[Vorsicht] Sober, ein neuer Wurm |
||
---|---|---|
#0
| ||
27.10.2003, 20:57
Member
Beiträge: 17 |
||
|
||
27.10.2003, 23:53
Member
Beiträge: 78 |
||
|
||
28.10.2003, 16:27
Member
Beiträge: 16 |
#3
checkt besser auch noch hier:
perComp ( http://www.f-prot.de/virusinformationen.html --> "neue Viren", erster ganz oben) Von dem Virus gibt es sehr viele Abwandlungen, und TREND MICRO z.b. erkennt ihn in seinem Pattern vom 27.10. nich nicht... |
|
|
||
29.10.2003, 08:42
Moderator
Beiträge: 6466 |
#4
[MS/Generic] E-Mail-Wurm gibt sich unter anderem als
Virenentfernungswerkzeug oder Spambeschwerde aus (2003-10-28 19:22:27.764276+01) Quelle: http://www.symantec.com/avcenter/venc/data/w32.sober@mm.html Derzeit verbreitet sich ein neuer E-Mail-Wurm, der z.T. deutsche Betreffzeilen und Textkörper in die Nachrichten schreibt, mittels denen er sich verbreitet. Im Anhang befindet sich der eigentliche Wurm, der ein System infiziert, wenn der Benutzer das Attachment öffnet. Betroffene Systeme * Microsoft Windows (praktisch alle Versionen) Einfallstor E-Mail Attachment Auswirkung * massive Weiterverbreitung des Wurmes * Derzeit in Umlauf befindliche Versionen haben keine wirklich gefährliche Schadfunktion. * Der Wurm kopiert sich in das Systemverzeichnis + C:\Windows\System32 (Windows 95, 98, Me, XP, Server 2003) + C:\Winnt\System32 (Windows NT, 2000) des beherbergendnen Rechnersystems unter einem der folgenden Namen: + drv.exe + similare.exe + systemchk.exe + systemini.exe + winreg.exe + filexe.exe + sysrunll.exe * Außerdem erzeugt er entsprechende Einträge in den Registry-Keys + HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run + HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\R un um sicherzustellen, bei jedem Systemboot getartet zu werden. * Der Wurm erzeugt eine Datei mit dem Namen + C:\Windows\System32\Macromed\Help\Media.dll (Windows 95, 98, Me, XP, Server 2003) + C:\Winnt\System32\Macromed\Help\Media.dll (Windows NT, 2000) Typ der Verwundbarkeit E-Mail-Wurm Gefahrenpotential mittel (Hinweise zur [1]Einstufung des Gefahrenpotentials.) Infektion * Ausführung/Öffnen des E-Mail-Anhangs Weiterverbreitung * Versenden von E-Mail-Nachrichten mit Attachment, in dem sich der Wurm befindet mittels eigener SMTP-Engine Beschreibung Der Wurm W32.Sober@mm verbreitet sich via E-Mail. Er sendet sich selbst im Anhang einer Nachricht, die eine deutsch- oder englischsprachige Betreffzeile und Nachrichtenkörper enthalten kann. Durch Ausführung (bei standardmäßig konfigurierten Systemen genügt i.A. das Öffnen) des in Visual Basic geschriebenen und mit UPX komprimierten Wurmcodes im Anhang durch den Benutzer installiert sich der Wurm auf dem beherbergenden Rechnersystem und durchsucht es nach E-Mail-Adressen. Der Wurm besitzt seine eigene SMTP-Engine, die zum Verschicken der Nachrichten an die gefundenen Adressen verwandt wird. Der Wurm fälscht die Absenderadresse dieser Nachrichten. Gegenmaßnahmen Entfernung des Wurmes: 1. Deaktivieren Sie die Wiederherstellung systemkritischer Dateien unter Mirosoft Me und Windows XP, da sie bei der erfolgreichen Entfernung des Wurmes stören kann. Information zu diesem Schritt finden sich unter: + [2]How to Enable and Disable System Restore (Windows Me) + [3]Frequently Asked Questions Regarding System Restore in Windows XP 2. Fahren Sie