[Vorsicht] Sober, ein neuer Wurm

#1 Sober singt Sobig eine Ode

Sober ist ein klassischer Internet-Wurm, der sich über eMails
verbreitet. Infizierte eMails können verschiedene Betreffzeilen,
Texte in Englisch und in Deutsch sowie Namen und Erweiterungen (PIF,
BAT, SCR, COM, EXE) der angehängten Dateien enthalten, was seine
Identifizierung nach äußeren Merkmalen deutlich erschwert.

Beispiel:

Betreff: New Sobig-Worm variation (please read)

Textkörper: New Sobig variation in the net. You must change any
settings before the worm control your computer! But, read the official
statement from Norton Anti Virus!

Name der angehängten Datei: NAV.pif

Wenn der Anwender unvorsichtig genug war, die angehängte Datei
einer infizierten Mail zu öffnen, lässt Sober eine falsche
Warnmeldung auf dem Bildschirm erscheinen:

File not complete!

Danach erstellt der Wurm im Windows-Systemverzeichnis drei Kopien von
sich mit verschiedenen Namen und registriert sie im
Registrierschlüssel des Betriebssystems. Danach startet Sober seine
Verbreitungsprozedur. Dazu sucht er im infizierten Rechner zunächst
nach Dateien, welche eMail-Adressen enthalten können (z.B. HTML,
WAB, EML, PST) liest die Daten und verschickt vom Inhaber des Rechners
unbemerkt in dessen Namen Kopien von sich an die gefundenen Adressen.

Der Wurm enthält in seinem Körper Strings, in denen der Autor
von Sober seine Begeisterung für den Autoren eines anderen
Internet-Wurms, Sobig, äußert.

#2 Hallo!

Hier weitere Infos von Trend Micro

Hier klicken

und von Symantec

Hier klicken

#3 checkt besser auch noch hier:

perComp ( http://www.f-prot.de/virusinformationen.html --> "neue Viren", erster ganz oben)

Von dem Virus gibt es sehr viele Abwandlungen, und TREND MICRO z.b. erkennt ihn in seinem Pattern vom 27.10. nich nicht...

#4 [MS/Generic] E-Mail-Wurm gibt sich unter anderem als
Virenentfernungswerkzeug oder Spambeschwerde aus
(2003-10-28 19:22:27.764276+01)
Quelle: http://www.symantec.com/avcenter/venc/data/w32.sober@mm.html

Derzeit verbreitet sich ein neuer E-Mail-Wurm, der z.T. deutsche
Betreffzeilen und Textkörper in die Nachrichten schreibt, mittels
denen er sich verbreitet. Im Anhang befindet sich der eigentliche
Wurm, der ein System infiziert, wenn der Benutzer das Attachment
öffnet.

Betroffene Systeme
* Microsoft Windows (praktisch alle Versionen)

Einfallstor
E-Mail Attachment

Auswirkung
* massive Weiterverbreitung des Wurmes
* Derzeit in Umlauf befindliche Versionen haben keine wirklich
gefährliche Schadfunktion.
* Der Wurm kopiert sich in das Systemverzeichnis
+ C:\Windows\System32 (Windows 95, 98, Me, XP, Server 2003)
+ C:\Winnt\System32 (Windows NT, 2000)
des beherbergendnen Rechnersystems unter einem der folgenden
Namen:
+ drv.exe
+ similare.exe
+ systemchk.exe
+ systemini.exe
+ winreg.exe
+ filexe.exe
+ sysrunll.exe
* Außerdem erzeugt er entsprechende Einträge in den Registry-Keys
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run
+ HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\R
un
um sicherzustellen, bei jedem Systemboot getartet zu werden.
* Der Wurm erzeugt eine Datei mit dem Namen
+ C:\Windows\System32\Macromed\Help\Media.dll (Windows 95, 98,
Me, XP, Server 2003)
+ C:\Winnt\System32\Macromed\Help\Media.dll (Windows NT, 2000)

Typ der Verwundbarkeit
E-Mail-Wurm

Gefahrenpotential
mittel
(Hinweise zur [1]Einstufung des Gefahrenpotentials.)

