Texten. Welche Sprache Sober.c verwendet, hängt von Domain-Suffix, also .de, at, ch, des Adressaten ab. Eine vollständige Liste der möglichen englischen und deutschen Betreffzeilen, sowie der Namen der Datenanhänge ist bei Bitdefender zu finden.

Einige Hersteller von Antivirensoftware haben schon reagiert und neue Signaturen zum Erkennen des Wurms, sowie Tools zu seiner Entfernung bereit gestellt. Dazu gehören insbesondere Kaspersky, Bitdefender und F-Prot. NAI und Symantec bieten bisher noch keine Beschreibung und Signaturen auf ihren Seiten an. Bereits die Signaturen zum Erkennen von Sober.b lassen bei beiden derzeit auf sich warten. Erst ab Weihnachten sollen diese zur Verfügung stehen.

[Update] Symantec hat ebenfalls die Viren-Signaturen für den LiveUpdate und Intelligent-Update aktualisiert. Damit sind nun fast alle Virenscanner in der Lage Sober.c zu erkennen. NAI beschert seine Kunden erst zum Weihnachtsfest mit neuen Signaturen.
Zum Vergrößern anklicken....
Liste der deutschen Betreffzeilen laut Bitdefender:
Subjects German:
Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
Anmeldebest
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
 
  • 4. Mai 2024
  • #Anzeige
Hi Andreas ... hast du hier schon mal geguckt?
  • Gefällt
Reaktionen: Gefällt 31 Personen
#VerdientProvisionen | Als Amazon-Partner verdiene ich an qualifizierten Verkäufen.
Youp, die mit dem Ermittlungsverfahren habe ich heute auch bekommen....
 
Ohne Übertreibung - ich habe gestern und vorgestern bestimmt 100 mal diesen Wurm per Mail bekommen in allen Variationen. Norton AntiVirus schützt aber zuverlässig.
 
das Bundesamt warnt seit heute nachmittag auch

######################################################################

CERT-Bund -- Warn- und Informationsdienst

######################################################################


Informationen zu Programmen mit Schadfunktionen

VIRINFO 03/15 vom 22.12.2003


Name: W32.Sober.C@mm
Alias: WORM_SOBER.C [TrendMicro]
W32/Sober.c@MM [McAfee]
Art: Wurm
Groesse des Anhangs: variabel
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmail
Verbreitungsgrad: hoch
Risiko bei Aktivierung: hoch
Schadensfunktion: Massenmailing

Spezielle Entfernung: Stand-Alone-Tool
Bekannt seit: 20.12.2003


Aktualisierte Informationen finden Sie unter:
<
>


Beschreibung:

W32.Sober.C@mm ist ein Massenmailer-Wurm, der sich ueber seine eigene SMTP-Maschine versendet.
Die Absender-Adresse wird dabei gefaelscht!

Der Betreff ist in Englisch oder in Deutsch. Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen
.bat, .com, .cmd, .exe, .pif oder .scr.

Wird der Wurm aktiviert, geschieht folgendes:

1. Der Wurm kopiert sich selbst unter "SYSHOSTX.EXE" und zweimal unter <zufaelliger Name> in das Windows-Systemverzeichnis.

2. Danach durchsucht er das System nach E-Mail-Adressen in Dateien mit folgenden Dateierweiterungen:

.abc .ade .adp .asp .cfg .dbx .doc
.dsp .dsw .eml .fdb .hlp .htm .html
.htt .ini .ldb .ldif .mda .mdb .mde
.mdw .mht .nab .nfo .nsf .php .pst
.rtf .shtm .shtml .sln .txt .vap .wab
.xls

und speichert diese im Windows-Systemverzeichnis unter dem Namen savesyss.dll. Die gefundenen E-Mail-Adressen werden dann fuer die Weiterverbreitung verwendet.

