CLH - Hoerspielforum und mehr

Zitat

Name: W32.Sober.p@mm alias Trojan.Ascetic.C
Alias: W32.Sober.P@mm, Win32.Sober.O [Computer Associates],
Email-Worm.Win32.Sober.q [Kaspersky Lab],
W32/Sober.q@MM [McAfee],
Troj/Sober-Q [Sophos],
WORM_SOBER.U [Trend Micro]
Art: Trojanisches Pferd
Größe -
Betriebssystem: Microsoft Windows
Art der Verbreitung: keine
Verbreitung: mittel
Risiko: gering
Schadensfunktion: Verbreitung rechtsradikaler Texte
Spezielle Entfernung: keine
bekannt seit: 15.05.2005
Beschreibung
Allgemeines

Sober.P ist ein Trojanisches Pferd, das E-Mail-Nachrichten mit rechtsradikalem Inhalt verbreitet. Der Text der E-Mails ist in deutscher oder in englischer Sprache verfasst.

Der Wurm löscht Dateien des AV-Herstellers Symantec. Weiterhin deaktiviert er Sicherheitssoftware, darunter die Windows XP-Firewall und das automatische Windows Update.
Infektion

Sober.P gelangt auf Computer, die mit dem Wurm Sober.O infiziert sind. Sober.O lädt eine Datei, die Sober.P beinhaltet, aus dem Internet und infiziert damit den Computer. Sober.P selbst ist ein Trojanisches Pferd, das sich nicht automatisch weiter verbreitet.

Es werden folgende Dateien erzeugt:

* %Windir%\Help\Help\csrss.exe
* %Windir%\Help\Help\smss.exe
* %Windir%\Help\Help\services.exe
* %Windir%\Help\Help\sacri1.ggg
* %Windir%\Help\Help\sacri2.ggg
* %Windir%\Help\Help\sacri3.ggg
* %Windir%\Help\Help\voner1.von
* %Windir%\Help\Help\voner2.von
* %Windir%\Help\Help\voner3.von
* %Windir%\Help\Help\sysonce.tst
* %Windir%\Help\Help\fastso.ber
* %System%\nonrunso.ber
* %System%\langeinf.lin
* %System%\gdfjgthv.cvq
* %System%\seppelmx.smx
* %System%\adcmmmmq.hjg
* %System%\xcvfpokd.tqa
* %System%\fastso.ber
* %Program Files%\Symantec\Liveupdate\luall.exe

Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.

Es werden folgende Registrierungsschlüssel erzeugt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SystemBoot" = "%Windir%\Help\Help\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"SystemBoot" = "%Windir%\Help\Help\services.exe"

Mit Hilfe dieser beiden Schlüssel in der Windows-Registrierung wird der Wurm bei jedem Systemstart aktiviert.

Sober untersucht den infizierten Computer nach E-Mail-Adressen und versendet sich mit gefälschtem Absender an diese gefundenen Adressen.
Verbreitungsart

Sober.P hat keine eigene Verbreitung. Er verbreitet jedoch E-Mail-Nachrichten mit rechtsradikalen Inhalten. Die Absenderadresse ist mit den gefundenen Adressen gefälscht (Mehr Informationen zu gefälschten Absendern). Sober.P versendet Text sowohl in deutsch, als auch in englisch.

Von: <Absender gefälscht>

Betreff:

* 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
* Auf Streife durch den Berliner Wedding
* Auslaender bevorzugt
* Deutsche Buerger trauen sich nicht ...
* Auslaenderpolitik
* Blutige Selbstjustiz
* Deutsche werden kuenftig beim Arzt abgezockt
* Paranoider Deutschenmoerder kommt in Psychiatrie
* Du wirst zum Sklaven gemacht!!!
* Dresden 1945
* Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
* Gegen das Vergessen
* Tuerkei in die EU
* Hier sind wir Lehrer die einzigen Auslaender
* Multi-Kulturell = Multi-Kriminell
* Verbrechen der deutschen Frau
* S.O.S. Kiez! Polizei schlaegt Alarm
* Transparenz ist das Mindeste
* Trotz Stellenabbau
* Vorbildliche Aktion
* Augen auf
* Du wirst ausspioniert ....!
* Volk wird nur zum zahlen gebraucht!
* 60 Jahre Befreiung: Wer feiert mit?
* Graeberschaendung auf bundesdeutsche Anordnung
* Schily ueber Deutschland
* The Whore Lived Like a German
* Turkish Tabloid Enrages Germany with Nazi Comparisons
* Dresden Bombing Is To Be Regretted Enormously
* Armenian Genocide Plagues Ankara 90 Years On

