Sie sind nicht angemeldet.

Virenwarnung: W32.Sober.N@mm

Lieber Besucher, herzlich willkommen bei: CLH - Hoerspielforum und mehr. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

Sledge_Hammer

Ex- Sledge Hammer

  • »Sledge_Hammer« ist der Autor dieses Themas

Beiträge: 5 610

Wohnort: wilder süden

  • Nachricht senden

1

Donnerstag, 21. April 2005, 21:52

W32.Sober.N@mm

Zitat


Name: W32.Sober.N@mm/W32.Sober.N@mm!dr
Alias: Worm/Sober.O, WORM_SOBER.N, W32/Sober.o@MM, W32/Sober-M
Art: Wurm
Größe 73.541 Bytes (ZIP-Datei)
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmailing, Netzwerk
Verbreitung: hoch (Deutschland)
Risiko: mittel
Schadensfunktion: Massenmailing, Beenden von Sicherheitsprogrammen
Spezielle Entfernung: keine
bekannt seit: 18.04.2005
Beschreibung
Allgemeines

W32.Sober.N@mm (Sober) ist ein Internetwurm, der sich per Massenmailing mit seiner eigenen SMTP-Maschine verbreitet. Bei der Versendung von E-Mails verwendet der Wurm E-Mail-Adressen, die er auf dem befallenen System findet. Er beendet Prozesse von Sicherheitsprogrammen. Der Text dieser E-Mail ist in deutscher oder in englischer Sprache verfasst.
Infektion

Bei der Ausführung der angehängten Datei einer infizierten E-Mail wird der Computer infiziert:

Es werden folgende Dateien erzeugt:

* %Windir%\config\system\services.exe
* %Windir%\config\system\zipped.wrm
* %Windir%\config\system\maddys.xyz
* %Temp%\<file name>.txt

Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.

Dem Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run
wird der Wert: "SystemCheck" = "%Windir%\config\system\services.exe" zugewiesen.

Dem Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
wird der Wert:"_SystemCheck" = "%Windir%\config\system\services.exe" zugewiesen.

Mit Hilfe dieser beiden Schlüssel in der Windows-Registrierung wird der Wurm bei jedem Systemstart aktiviert.

Sober untersucht den infizierten Computer nach E-Mail-Adressen und versendet sich mit gefälschtem Absender an diese gefundenen Adressen. Außerdem versucht der Wurm, Verbindungen zu mehreren Internetseiten aufzubauen. Besteht keine Verbindung zum Internet, versucht Sober Wählverbindungen zum Internet zu aktivieren. Der Wurm öffnet die Datei %Temp%\<file name>.txt mit Notepad.exe (Editor).


Verbreitungsart

Er versendet sich selbst als Anhang einer E-Mail. Die Absenderadresse ist mit den gefundenen Adressen gefälscht (Mehr Informationen zu gefälschten Absendern). Sober.N versendet sich sowohl mit deutschem, als auch mit englischem Text.

Von … <Absender gefälscht>

Betreff:

* FwD: Ich bin's nochmal
* I've_got your EMail on my_account!

Nachrichtentext:

Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.
Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode
blamieren!
Ich melde mich.
Bis bald ;)

Hello,
First, Very Sorry for my bad English.
Someone is sending your private e-mails on my address.
It's probably an e-mail provider error!
]-f
At time, I've got over 10 mails on my account, but the recipient are you.
I have copied all the mail text in the windows text-editor for you &
zipped then.
Make sure, that this mails don't come in my mail.box again.
bye

Anhang:

* Private_Texte.zip (deutsche E-Mail)
* your_text.zip (englische E-Mail)

Grafik zur E-Mail von W32.Sober.N@mm.

Schadensfunktion

* Massenmailing
* Beenden von Prozessen verschiedener Schutzprogramme.

Hinweis:

Eine weitere Variante von W32.Sober.N@mm ist seit dem 20.04.2005 im Umlauf und wird als W32.Sober.N@mm!dr erkannt.

Diese Variante besitzt einen Anhang mit dem Namen "mail-dokumente.zip" die Größe ist 83.939 Bytes.

Bei Ausführung von W32.Sober.N@mm!dr werden folgende Dateien erzeugt:

%windir%\fhryyyfq.exe

%windows%\config\system\maddys.xyz

%windows%\config\system\services.exe



Die Datei fhryyyfq.exe wird automatisch ausgeführt und erzeugt den Wurm W32.Sober.N@mm.

Hinweise zum Betreff Inhalt und dem Anhang in folgender Grafik:

Entfernung

Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:

* der laufende Prozess blockiert die Datei
* Windows schützt das Verzeichnis, in dem sich das Programm befindet

Vorgehensweise der Entfernung

1. Update der Viren-Signaturen des Viren-Schutzprogramms
2. Systemwiederherstellung von Windows Me/XP deaktivieren
3. Start des Computers in den abgesicherten Modus
4. Entfernung des Wurms mit dem Viren-Schutzprogramm
5. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
* infizierte Dateien löschen
* Einträge aus der Windows-Registrierung entfernen
6. normaler Systemstart
7. Systemwiederherstellung (Me/XP) aktivieren



quelle: bse... äh nein, ich meine bsi :D
Eingeschränkter Winterdienst. Betreten auf eigene Gefahr!


Dieser Beitrag wird 155 mal editiert werden, das letzte Mal von Sledge_Hammer: 05.08.2012, 10:37.