Infektion
* Ausführung/Öffnen des E-Mail-Anhangs

Weiterverbreitung
* Versenden von E-Mail-Nachrichten mit Attachment, in dem sich der
Wurm befindet mittels eigener SMTP-Engine

Beschreibung
Der Wurm W32.Sober@mm verbreitet sich via E-Mail. Er sendet sich
selbst im Anhang einer Nachricht, die eine deutsch- oder
englischsprachige Betreffzeile und Nachrichtenkörper enthalten kann.
Durch Ausführung (bei standardmäßig konfigurierten Systemen genügt
i.A. das Öffnen) des in Visual Basic geschriebenen und mit UPX
komprimierten Wurmcodes im Anhang durch den Benutzer installiert sich
der Wurm auf dem beherbergenden Rechnersystem und durchsucht es nach
E-Mail-Adressen. Der Wurm besitzt seine eigene SMTP-Engine, die zum
Verschicken der Nachrichten an die gefundenen Adressen verwandt wird.
Der Wurm fälscht die Absenderadresse dieser Nachrichten.

Gegenmaßnahmen
Entfernung des Wurmes:
1. Deaktivieren Sie die Wiederherstellung systemkritischer Dateien
unter Mirosoft Me und Windows XP, da sie bei der erfolgreichen
Entfernung des Wurmes stören kann.
Information zu diesem Schritt finden sich unter:
+ [2]How to Enable and Disable System Restore (Windows Me)
+ [3]Frequently Asked Questions Regarding System Restore in
Windows XP
2. Fahren Sie das System herunter und starten Sie es erneut im Safe
Mode oder VGA Mode
3. Entfernen Sie die o.g. Dateien aus dem Systemverzeichnis
4. Entfernen Sie die o.b. Einträge aus den Registry-Keys
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run
+ HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\R
un
5. Starten Sie das System neu.

Sobald Updates für die verschiedenen Antivirusprogramme verfügbar
sind, sollten folgende Schritte durchgeführt werden:
1. Aktualisieren Sie die Datenbank Ihres Antivirusprogrammes
2. Untersuchen Sie das System mit Ihrem Antivirusprogramm
3. Entfernen Sie alle als infiziert markierten Dateien

Hinweis für Mitglieder der Universität Stuttgart
Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee
Virenscanner, der in der aktuellen Version diesen Virus zuverlässig
erkennt und entfernt. Näheres hierzu erfahren Sie unter
* [4]http://wb.rus.uni-stuttgart.de/AntiVirus/default.asp (Zugriff
nur für Mitglieder der Universität Stuttgart)

Generelle Empfehlung (Wh)
* Führen Sie keinerlei Attachments aus, die sie per Email erhalten
haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus
Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren,
Würmern und trojanischen Pferden. Der beste Schutz ist nach wie
vor ein gesundes Mißtrauen des Benutzers.
* Kein ernstzunehmender Hersteller von System- oder
Antivirussoftware verschickt Werkzeuge zur Entfernung
irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das
RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche
Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine
gefälschte Nachricht handelt.
* Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie
automatisierte Update-Dienste in Anpruch, wenn möglich.

Aliases
Der Wurm ist unter folgenden Namen bekannt:
* W32/Sober@MM [McAfee]
* I-Worm.Sober [Kaspersky]
* W32/Sober-A [Sophos]
* WORM_SOBER.A [Trend]. Sober [F-Secure]
* W32/Sober.A@mm [Frisk]
* W32.Sober@mm [Symantec]
* W32/Sober.A [Norman]
* Win32/Sober.A [Eset]
* Win32.Sober.A [Computer Associates]

Charakteristika
Eine Zusammenstellung der Charakteristika des W32.Sober@mm-Wurmes ist
in der Web-Version dieses Artikels zu finden:
* [5]RUS-CERT-Meldung#1157: [MS/Generic] E-Mail-Wurm gibt sich unter
anderem als Virenentfernungswerkzeug oder Spambeschwerde aus

Beschrieben sind die derzeit bekannten Betreffzeilen (Subject),
Anhänge (Attachments) und Textkörper (Mail Bodies) sowie weitere
Eigenschaften der Nachrichten, mit denen sich der Wurm verbreitet.

