CLH - Hoerspielforum und mehr

Zitat

ame: W32.Sober.F@mm
Alias: W32/Sober.f@MM [McAfee], Win32.Sober.F [Computer Associates], W32/Sober-F [Sophos], WORM_SOBER.F [Trend]
Art: Wurm
Größe des Anhangs: 42.496 Bytes
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing
Verbreitung: hoch
Risiko: mittel
Schadensfunktion: Massenmailing, lädt Programm aus dem Internet nach
Spezielle Entfernung: Tool
bekannt seit: 03.04.2003

Beschreibung:

W32.Sober.F@mm ist ein Internet-Wurm, der sich mit seiner eigenen SMTP-Maschine verbreitet.

Die E-Mail hat folgende Charakteristik:

Von:

Webmaster
Fehler-Info
Administrator
RobotMailer
AutoMailer
Register
Service
Info
Passwort
Kundenservice
Liste
Schwarze-Liste
Information
Administrator
Webmaster
Home
Register
Service
Info
admin
Error_Info
RobotMailer
AutoMailer
User-info
account
webmaster

oder eine Adresse aus Benutzername, gefolgt von:

@abuse.de
@yahoo.com
@yahoo.de
@gmx.de
@gmx.net
@web.de
@freenet.de
@lycos.de

Betreff:

Einzelheiten
Hallo Du!
Hallo!
Hey Du
Hi, Ich bin's
Ich bin es .-)
Verdammt
Na, überrascht?!
Info
Information
Fehlerhafte Mailzustellung
Mailzustellung fehlgeschlagen
Fehler
Illegale Zeichen in Mail-Routing
Verbindung fehlgeschlagen
Fehler in E-Mail
Bestätigung
Registrierungs-Bestätigung
Ihr neues Passwort
Ihr Passwort
Datenbank-Fehler
Warnung!
Details
Oh my God
Hey
Hi!
Hi, it's me
hey you
damn!
Well, surprised?
Info
Information
Faulty mail delivery
Mail delivery failed
Mail Error
Illegal signs in Mail-Routing
Connection failed
Invalid mail sentence length
Mail Delivery failure
Message Error
mail delivery status
Confirmation Required
Bad Gateway
Warning!
Your document

Nachricht:

Ich war auch ein wenig
überrascht!
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann

Alles klaro bei dir?
Schau mal was Ich gefunden habe!

Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Bye

Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwörter rauszubekommen!!!
Passwoerter.txt

Details entnehmen Sie bitte dem Attachment
Nähere Informationen befinden sich im Anhang.

*** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte überprüfen Sie nochmals diese E-Mail auf mügliche Fehlerquellen.
attach: AMD-System.txt
* End Transmission
Virenschutz
--- Web: http:/ /www.<randomly choosen domain>
--- Mail To: User-Hilfe

Passwort und Benutzername wurde erfolgreich geändert
Ihre Benutzernamen und Passwörter befinden sich im Anhang dieser E-Mail
++++ Im www erreichbar unter: http:/ /www.<randomly choosen domain>
++++ E-Mail: KundenInfo

Wegen eines Datenbank- Fehlers könnte es möglicherweise zu einem Verlust Ihrer persönlichen Daten wie Kennwörter gekommen sein.
Wenn Sie Unregelmäßigkeiten festgestellt haben, melden Sie uns bitte umgehend den Datenverlust.
Vielen Dank für Ihr Verständnis
+++ Ein Service von
+++ http:/ /www.<randomly choosen domain>
+++ E-Mail: Kundenservice

Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:

I was surprised, too! :-(
Who could suspect something like that?

All OK
see, what i've found!

hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
bye

I 've told you!:-) sometime I grab your passwords!

