Deutschsprachige Wurm-Variante Sober.c....

Betsy

mexican Tequilahexe
Veteran
Beiträge
3.983
Reaktionspunkte
41
Alter
41
Ort
DORNBIRN
....verbreitet sich schnell!!!


Eine dritte Sober-Variante verbreitet sich derzeit schnell im Internet. Wie seine Vorgänger Sober und Sober.b verschickt sich der Wurm Sober.c von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Wesentliche technische Neuerungen bringt er nicht mit, dafür sind die Nachrichtentexte umso geschickter formuliert. Beispielsweise gibt eine Nachricht vor, von der Kripo Düsseldorf zu sein. Darin wird behauptet, dass gegen den Empfänger der Mail ein Ermittlungsverfahren eingeleitet werde, da er illegal Filme und MP3-Dateien aus dem Internet herunterlade. Als Attachment ist eine Datei mit dem angeblichen Akteninhalt beigefügt, die natürlich den Wurm enthält. Andere Varianten warnen vor einem neuen Dialer und einem Trojaner, der sich dem Rechner des Empfängers befände.

Öffnet man die Dateianhänge *.bat, *.pif und *.exe infiziert der Wurm den Rechner. Diesmal kopiert er sich sogar dreimal auf das System, zwei der Dateinamen erzeugt Sober.c pseudo-zufällig. Auf befallenen System startet sich der Wurm in zwei Instanzen, die sich gegenseitig versuchen zu schützen, in dem sie unter anderem den Datei-Zugriff blockieren.

Die Betreffzeilen und Texte von Sober.c variieren sehr stark, allerdings ist auch er wieder bilingual: Er verschickt sich sowohl mit deutschen, als auch englischen Texten. Welche Sprache Sober.c verwendet, hängt von Domain-Suffix, also .de, at, ch, des Adressaten ab. Eine vollständige Liste der möglichen englischen und deutschen Betreffzeilen, sowie der Namen der Datenanhänge ist bei Bitdefender zu finden.

Einige Hersteller von Antivirensoftware haben schon reagiert und neue Signaturen zum Erkennen des Wurms, sowie Tools zu seiner Entfernung bereit gestellt. Dazu gehören insbesondere Kaspersky, Bitdefender und F-Prot. NAI und Symantec bieten bisher noch keine Beschreibung und Signaturen auf ihren Seiten an. Bereits die Signaturen zum Erkennen von Sober.b lassen bei beiden derzeit auf sich warten. Erst ab Weihnachten sollen diese zur Verfügung stehen.

[Update] Symantec hat ebenfalls die Viren-Signaturen für den LiveUpdate und Intelligent-Update aktualisiert. Damit sind nun fast alle Virenscanner in der Lage Sober.c zu erkennen. NAI beschert seine Kunden erst zum Weihnachtsfest mit neuen Signaturen.

[2. Update] NAI hat früher als angekündigt seine Signaturen aktualisiert. Seit Sonntag Abend gibt es ein neues DAT-File, mit dem der Scanner Sober.c erkennt.

Siehe dazu auch:

* Wurmbeschreibung von F-Secure
* Virenmeldungvon Bitdefender

(dab/c't)

Quelle: http://www.heise.de/security/news/meldung/43125



Und hier hab ich noch ne Erklärung für den SOBER C

Kurzinformationen
Virusname: Worm/Sober.C
Alias: I-Worm.Sober.C, W32.Sober.C@mm
Viren Typ: Wurm
Dateigröße: 73.728 Bytes
Betriebsysteme: Microsoft Windows 9x/NT/ME/2000/XP
Ursprung: Deutschland
Datum: 20.12.2003
Schadensroutine: überschreibt Dateien
VDF Version: 6.23.00.17

scha_ti.gif

scha_mi.gif

verb_hi.gif






Allgemeine Beschreibung:


Worm/Sober.C versendet sich über seine eigene SMTP-Engine an die im Rechner gespeicherten Email-Adressen. Die Email mit deutschem Betreff enthält Datei-Anhänge mit den Erweiterungen .exe, .cmd, .pif, .bat, .scr oder .com.


Symptome:

- Nach dem Ausführen des Wurms erscheint eine gefakte Fehlermeldung:

sobc.jpg




Infektionsweg:


- Email-Versand über eigene SMTP-Engine
- Austausch über P2P Programme (z.B. KaZaA) via "My Shared Folder"


Technische Details:


Der Sober Wurm wurde in Visual Basic 6.0 (deutsche Version) entwickelt und mit dem UPX gepackt. Dabei wurden die UPX-Header gepatcht, um ein Auspacken mit herkömmlichen Mitteln zu erschweren.

