Beiträge: 120
Themen: 59
Registriert seit: 2003-03-30
Bewertung:
0
Achtung Achtung,
habe heut eine email von yahoo bekommen mit dem Betreff(Fehler in Email) In der Email steht dann Text kann nicht dargestellt werde, bitte Anhang öffnen.
Und jetzt kommts, hab den Scanner drüber geschickt, und er hat SOBER gemeldet.
Wer also solch eine email erhält am besten sofort löschen.
Beiträge: 16,580
Themen: 593
Registriert seit: 2001-06-28
Bewertung:
0
Jo, der ist derzeit vermehrt unterwegs.
Zitat: Worm/Sober.I hat eine Dateigröße von 56.808 Bytes und ist eine Variante des Wurmes Sober.H. Er ist gepackt mit dem Laufzeitpacker UPX. Wird der Wurm ausgeführt, so erstellt er verschiedene Dateien in das Windows Systemverzeichnis (Windows 9x \Windows\System\ bzw. Windows NT/2000/XP \WINNT\System32\ oder \Windows\System32\):
\%systemDIR%\%filename%.exe (46.056 Bytes)
\%systemDIR%\%filename%.exe (46.056 Bytes)
\%systemDIR%\nonzipsr.noz (BASE64-Archiv)
\%systemDIR%\clsobern.isc (BASE64-Archiv)
\%systemDIR%\zippedsr.piz (BASE64-Archiv)
\%systemDIR%\clonzips.ssc (BASE64-Archiv)
\%systemDIR%\winmprot.dal
\%systemDIR%\winroot64.dal
\%systemDIR%\winsend32.dal
Ebenfalls werden die folgenden Dateien erstellt, welche allerdings ein Dateigröße von 0 Bytes aufweisen und nur als Steuerdateien dienen, um ältere Varianten des Worm/Sober zu beenden:
\%systemDIR%\cvqaikxt.apk
\%systemDIR%\dgssxy.yoi
\%systemDIR%\Odin-Anon.Ger
\%systemDIR%\sysmms32.lla
Die Dateinamen für die neu erstellten .EXE Dateien im Windows Systemverzeichnis, sowie die Keynamen der Windows Registry Einträge werden zufällig aus folgenden Wortkobinationen ausgwählt, wobei nur ein Wort bzw. eine Kombination aus zwei Wörtern (z.B. Cryptdata) vorkommen können:
sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service oder smss32
Worm/Sober.I erstellt die folgenden Einträge in der Windows Registry, damit dieser beim nächsten Systemstart automatisch geladen werden:
HKEY_CURRENT_USER\Software\Microsoft\W indows\CurrentVersion\ Run\
"%random%"="\%systemDIR%\%filename%.exe"
"%random%"="\%systemDIR%\%filename%.exe %srun%"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\ Run\
"%random%"="\%systemDIR%\%filename%.exe"
"%random%"="\%systemDIR%\%filename%.exe %srun%"
Der Wurm durchsucht auf den lokalen Datenträgern nach Email-adressen, an die er sich weiter versenden kann. Hierzu öffnet er alle Dateien mit folgender Dateierweiterung:
.pmr
.stm
.slk
.inbox
.imb
.csv
.bak
.imh
.xhtml
.imm
.imh
.cms
.nws
.vcf
.ctl
.dhtm
.cgi
.pp
.ppt
.msg
.jsp
.oft
.vbs
.uin
.ldb
.abc
.pst
.cfg
.mdw
.mbx
.mdx
.mda
.adp
.nab
.fdb
.vap
.dsp
.ade
.sln
.dsw
.mde
.frm
.bas
.adr
.cls
.ini
.ldif
.log
.mdb
.xml
.wsh
.tbb
.abx
.abd
.adb
.pl
.rtf
.mmf
.doc
.ods
.nch
.xls
.nsf
.txt
.wab
.eml
.hlp
.mht
.nfo
.php
.asp
.shtml
.htm
.ht
.dbx
Worm/Sober.I wurde am 16.11.2004 'released', allerdings startet er seine Routine zum Versand von Emails erst drei Tage später (19.11.2004). Desweiteren ist der Wurm in der Lage +50 Tage nach seinem 'Release' von bestimmten Webseiten eine ausführbare EXE Datei auf den infizierten Rechner nachzuladen. Diese Datei wird dann lokal unter dem Dateinamen 'qwwintxt.exe' in das Windows Systemverzeichnis gespeichert und ausgeführt.