Nachrichtentext:

Der Nachrichtenbereich enthält rechtsradikaler Text mit Internet-Links zu Seiten mit entsprechendem Inhalt.
Schadensfunktion

* Massenmailing
* Sober.P löscht nach einem Neustart des infizierten Computers bestimmte Dateien aus dem Verzeichnis
%ProgramFiles%\Symantec\Liveupdate
LiveUpdate muß anschließend neu installiert werden.
* Deaktivieren der Windows XP-Firewall
Nach dem Neustart des infizierten Computers ist die Windows XP-Firewall deaktiviert.
Dazu wird dem Registrierungs-Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
der Wert EnableFirewall=0 zugewiesen.
Ebenso dem Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
der Wert EnableFirewall=0
Ein Einschalten wirkt nur bis zum nächsten Neustart.
* Deaktivieren der Windowsfunktion "Automatische Updates"
Bei jedem Systemstart wird die Funktion ausser Kraft gesetzt.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update wird der Wert AUOptions=1 zugewiesen.
* Deaktivieren von Viren-Schutzprogrammen
Sober.O und Sober.P schalten einige Viren-Schutzprogramms ab. Dabei können Meldefenster unterdrückt werden.
* Verhindert den Start spezieller Entfernungstools.

Entfernung

Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:

* der laufende Prozess blockiert die Datei
* Windows schützt das Verzeichnis, in dem sich das Programm befindet

Vorgehensweise der Entfernung

1. Systemwiederherstellung von Windows Me/XP deaktivieren
2. Start des Computers in den abgesicherten Modus
3. Durchsuchen Sie mit Ihrem aktuellen Viren-Schutzprogramm den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen.
4. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
* infizierte Dateien löschen
* Einträge aus der Windows-Registrierung entfernen
5. normaler Systemstart
6. Systemwiederherstellung (Me/XP) aktivieren

Zitat

Warnung vor neuer Computer-Viren-Attacke
Bonn - Internet-Nutzern steht möglicherweise in wenigen Tagen eine neue Computerviren-Attacke bevor. Der derzeit in Umlauf befindliche Schädling Sober.P werde am kommenden Montag versuchen, neue Programmteile aus dem Internet nachzuladen.

Davor warnte das Bundesamt für Sicherheit in der Informationstechnik BSI am 20 Mai. Internet- Nutzer sollten in jedem Fall ihre Virenschutz-Programme rechtzeitig aktualisieren, rät das BSI. Der Wurm könne nur dann aktiv sein, wenn er unbemerkt bleibe. Derzeit sei noch nicht klar, welche Auswirkungen durch den auch als Sober.Q bezeichneten Wurm am Montag zu erwarten sind.

Die Sicherheitsexperten stellten bei der Analyse des Programm- Codes fest, dass das so genannte Trojanische Pferd ab dem 23. Mai dazu programmiert ist, selbstständig im Internet nach neuen Programmteilen zu suchen und diese nachzuladen. Möglicherweise werde auf diese Weise ein neuer Schädling in Umlauf gelangen, schätzt das BSI. Betroffen sind alle Nutzer des Betriebssystems Windows in den Versionen 95, 98, ME, NT, 2000, XP sowie Windows Server 2003.

Der neue Wurm ist ein Nachfolger des so genannten WM-Ticket-Wurms. Dieser hatte Anfang Mai das Kommunikationssystem des WM- Organisationskomitees in Deutschland vorläufig komplett lahm gelegt. Der Schädling hatte sich massenhaft als E-Mail verbreitet und in einwandfreiem Deutsch den Adressaten suggeriert, Eintrittskarten für das Turnier erhalten zu haben. Beim Öffnen des Anhangs wurde er aktiv. Inzwischen hat auch er Programmteile nachgeladen und belästigt in einer neuen Variante bis heute zahlreiche Nutzer weltweit mit nationalsozialistischer Propaganda.