Worm/Sober.C erstellt drei Kopien von sich selbst im Windows System Verzeichnis. Einmal als SYSHOSTX.EXE und zwei .EXE Dateien mit variablen Dateinamen. Der Wurm verwendet eine Reihe von Zeichenketten, mit deren Hilfe er die beiden Dateinamen erzeugt:

* win
* svc
* task
* sys
* dll
* host
* end
* dir
* ms
* run
* ex
* log
* on
* reg
* ie
* 32
* 16
* 64
* disk
* api
* app
* con
* mon
* drv
* crypt
* dat
* dx
* diag
* str
* xp
* hex

Der Wurm erzeugt außerdem die Datei SAVESYSS.DLL, in die er die gesammelten Emailadressen speichert, die er in Dateien mit folgender Dateierweiterung findet:

* htt
* rtf
* doc
* xls
* ini
* mdb
* txt
* htm
* html
* wab
* pst
* fdb
* cfgl
* db
* eml
* abc
* ldif
* nab
* adp
* mdw
* mda
* mde
* ade
* sln
* sw
* dsp
* vap
* php
* asp
* shtml
* shtm

Versendet sich der Wurm, überprüft dieser, ob die Emailadressen einer .DE, .CH, .AT, .LI, .NL oder .BE Domain angehören. Sollte dies der Fall sein, versendet er Emails mit deutschen Texten. Andernfalls wird die Email mit einem englischen Text versehen.

Zuletzt legt der Wurm die beiden Dateien HUMGLY.LKUR und YFJQ.YQWM im Windows Systemverzeichnis an.

Worm/Sober.C erstellt zwei Registry Run Einträge mit variablen Namen:

* [HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run]
"%Name%"="C:\\WINNT\\System32\\%varibler Dateiname1%.exe"

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
"%Name%"="C:\\WINNT\\System32\\%varibler Dateiname1%.exe"

Die Namen dieser Einträge werden aus Dateinamen, welche im Windows Systemverzeichnis stehen, generiert.

Der Selbstschutz des Wurms:

Der Wurm startet sich generell in zwei Instanzen, das heißt, er läuft gleichzeitig zweimal auf dem infizierten Windows System.
Dabei sperrt der eine Prozess den jeweils anderen Prozess im "EXCLUSIV ZUGRIFF", sodass wenn der Wurm einmal aktiv ist, die Datei von den meisten Antivirenscannern nicht mehr gescannt werden kann, da kein Zugriff vom System gestattet wird.
Beendet man einen der beiden Prozesse, wird dessen Abwesenheit durch den zweiten Prozess festgestellt, und der gerade eben terminierte Prozess wird vom ersten Prozess aus erneut gestartet. Dadurch hat der Heimanwender mit Hilfe des Taskmanagers keine Chance, beide Wurmprozesse gleichzeitig zu terminieren.

Wird versucht, den Run Eintrag des Wurms aus der Windows Registry zu entfernen, während dieser noch aktiv ist, erzeugt er automatisch diesen Eintrag wieder in die Registry. Dies wurde mit einem Visual-Basic-Timer-Objekt gelöst, welches in Intervallen die Registry nach dem Fehlen des Autorun-Eintrags abfragt.

Infektion des Verzeichnis 'My Shared Folder':

Beim ersten Start des Wurms infiziert dieser sämtliche Executables im Ordner 'My Shared Folder' indem er sich generell an die erste Stelle der Datei setzt. Der Wurm agiert damit als sogenannter 'Overwriter', der die entsprechenden Executables damit unreparierbar beschädigt. Sinn und Zweck dieser Vorgehensweise ist eine angestrebte zusätzliche Verbreitung über Filesharing Netzwerke, welche ihre Austauschdateien in diesem Ordner gerne standardmäßig ablegen. Ist die Wirtsdatei kleiner als der Wurm selber, so wird sie mit dem kompletten Wurm überschrieben.

Versand von Emails:

Sober enthält eine eigene SMTP-Engine zum Versenden von Emails. Die Emailadressen, an die sich Worm/Sober.C versendet, werden in der Datei SAVESYSS.DLL gesammelt.

Die Betreffzeile der Email wird aus folgenden Liste ausgewählt:

* Betr: Klassentreffen
* Testen Sie ihren IQ
* Bankverbindungs- Daten
* Neuer Dialer Patch!
* Ermittlungsverfahren wurde eingeleitet
* Ihre IP wurde geloggt
* Sie sind ein Raubkopierer
* Sie tauschen illegal Dateien aus
* Ich hasse dich
* Ich zeige sie an!
* Sie Drohen mir!!
* Anime, Pokemon, Manga, Handy ...
* AnmeldebestStigung
* Neu! Legales Filesharing
* Umfrage: Rente erst mit 80!
* du wirst ausspioniert
* Ein Trojaner ist auf Ihrem Rechner!
* Du hast einen Trojaner drauf!
* Hi, Ich bin's
* ups, i've got your mail
* Sorry, that's your mail
* hi, its me
* Thank You very very much
* you are an idiot
* why me?
* I hate you
* Preliminary investigation were started
* Your IP was logged
* You use illegal File Sharing ...
* A Trojan horse is on your PC
* a trojan is on your computer!
* Anime, Pokemon, Manga, ...