Der Wurm ist ebenfalls in der Lage, wie auch schon Vorgänger- versionen, verschiedene Security- und Antivirensoftware zu beenden.
Verbreitung
Worm/Sober.I versendet sich mit Hilfe seiner eigenen SMTP Engine, die er in seinem virulenten EXE Datei mit sich führt. Der Wurm versendet sich an die zuvor gesammelten Emailadressen (siehe oben). Jede versandte Email hat ein anderes Aussehen. Der Wurm kann den Betreff, Body und den Anhang einer Email aus verschied- enen Bausteinen zusammen setzen. Die Absenderadresse wird hierbei 'gespoofed' und stimmt somit nicht mir dem originalen Ab- sender überein. Ebenfalls kann Worm/Sober.I zwischen deutschen und englischen Emailadressen unterscheiden. Sollten die Domains .de, .ch, .at oder .li enhalten, so versendet Sober ausschließlich mit deutsche Texte.
FROM: <spoofed>
SUBJECT: (eines der folgenden)
Auftragsbestätigung
Ungültige Zeichen in Ihrer E-Mail -SMTP: 7407
Registration confirmation
Mailzustellung fehlgeschlagen -Damon: 4440
Re: Lieferungs-Bescheid
Mail_Delivery_failure
Mailer Error -8900
Mailer Error -Damon: 4639
invalid mail
Mail- Verbindung wurde abgebrochen -Code: 4358
Ihre E-Mail wurde verweigert
Re: Ihre neuen Account-Daten
Mailer-Fehler -8362
Confirmation
Delivery_failure_notice
Details
Faulty_mail delivery
illegal signs in your mail
mail delivery system
Oh God it's
Registration confirmation
Your mail password
Your Password
BODY: (eines der folgenden)
Weitere Informationen befinden sich im Anhang dieser Mail
*-*-* Attachment-Scanner: NO VIRUS
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de
Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.sysinternals.com
-------
Folgende Fehler wurden aufgezeichnet:
61.134.157.181_failed_after_I_sent_the_message.
# 172: MAILBOX NOT FOUND
# 247: This_account_has_been_disabled_[#433].
# 529: mailbox_unavailable
STOP mailer
-------
Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.
Automatic-Mail.Config#: [sysinternals]
Your password was changed successfully!
++++++ User-Service: http://www.testvir.de
++++++ MailTo: postmaster@testvir.de
Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.windows.gui.asm32.elite.coder.com
-------
Folgende Fehler wurden aufgezeichnet
39.238.149.96_does_not_like_recipient.
# 157: Remote_host_said:_delivery_error
# 192: mailbox_unavailable
# 335: Giving_up_on_39.238.149.96.
# 307: MAILBOX NOT FOUND
STOP mailer
-------
Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.
Automatic-Mail.Config#: [windows]
*-*-* Anti_Virus: Es wurde kein Virus gefunden
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de
This mail was generated automatically.
More info about --TESTVIR-- under: http://www.testvir.de
-------
Occured_Errors:
200.225.136.47_does_not_like_recipient.
# 195: MAILBOX NOT FOUND
# 175: Giving_up_on_200.225.136.47.
End
-------
The original mail is attached.
Auto_Mail.System: [testvir]
*-*-* Attachment: No Virus found
*-*-* MIRC- Anti_Virus Service
*-*-* http://www.mirc.com
Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.ppp666.microsift.com
-------
Folgende Fehler wurden aufgezeichnet:
115.59.254.142_failed_after_I_sent_the_message.
# 204: MAILBOX NOT FOUND
STOP mailer
-------
Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.
Automatic-Mail.Config#: [ppp666]
*-*-* Anti_Virus: Es wurde kein Virus gefunden
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de
Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.some.network.net
-------
Folgende Fehler wurden aufgezeichnet:
80.25.230.181_failed_after_I_sent_the_message.
% 260: Remote_host_said:_delivery_error
% 125: MAILBOX NOT FOUND
% 558: mailbox_unavailable
% 245: This_account_has_been_disabled_[#440].
% 360: Giving_up_on_80.25.230.181.
STOP mailer
-------
Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.
Automatic-Mail.Config#: [some]
*-*-* X-MS_Scanner: Kein Virus erkannt
*-*-* TESTVIR- Anti_Virus Service
*-*-* http://www.testvir.de
This mail was generated automatically.
More info about --TESTVIR-- under: http://www.testvir.de'
-------
Occured_Errors:
218.228.154.101_failed_after_I_sent_the_message.