Weitere Information zu diesem Thema
* [6]Wurm W32.Sober tarnt sich als Antiviren-Tool [Update]
* [7]Informationen aus dem BSI: W32.Sober@mm
* [8]McAfee Virus Profile W32/Sober@MM

Aktuelle Version dieses Artikels
[9]http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1157

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der
Universität Stuttgart recherchiert und zusammengestellt. Die
Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte.
Dieser Artikel darf ausschließlich in unveränderter Form und nur
zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis
veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen
an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2003 RUS-CERT, Universität Stuttgart,
[10]http://CERT.Uni-Stuttgart.DE/

References

1. http://CERT.Uni-Stuttgart.DE/ticker/charta.php#Gefaehrdungsstufen
2. http://support.microsoft.com/default.aspx?scid=http://support.microsoft.com:80/support/kb/articles/q264/8/87.ASP
3. http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/winxppro/Plan/FAQSRWXP.asp
4. http://wb.rus.uni-stuttgart.de/AntiVirus/default.asp
5. http://cert.uni-stuttgart.de/ticker/article.php?mid=1157
6. http://www.heise.de/security/news/meldung/41455
7. http://www.bsi.de/av/vb/sober.htm
8. http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=100778
9. http://CERT.Uni-Stuttgart.DE/ticker/article.php?mid=1157
10. http://CERT.Uni-Stuttgart.DE/

----------------------------------------------------------------------

Weitere Nachrichten: http://CERT.Uni-Stuttgart.DE/ticker/
Kommentare & Kritik bitte an Autoren@Lists.CERT.Uni-Stuttgart.DE
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Hallo meine Lieben...

auch bei mir ist der Wurm gelandet... dummerweise habe ich das Attachment geöffnet. Das war am 01.11. - seit dem habe ich aber kurioserweise nach etwa 5 minütiger Internetverbindung [Windows XP Home+DSL (Tiscali)] einen Abbruch dieser Verbindung mit einem Bluescreen. Da steht dann folgende Fehlermeldung:
"Microsoft Windows %System% error#
0000000000x01 4E 00 A2 29 34 F2 12 DB 00 C3
Console %SYSHOST.EXE% lost connection, or blocked by firewall"

Was um Himmels Willen ist denn das, und wie bekomme ich diesen Krampf wieder los, ohne meine Festplatte (unterteilt in C:,D: und E zu formatieren.
Erschwerend kommt da nämlich hinzu, dass ich ein blutiger Anfänger in Sachen PC bin und fast keine Ahnung von dem allem habe.
HILFE!
Bin in einer Existenzgründung und benötige vor allem für den Faxverkehr und Infos eine stetige Internetverbindung (habe Flatrate), habe auch dem zu Folge keine finanziellen Mittel zur Verfügung, das Problem zu beheben. Gibt es denn nicht irgendein Programm zur Austreibung des Wurmes bzw. meines Problems, das auf Basis von P2P oder Freeware zu erhalten ist?
Ich danke schon einmal im Voraus!

Shang

#6 Es gibt mehrere cleaner fuer das Ding. Einen gibt es hier: http://www.antivir.de/vireninfo/sober.htm

Entweder eine Dosbox oeffnen und avprtool c:\ eingeben oder ueber start/ausfuehren avprtool c:\
__________
MfG Ralf
SEO-Spam Hunter

#7 Hallo Ihr!

Ich finde es schön, dass der Informationsfluss hier so schnell funktioniert!
Das musste mal gesagt werden.

Aber ich bin, so glaube ich, einfach zu blöde dazu, den Tipp zu nutzen. Ich bin blutiger Anfänger, man möge Nachsicht mit mir haben...