das System herunter und starten Sie es erneut im Safe Mode oder VGA Mode 3. Entfernen Sie die o.g. Dateien aus dem Systemverzeichnis 4. Entfernen Sie die o.b. Einträge aus den Registry-Keys + HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run + HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\R un 5. Starten Sie das System neu. Sobald Updates für die verschiedenen Antivirusprogramme verfügbar sind, sollten folgende Schritte durchgeführt werden: 1. Aktualisieren Sie die Datenbank Ihres Antivirusprogrammes 2. Untersuchen Sie das System mit Ihrem Antivirusprogramm 3. Entfernen Sie alle als infiziert markierten Dateien Hinweis für Mitglieder der Universität Stuttgart Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt und entfernt. Näheres hierzu erfahren Sie unter * [4]http://wb.rus.uni-stuttgart.de/AntiVirus/default.asp (Zugriff nur für Mitglieder der Universität Stuttgart) Generelle Empfehlung (Wh) * Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers. * Kein ernstzunehmender Hersteller von System- oder Antivirussoftware verschickt Werkzeuge zur Entfernung irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine gefälschte Nachricht handelt. * Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich. Aliases Der Wurm ist unter folgenden Namen bekannt: * W32/Sober@MM [McAfee] * I-Worm.Sober [Kaspersky] * W32/Sober-A [Sophos] * WORM_SOBER.A [Trend]. Sober [F-Secure] * W32/Sober.A@mm [Frisk] * W32.Sober@mm [Symantec] * W32/Sober.A [Norman] * Win32/Sober.A [Eset] * Win32.Sober.A [Computer Associates] Charakteristika Eine Zusammenstellung der Charakteristika des W32.Sober@mm-Wurmes ist in der Web-Version dieses Artikels zu finden: * [5]RUS-CERT-Meldung#1157: [MS/Generic] E-Mail-Wurm gibt sich unter anderem als Virenentfernungswerkzeug oder Spambeschwerde aus Beschrieben sind die derzeit bekannten Betreffzeilen (Subject), Anhänge (Attachments) und Textkörper (Mail Bodies) sowie weitere Eigenschaften der Nachrichten, mit denen sich der Wurm verbreitet. Weitere Information zu diesem Thema * [6]Wurm W32.Sober tarnt sich als Antiviren-Tool [Update] * [7]Informationen aus dem BSI: W32.Sober@mm * [8]McAfee Virus Profile W32/Sober@MM Aktuelle Version dieses Artikels [9]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1157 Hinweis Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet. Copyright © 2003 RUS-CERT, Universität Stuttgart, [10]http://CERT.Uni-Stuttgart.DE/ References 1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen 2. http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/q264/8/87.ASP 3. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/Plan/FAQSRWXP.asp 4. http://wb.rus.uni-stuttgart.de/AntiVirus/default.asp 5. http://cert.uni-stuttgart.de/ticker/article.php?mid=1157 6. http://www.heise.de/security/news/meldung/41455 7. http://www.bsi.de/av/vb/sober.htm 8. http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100778 9. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1157 10. http://CERT.Uni-Stuttgart.DE/ ---------------------------------------------------------------------- Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/ Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE __________ Durchsuchen --> Aussuchen --> Untersuchen |
|
|
||
08.11.2003, 13:23
...neu hier
Beiträge: 2 |
#5
Hallo meine Lieben...