Danach wird der Name des Dateianhang aus der folgenden Liste ausgesucht:

* www.iq4you-german-test.com
* www.freewantiv.com
* www.free4share4you.com
* www.onlinegamerspro-worm.com
* www.freegames4you-gzone.com
* www.anime4allfree.com
* www.animepage43252.com
* downloader.exe
* yourmail.doc.pif
* alledigis.exe
* aktenz57189.pif

Entfernungshinweise:

- Mit dem Removal-Tool von Antivir:

Removal TOOL

Bitte beachten Sie vor dem Download, dass die Bedingungen der Endbenutzervereinbarung (EULA) von H+BEDV Datentechnik GmbH für diese Software gelten und dass die Nutzung dieses Repair-Tools auf eigene Gefahr geschieht. Eine Haftung bei ggf. auftretenden Schäden schließen wir aus.

Quelle:
http://www.antivir.de/vireninfo/sober_c.htm
Dachte ich poste das mal hier, falls wer von euch in den nächsten Tagen da was aufn PC bekommen sollte. War heute Nachmittag bei meiner Tante und hab min. 4 Stunden gebraucht bis ich den PC wieder auf Vordermann gebracht hatte. Echt ätzend. Bei der gieng nix mehr.. nix mit Internet um was runterzuladen was man gegen den Virus machen kann und überhaupt hieng alles ... aber habs dann Schlussendlich gesschafft!!!!
 

Leni

clever & smarter mexican Zauberlehrling
Veteran
Beiträge
2.674
Reaktionspunkte
12
Alter
42
Ort
Thayngen/CH
krass, was sich da die Hacker immer neues einfallen lassen. Aber die gehören hinter Gitter:pille:
 

gfc

Schönwetter Camping-Prophet
Administrator
Beiträge
16.240
Reaktionspunkte
2.557
Alter
42
Ort
Aarau
Website
www.parkrocker.net
Leni postete
krass, was sich da die Hacker immer neues einfallen lassen. Aber die gehören hinter Gitter:pille:
ich finds eher traurig, dass es gewisse Hersteller gibt, die solche Attacken überhaupt ermöglichen und sich weigern, ihrer Gewährleistungspflicht nachzukommen :wand:
 

Betsy

mexican Tequilahexe
Veteran
Beiträge
3.983
Reaktionspunkte
41
Alter
41
Ort
DORNBIRN
naja, aber kann man ein programm oder ähnliches sooooo SICHER schreiben, dass es lückenlos ist und keiner was derartiges machen kann???
 

gfc

Schönwetter Camping-Prophet
Administrator
Beiträge
16.240
Reaktionspunkte
2.557
Alter
42
Ort
Aarau
Website
www.parkrocker.net
nein, ein Programm wurde von Menschen erstellt und Menschen machen Fehler. Einige Menschen machen mehr fehler als andere, eingie Menschen geben sich mühe, weniger Fehler zu machen..

Das alles wäre ja nicht soo schlimm, ich mein man kann ned von jedem Hersteller höchstqualität erwarten, man bekommt halt, was man bezahlt..

ABER: Wenn man wissentlich jahrelang offenen Fehler nicht behebt und auch in neuen Versionen dieselben Fehler aus Faulheit oder sonstiger schlampigkeit wieder einbaut, is das einfach ned akzeptabel!

Und genau darum gehts ja: Wer hat sich den totalen schwachsinn ausgedacht, dass es einem Mailprogramm oder Browser möglich sein sollte, exe dateien (oder pifs) auszuführen und wieso unternimmt man gegen diesen gröbsten Designfehler nichts? ich mein sorry, jeder billigste Vorstadt-Programmierer schafft es einen Filter zu bauen, der bestimmte Dateiendungen ausschliesst.. ein Fortgeschrittenerer würd es sogar selber schaffen, den Kopf der Datei auszulesen und darauf den Filter zu bauen... damit hättest du ca 95% aller Viren und Dialer ausgeschaltet!!

aber die Grösste Software-Schmiede der Welt mit tausenden von Programmierern sollte so etwas nicht vollbringen?? Das is ja so als ob du sagen würdest Mercedes würds ned schaffen einen Becherhalter fürs Auto herzustellen ..
 

Gigge

Forums-Orthograph
Veteran
Beiträge
10.417
Reaktionspunkte
1.986
Alter
38
hab ich auch schon drei varianten bekommen, die mails sehen echt perfekt aus,
also hätt mir dei polizei wirklich geschrieben, ich wäre ein raubkopierer:D
 

KingPin

Ich will Dyers eve!!
Veteran
Beiträge
3.584
Reaktionspunkte
112
Alter
43
Ort
Nürnreuth
jup. herzlichen dank für die warnung.

@ gigge:
und da du noch nicht erwischt wurdest, bist du nur einer, der weiß, wie er sich cd-kauf und kino ersparen kann... :D
 

Gigge

Forums-Orthograph
Veteran
Beiträge
10.417
Reaktionspunkte
1.986
Alter
38
naja, das würde ich so nicht sagen, also wenn ich eine band wirklich gut finde bzw einen film richtig gut finde kauf ich mir die cd bzw geh ins kino