3. Ein neuer Wert "<zufaelliger Text>"="<zufaelliger Pfad und Dateiname>" wird den beiden folgenden Registrierungsschluesseln zugewiesen:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Durch den Eintrag in die Registry wird der Wurm beim jedem Start des Systems aktiviert

4. Bei der ersten Aktivierung des Wurms erscheint eine angebliche
Fehlermeldung :
"<Dateiname> has caused an unknown error. Stop: 00000010x18"


5. Die E-Mail hat eine der folgenden Betreffs und eine der folgenden Anhaenge:

Betreff:
Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
AnmeldebestStigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
ups, i've got your mail
Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...

Anhang:












aktenz#####.*
alledigis.*
DrohMails.*
haha_sehr_witzig.*
Klassenfoto.*
Kundendat####BaB.*
remove-lsass.*
remove-smss.*
SysDial-patch.*
Zugangsdaten.*
downloader.*
yourmail.*

Wobei:
# beliebige Ziffer
* Dateierweiterung txt., doc.
in Kombination mit, bat, cmd, pif, scr, exe, com
z.B.
"aktenz3374.txt.pif"

Entfernung:
Es stehen aktualisierte Virensignaturen fuer die jeweiligen Viren-
schutzprogramme zum Download bereit.

Es stehen bereits einzelne Tools zur Stand-Alone-Entfernung bereit:
McAfee :

Bitdefender:


Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswuerdigen Absendern pruefen, ob der Text der Nachricht auch zum Absender passt
(englischer Text von deutschem Partner, zweifelhafter Text oder
fehlender Bezug zu konkreten Vorgaengen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausfuehrbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten koennen (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

Fragen richten Sie bitte an <mailto:[email protected]>.
Virenmeldungen koennen Sie an <mailto:[email protected]> senden.

Mit freundlichen Gruessen
Ihr Team CERT-Bund

- -----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund

Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
<mailto:[email protected]> / <
>
- -----------------------------------------------------------------

========================================================================
Hinweise zum Abmeldeverfahren dieser Mailingliste gibt es auf den
Seiten des CERT-Bund <
>
 
Ich habe via web.de auch mindestens fünf dieser Mails bekommen, habe sie natürlich alle ungelesen gelöscht, obwohl ich schon etwas erschrocken war, über das Mail von der "Kripo Düsseldorf"! Das klang so echt, und die Telefonnummern, die da angegeben waren, waren tatsächlich Düsseldorfer Telefonnummern. Ich habe trotzdem nichts geöffnet und sofort alles weggeschmissen. Kurze Zeit später hörte ich im Radio in den Nachrichten die Virenwarnung vor diesem "Ermittlungsverfahren". Man, war ich froh, das ich nichts aufgemacht hatte. "Trojanerwarnungen" mit dem selben Wurm hatte ich auch zu Hauf, was sind das nur für Kranke, die sich daran ergötzen, Unwissenden zu schaden!
L.G.
Barbara
 
Ich mag mein Norton AntiVirus !!!!

Auch schon mehrere erhalten und gleich weg damit !!!!
 
"Testen Sie ihren IQ von [email protected] " habe ich auch bekommen.

Mein Norton hat aber nichts gesagt :( Bei mir steht nur "OE hat die folgenden, nicht-sicheren Anlagen aus der E-Mail entfernt: www:iq4.you-german-test.com"
 
neue Sub-Variante (wird als Sober.C1 erkannt)?

ich hab was neues gekriegt.
Muß ja mal ganz ehrlich sagen, dass es gut gemacht ist.

Absender (natürlich gefälscht:( [email protected]
Betreff: Deutschland Sucht Den ...
Inhalt: Deutschland Sucht Den Superstar (DSDS) auf RTL.

Hallo, Du wurdest zufällig von ca. 85.000 E-Mail Adressen
ausgewählt, um bei RTL DSDS in der Zuschauer Jury mit zu Voten.
Das ganze hat auch noch ein SUPER Vorteil, Du bekommst zusätzlich noch
einen V.I.P Ausweis, mit dem du hinter den Kulissen bei den
Stars mit dabei sein darfst.

Es werden insgesamt 100 Personen für die Zuschauer Jury gesucht
und 200 Personen haben wir per Mail angeschrieben.
Also, Deine Chancen stehen ziemlich gut mit dabei zu sein.

Du musst mindestens 12 Jahre alt sein, um mitmachen zu dürfen.
Einfach das Anmeldformular ausfüllen und auf Antwort warten.