I hope you accept the result!
Follow the instructions to read the message.
Please read the document

Registration confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.
++++ Service: http:/ /www.<randomly choosen domain>
++++ Mail To: User-info

*** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said:_554_delivery_error:
_dd_Sorry_your_message_cannot_be_delivered._This_account_has_been_disabled_
or_discontinued_[#102]._-_mta134.mail.dcn.com *** this line has been modified by Symantec for the purpose of formatting ***
** End of Transmission
The original message is a separate attachment.
--- Web: http:/ /www.<randomly choosen domain>
--- Mail To: User-Hilfe

Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of <randomy choosen domain>
+++ http:/ /www.<randomly choosen domain>
+++ Mail: home

The message has been attached.

Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha

Anybody use your accounts!
For further details see the attachment.

I have received your document. The corrected document is attached.
greets

Name des Anhangs: (Datei hat als Erweiterung .pif oder .zip)

Oh-Mann
Dokument
KurzText
AntiVirus-Text
Anleitung
Passwoerter.txt
Text-Inhalt
AMD-System.txt
Benutzer-Daten
Datenbank-Fehler
abuse-liste
schwarze-listen
Block-Lists
anitv_text
instructions
your_article
your_passwords
messagedoc
corrected_text-file
attach-message
<random>-attachment
<random>_attach
pass-message
text
Textdocument

Infektion des Systems

Der Wurm kopiert sich im infizierten System unter
%System%\<unterschiedlicherName>.exe

Der Dateiname <unterschiedlicherName> ist einer der folgenden

sys
host
dir
explorer
win
run
log
32
disc
crypt
data
diag
spool
service
smss32

Hinweis:
%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. %System% bezeichnet das Systemverzeichnis von Windows und ist in den verschiedenen Versionen unterschiedlich (Beispiel:C:\Windows\System oder C:\Winnt\System32).

Mit dem Registrierungs-Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\<unterschiedlicherName> = %System%\<unterschiedlicherName>.exe

und

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce\<unterschiedlicherName> = %System%\<unterschiedlicherName>.exe %1

wird Sober.F beim Rechnerstart aktiviert.

Bei Windows XP wird zusätzlich fogender Schlüssel angelegt:

HKEY_USERS\S-1-5-21-??????????-??????????-?????????-???\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run

Sober.F legt folgende Dateien an:

%System%\zmndpgwf.kxx
%System%\zhcarxxi.vvx
%System%\bcegfds.lll
%System%\syst32win.dll
%System%\winsys32xx.zzp
%System%\winhex32xx.wrm
%System%\spoofed_recips.ocx

Verbreitung:

Der Wurm sucht E-Mail-Adressen in Dateien mit den Endungen:

abc, abd, abx, adb, ade, adp, adr, asp, bas, cfg, cgi, cls, ctl, dbx, dhtm, doc, dsp, dsw, eml, fdb, frm, hlp, ini, jsp, ldb, ldif, log, mbx, mda, mdb, mde, mdw, mdx, mht, mmf, msg, nab, nch, nfo, nsf, ods, oft, php, pl, pp, ppt, pst, rtf, shtml, sln, tbb, txt, uin, vap, vbs, wab, wsh, xls, xml

Gefundene Adressen werden in der Datei %System%\syst32win.dll gespeichert.



Entfernung des Wurms Sober

Bei den Betriebssystemen Windows ME oder XP, muß vor der Entfernung die Systemwiederherstellung deaktiviert werden.
Vor der Entfernung muß der Computer im abgesicherten Modus gestartet werden.
Zur Verwendung der Programme müssen Sie bei Windows NT/2000/XP Administrator-Berechtigung besitzen. Andernfalls erhalten Sie eine Fehlermeldung.
Laden Sie eines der unten aufgeführten speziellen Entfernungstools und durchsuchen Sie damit den Computer.

Symantec (FixSober.exe) Direkt-Download oder Download mit englischer Beschreibung
NAI (Stinger.exe): Direkt-Download oder Download mit englischer Beschreibung

Generelle Hinweise:

Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Das BSI empfiehlt, den Versand / Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

(Erstellt: 05.04.2004)