% 414: This_account_has_been_discontinued_[#143].
% 140: Giving_up_on_218.228.154.101.
% 319: Remote_host_said:_delivery_error
% 537: MAILBOX NOT FOUND
End
-------
The full mail is attached.
Auto_Mail.System: [testvir]
*-*-* Anti_Virus: No Virus was found
*-*-* YAHOO- Anti_Virus Service
*-*-* http://www.yahoo.com
Diese E-Mail wurde automatisch generiert.
Mehr Information erhalten Sie unter http://www.innocent.com
-------
Folgende Fehler wurden aufgezeichnet:
15.169.240.8_failed_after_I_sent_the_message.
% 238: This_account_has_been_discontinued_[#135].
% 556: Giving_up_on_15.169.240.8.
% 201: MAILBOX NOT FOUND
% 548: Remote_host_said:_Requested_action_not_taken
STOP mailer
-------
Aus Datenschutzrechtlichen Gründen, darf die vollständige E-Mail incl. Daten nur angehängt werden.
Wir bitten Sie, dieses zu berücksichtigen.
Automatic-Mail.Config#: [innocent]
ATTACHMENT:
Daten
Daten.word
Daten3765
sysinternals.1381
testvir_7768
system-windows
re_mail
data_info
system-innocent_7658
Daten3765
Auto_Mail_4325
re_mail_5116
some
Die Dateierweiterung kann sich, muss aber nicht, aus zwei Bausteinen zusammensetzen, wobei die erste dann .XLS oder .TXT lautet und zweite Erweiterung dann aus .EXE, .PIF, .COM, .SCR oder .BAT ausgwählt werden.
Ebenfalls kann das Attachment als ZIP Archiv versendet werden.
Quelle: Antivir.de
Also manuell entfernen kein Problem. Einfach die Dateien aus den Windoof-Verzeichnissen löschen und die Registry ausräumen.
Der Virus kann sich im übrigen nur installieren wenn man Administratorrechte hat, was aber leider immer noch auf 99% zutrifft, da der Benutzer Schreibrechte im Windows-Ordner und in der Registry benötigt.
Ich hab ihn als Admin installiert, er ist wirklich sehr leicht zu installieren und auch leicht wieder zu entfernen. ![[Bild: icon_lol.gif]](https://www.downhill-board.com/images/graemlins/icon_lol.gif)
Leider hab ich ihn mir ncoht aufgehoben, aber schätz mal den werd´ ich noch 1000x bekommen. Ach ja: 25% des E-Mailverkehrs weltweit werden derzeit angeblich von diesem Virus verursacht. Quelle: ORF ![[Bild: mryellow.gif]](https://www.downhill-board.com/images/graemlins/mryellow.gif)
Beiträge: 7,868
Themen: 130
Registriert seit: 2001-06-28
Bewertung:
0
Ich krieg auf meine Chello Adresse derzeit rund 50 verseuchte Emails pro Tag.
Was mir aber doppelt wurscht ist - weil nämlich Chello den Wurm schon aus der Email löscht, und falls er dort durchrutschen würde, gäbe es immer noch meinen Virenscanner ![[Bild: tongue.gif]](https://www.downhill-board.com/images/graemlins/tongue.gif)
Nervig ist's halt.
Beiträge: 16,580
Themen: 593
Registriert seit: 2001-06-28
Bewertung:
0
Bei den ersten Mails ist der Virus bei chello durchgegangen.. die machen beim Scanner offensichtlich weniger oft n update als ich.
Beiträge: 7,868
Themen: 130
Registriert seit: 2001-06-28
Bewertung:
0
Stimmt, bei den ersten Emails waren noch Attachements dran
Beiträge: 21,418
Themen: 2,680
Registriert seit: 2001-06-22
Bewertung:
0
was is'n das für ein Virus, der immer mit Attachment daherkommt und das Mail insgesamt ca. 42kB groß ist. Ich bekomme den seit Monaten .. und alle paar Tage rutscht einer durch, den der Spamfilter am Server nicht kennt.
Hab grad 1300 Reject-Messages bekommen. Vom BMX-Forums haben's einen Newsletter verschickt. Nur sperrt AOL alle Mails von meinem Server, weil es eine verspamte Adresse gibt, die an eine AOL-Adresse weitergeleitet wird. Den Forwarder muss ich entfernen... Wenigstens hat alle mein Spamfilter am Server aussortiert...
|