Viel Glück!


++ RTL Geschäftsführung: Dr. Constantin Lange
++ Director Content / Chefredakteur Neue Medien: Patrick Zeilhofer
++ Am Coloneum 1, 50829 Köln
++ Fon: +49 (0) 180 5 44 66 99, Fax: +49 (0) 180 5 44 77 77 (0,12 EURO / Minute)

Anhang: RTL-DSDS-anmelde.pif
72,4 KB (74.155 Bytes)

erkannt als "Worm/Sober.C1"
von AntiVir Stand 22.12.2003 Signaturdatei (VDF) 6.23.0.18

So fies wie Virenprogrammierer auch sind: das wurde mit Köpfchen gemacht, da fallen bestimmt viele drauf rein
 
Steffy, wieso geschockt? War das etwa der erste Virus, den Du bekommen hast? ;)

Andreas, die hatte ich auch schon ein paar mal. Bei mir wird schon seit langem alles gelöscht, was ich niemandem zuordnen kann und unbekannte Anhänge öffne ich sowieso nicht - einmal reingefallen hat mir gereicht...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Wenn dir die Beiträge zum Thema „Schon wieder neue Wurm-Variante“ in der Kategorie „Technik-Ecke“ gefallen haben, du noch Fragen hast oder Ergänzungen machen möchtest, mach doch einfach bei uns mit und melde dich kostenlos und unverbindlich an:
Registrierte Mitglieder genießen u. a. die folgenden Vorteile:
  • kostenlose Mitgliedschaft in einer seit 1999 bestehenden Community
  • schnelle Hilfe bei Problemen und direkter Austausch mit tausenden Mitgliedern
  • neue Fragen stellen oder Diskussionen starten
  • Alben erstellen, Bilder und Videos hochladen und teilen
  • Anzeige von Profilen, Benutzerbildern, Signaturen und Dateianhängen (z.B. Bilder, PDFs, usw.)
  • Nutzung der foreneigenen „Schnackbox“ (Chat)
  • deutlich weniger Werbung
  • und vieles mehr ...

Diese Themen könnten dich auch interessieren:

Andreas
Neue Sober-Wurm-Variante verbreitet sich stark
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat auch eine Warnung herausgegeben. Du musst registriert sein, um diesen Inhalt sehen zu können.
Antworten
1
Aufrufe
606
Andreas
Andreas
Andreas
Neue Computerwurm-Variante verlangsamt Google
Du musst registriert sein, um diesen Inhalt sehen zu können. Ein kostenloses Entfernungprogramm gibt's hier: Du musst registriert sein, um diesen Inhalt sehen zu können. und Du musst registriert sein, um diesen Inhalt sehen zu können.
Antworten
0
Aufrufe
596
Andreas
Andreas
Andreas
Neue Wurm-Variante Sober.b gesichtet
Ich habe als Betriebssystem XP Pro, und bin mir sicher, nichts zu haben. :) Infos findest Du von der einen Seite bei Du musst registriert sein, um diesen Inhalt sehen zu können.. von der anderen im Du musst registriert sein, um diesen Inhalt sehen zu können. Lese beides gründlich, dann...
Antworten
3
Aufrufe
649
Elko
E
felis
Fuchsbandwurm
Du musst registriert sein, um diesen Inhalt sehen zu können. "Füchse leben überall in unseren Dörfern und Städten. Meist agieren sie im Verborgenen und bleiben unbemerkt. Mit dem Fuchsbandwurm tragen Füchse einen Parasiten in sich, der es auf Wühlmäuse abgesehen hat, der aber immer häufiger...
Antworten
0
Aufrufe
386
felis
felis
R
Mücken verbreiten gefährlichen Hundehautwurm
Infektionen mit Larven des Hundehautwurms kamen bislang nur in Südeuropa, Afrika und Asien vor. Doch jetzt etabliert sich der Erreger auch in Deutschland. Forscher haben ihn in Stechmücken gefunden...
Antworten
0
Aufrufe
878
Rauchschwalbe
R
Zurück
Oben Unten