auch bei mir ist der Wurm gelandet... dummerweise habe ich das Attachment geöffnet. Das war am 01.11. - seit dem habe ich aber kurioserweise nach etwa 5 minütiger Internetverbindung [Windows XP Home+DSL (Tiscali)] einen Abbruch dieser Verbindung mit einem Bluescreen. Da steht dann folgende Fehlermeldung: "Microsoft Windows %System% error# 0000000000x01 4E 00 A2 29 34 F2 12 DB 00 C3 Console %SYSHOST.EXE% lost connection, or blocked by firewall" Was um Himmels Willen ist denn das, und wie bekomme ich diesen Krampf wieder los, ohne meine Festplatte (unterteilt in C:,D: und E zu formatieren. Erschwerend kommt da nämlich hinzu, dass ich ein blutiger Anfänger in Sachen PC bin und fast keine Ahnung von dem allem habe. HILFE! Bin in einer Existenzgründung und benötige vor allem für den Faxverkehr und Infos eine stetige Internetverbindung (habe Flatrate), habe auch dem zu Folge keine finanziellen Mittel zur Verfügung, das Problem zu beheben. Gibt es denn nicht irgendein Programm zur Austreibung des Wurmes bzw. meines Problems, das auf Basis von P2P oder Freeware zu erhalten ist? Ich danke schon einmal im Voraus! Shang |
|
|
||
08.11.2003, 13:34
Moderator
Beiträge: 7805 |
#6
Es gibt mehrere cleaner fuer das Ding. Einen gibt es hier: http://www.antivir.de/vireninfo/sober.htm
Entweder eine Dosbox oeffnen und avprtool c:\ eingeben oder ueber start/ausfuehren avprtool c:\ __________ MfG Ralf SEO-Spam Hunter |
|
|
||
08.11.2003, 16:23
...neu hier
Beiträge: 2 |
#7
Hallo Ihr!
Ich finde es schön, dass der Informationsfluss hier so schnell funktioniert! Das musste mal gesagt werden. Aber ich bin, so glaube ich, einfach zu blöde dazu, den Tipp zu nutzen. Ich bin blutiger Anfänger, man möge Nachsicht mit mir haben... Ich bin jetzt mittlerweile soweit, meine Festplatte zu formatieren, habe aber Angst davor, Wertvolles und Angesammeltes zu verlieren. Am liebsten wäre es mir, es würde sich einer bereit erklären, zu mir zu kommen und mit mir zusammen das Problem zu beheben oder wenn das nicht klappen sollte, mit einer Axt auf meinen Rechner einzuschlagen... HEUL!! Ich bin echt am verzweifeln... Ich kann nicht mehr... Bitte, bitte hilft mir doch einer... Ich danke im Voraus, Shang |
|
|
||
08.11.2003, 18:01
Member
Beiträge: 1516 |
#8
Er meint folgendes
Start-> ausführen-> cmd eingeben -> dann Pfad / avprtool.exe eingeben Ansonsten versuch es mal hiermit http://securityresponse.symantec.com/avcenter/venc/data/w32.sober@mm.html Im post von Joschi stand eigentlich alles drin __________ °<- Vorsicht Trollköder und Trollfalle -> {_} Dieser Beitrag wurde am 08.11.2003 um 18:03 Uhr von spunki editiert.
|
|
|
||
08.11.2003, 18:26
Member
Beiträge: 3306 |
#9
Machen wir es doch einfach an einem Beispiel:
1. http://www.antivir.de/dateien/antivir/beta/avprtool.exe nach C:\temp runterladen 2. Start/Ausführen klicken 3. "Cmd" eingeben 4. "cd temp" eingeben 5. "avprtool.exe C:" eingeben 6. Warten __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. Dieser Beitrag wurde am 08.11.2003 um 18:27 Uhr von asdrubael editiert.
|
|
|
||
08.11.2003, 19:40
Member
Beiträge: 78 |
#10
Wo ist jetzt genau das Problem? Was ist der Stand der Dinge?