Ich bin jetzt mittlerweile soweit, meine Festplatte zu formatieren, habe aber Angst davor, Wertvolles und Angesammeltes zu verlieren. Am liebsten wäre es mir, es würde sich einer bereit erklären, zu mir zu kommen und mit mir zusammen das Problem zu beheben oder wenn das nicht klappen sollte, mit einer Axt auf meinen Rechner einzuschlagen...
HEUL!! Ich bin echt am verzweifeln...
Ich kann nicht mehr...

Bitte, bitte hilft mir doch einer...

Ich danke im Voraus,
Shang

#8 Er meint folgendes
Start-> ausführen-> cmd eingeben -> dann Pfad / avprtool.exe eingeben

Ansonsten versuch es mal hiermit
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober@mm.html

Im post von Joschi stand eigentlich alles drin
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#9 Machen wir es doch einfach an einem Beispiel:
1. http://www.antivir.de/dateien/antivir/beta/avprtool.exe nach C:\temp runterladen
2. Start/Ausführen klicken
3. "Cmd" eingeben
4. "cd temp" eingeben
5. "avprtool.exe C:" eingeben
6. Warten
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.

#10 Wo ist jetzt genau das Problem? Was ist der Stand der Dinge?

Im Prinzip mußt nichts anders tun als dieses Tool heruntergeladen und starten, der Rest müßte ganz von alleine vonstatten gehen!

Du mußt auf den Link von diesen Tool klicken und die Datei auf die Festplatte speichern, z. B. unter Eigene Dateien. Danach einfach das Tool doppeltanklicken. Dann öffnet sich ein DOS-Fenster und das Tool sucht den Wurm. Wenn der wie bei mir nichts findet wird die Box geschlossen.

Ich habe den Wurm nicht, deshalb kann ich Dir nicht sagen was passiert wenn der Wurm tatsächlich gefunden wird. Ob die Reinigung voll automatisch abläuft oder ob Du irgendwelche Befehle eingeben mußt oder Dinge mit yes oder no bestätigen mußt weis ich natürlich auch nicht. Deshalb brauchen wir hier Deinen aktuellen Stand der Dinge!!

#11 Eigentlich schon. Nur leider scannt das Tool nicht beim Start. Es verlangt eine Laufwerksangabe. Leider scheint das das einzige Tool zu sein, das den Wurm aus dem Speicher loeschen kann. Ansonsten koennte man es mit anderen Tools im abgesicherten Modus versuchen.
__________
MfG Ralf
SEO-Spam Hunter

#12 Ich muss mich wohl selber korrigieren. Der Antivir cleaner kommt mit dem Wurm auch nicht richtig klar. Der derzeit einzige, der ihn, unter allen Win Versionen entfernen kann, scheint der von Avast zu sein. http://www.avast.com/i_idt_171.html

Er hat auch eine schoene GUI!
__________
MfG Ralf
SEO-Spam Hunter

#13 Wie kommst Du bitte darauf das der Cleaner von AntiVir nicht funktioniert? Hast Du den selber ausprobiert oder wie? Und danach den von Avast und der hatte den Wurm doch (angeblich) gefunden oder wie kommst Du zu dieser Behauptung? Bist Du schon auf die Idee gekommen das der von Avast vielleicht nicht funktioniert, was ich natürlich auch nicht weis!

Hast Du ein Link der Deine Behauptung stützt??

#14 Ich haette es wohl genauer beschreiben sollen. Vieleicht haette ich sagen sollen, das der Cleaner etwas buggy ist. Ich habe das Tool genutzt, um einen Win98 Rechner von dem Virus zu befreien. Dabei fiel auf, das ein "avprtool c:" oder "avprtool c:\" nicht funktionierte, gescannt wurde nicht, nur der Virus aus dem Speicher entfernt. Er wollte gerne den genauen Verzeichnissnamen. Ich musste alle einzeln angeben. Das entfernen klappte soweit ich das beurteilen kann gut! Nur musste ich die/den Eintraege (syspath)in der Registrierung nachher per Hand noch loeschen
__________
MfG Ralf
SEO-Spam Hunter

#15 Oh gut, dann habe ich dich einfach nur mißverstanden!