Im Prinzip mußt nichts anders tun als dieses Tool heruntergeladen und starten, der Rest müßte ganz von alleine vonstatten gehen! Du mußt auf den Link von diesen Tool klicken und die Datei auf die Festplatte speichern, z. B. unter Eigene Dateien. Danach einfach das Tool doppeltanklicken. Dann öffnet sich ein DOS-Fenster und das Tool sucht den Wurm. Wenn der wie bei mir nichts findet wird die Box geschlossen. Ich habe den Wurm nicht, deshalb kann ich Dir nicht sagen was passiert wenn der Wurm tatsächlich gefunden wird. Ob die Reinigung voll automatisch abläuft oder ob Du irgendwelche Befehle eingeben mußt oder Dinge mit yes oder no bestätigen mußt weis ich natürlich auch nicht. Deshalb brauchen wir hier Deinen aktuellen Stand der Dinge!! |
|
|
||
09.11.2003, 10:39
Moderator
Beiträge: 7805 |
#11
Eigentlich schon. Nur leider scannt das Tool nicht beim Start. Es verlangt eine Laufwerksangabe. Leider scheint das das einzige Tool zu sein, das den Wurm aus dem Speicher loeschen kann. Ansonsten koennte man es mit anderen Tools im abgesicherten Modus versuchen.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
11.11.2003, 06:43
Moderator
Beiträge: 7805 |
#12
Ich muss mich wohl selber korrigieren. Der Antivir cleaner kommt mit dem Wurm auch nicht richtig klar. Der derzeit einzige, der ihn, unter allen Win Versionen entfernen kann, scheint der von Avast zu sein. http://www.avast.com/i_idt_171.html
Er hat auch eine schoene GUI! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
11.11.2003, 09:33
Member
Beiträge: 78 |
#13
Wie kommst Du bitte darauf das der Cleaner von AntiVir nicht funktioniert? Hast Du den selber ausprobiert oder wie? Und danach den von Avast und der hatte den Wurm doch (angeblich) gefunden oder wie kommst Du zu dieser Behauptung? Bist Du schon auf die Idee gekommen das der von Avast vielleicht nicht funktioniert, was ich natürlich auch nicht weis!
Hast Du ein Link der Deine Behauptung stützt?? |
|
|
||
11.11.2003, 12:19
Moderator
Beiträge: 7805 |
#14
Ich haette es wohl genauer beschreiben sollen. Vieleicht haette ich sagen sollen, das der Cleaner etwas buggy ist. Ich habe das Tool genutzt, um einen Win98 Rechner von dem Virus zu befreien. Dabei fiel auf, das ein "avprtool c:" oder "avprtool c:\" nicht funktionierte, gescannt wurde nicht, nur der Virus aus dem Speicher entfernt. Er wollte gerne den genauen Verzeichnissnamen. Ich musste alle einzeln angeben. Das entfernen klappte soweit ich das beurteilen kann gut! Nur musste ich die/den Eintraege (syspath)in der Registrierung nachher per Hand noch loeschen
__________ MfG Ralf SEO-Spam Hunter Dieser Beitrag wurde am 11.11.2003 um 12:20 Uhr von raman editiert.
|
|
|
||
11.11.2003, 13:27
Member
Beiträge: 78 |
#15
Oh gut, dann habe ich dich einfach nur mißverstanden!
|
|
|
||
Sober ist ein klassischer Internet-Wurm, der sich über eMails
verbreitet. Infizierte eMails können verschiedene Betreffzeilen,
Texte in Englisch und in Deutsch sowie Namen und Erweiterungen (PIF,
BAT, SCR, COM, EXE) der angehängten Dateien enthalten, was seine
Identifizierung nach äußeren Merkmalen deutlich erschwert.
Beispiel:
Betreff: New Sobig-Worm variation (please read)
Textkörper: New Sobig variation in the net. You must change any
settings before the worm control your computer! But, read the official
statement from Norton Anti Virus!
Name der angehängten Datei: NAV.pif
Wenn der Anwender unvorsichtig genug war, die angehängte Datei
einer infizierten Mail zu öffnen, lässt Sober eine falsche
Warnmeldung auf dem Bildschirm erscheinen:
File not complete!
Danach erstellt der Wurm im Windows-Systemverzeichnis drei Kopien von
sich mit verschiedenen Namen und registriert sie im
Registrierschlüssel des Betriebssystems. Danach startet Sober seine
Verbreitungsprozedur. Dazu sucht er im infizierten Rechner zunächst
nach Dateien, welche eMail-Adressen enthalten können (z.B. HTML,
WAB, EML, PST) liest die Daten und verschickt vom Inhaber des Rechners
unbemerkt in dessen Namen Kopien von sich an die gefundenen Adressen.
Der Wurm enthält in seinem Körper Strings, in denen der Autor
von Sober seine Begeisterung für den Autoren eines anderen
Internet-Wurms, Sobig, äußert.