Thema: Sober-Wurm-Welle reißt nicht ab

[SiLæncer]

Trend Micro warnt vor einem Mail-Wurm aus der Mytob-Familie, der sich auch in Deutschland verbreitet.

Der Antivirus-Hersteller Trend Micro hat eine mittlere Warnstufe für den Wurm "MYTOB.MX" heraus gegeben. Das ist die gleiche Warnstufe, die das Unternehmen für die in dieser Woche verbreitete Variante des Sober-Wurms angesetzt hat. Trend Micro hat nach eigenem Bekunden Erkenntnisse, dass sich der Wurm derzeit in Osteuropa, Deutschland, Spanien und Österreich ausbreitet.

Der als " WORM_MYTOB.MX " bezeichnete Schädling verbreitet sich per Mail sowie über P2P-Netze und Freigaben im Netzwerk. Ferner nimmt er Kontakt mit IRC-Servern auf und holt sich dort neue Anweisungen. Er verwandelt den infizierten PC zudem in einen FTP-Server.

Die Mails kommen mit englischem Betreff, zum Beispiel: "Important Notification", "Your Account is Suspended" oder "Your new account password is approved" und ähnliche. Der Text der Mails weist ebenfalls auf einen angeblichen Vorgang in Zusammenhang mit den Benutzerkonto des Empfängers hin.
Angehängt ist eine ZIP-Datei, die den Wurm enthält. Sie kann eine Reihe von Namen haben, etwa "account-details.zip", "email-password.zip" oder "updated-password.zip".

Der Wurm selbst hat eine Dateigröße von 53.760 Bytes, der Dateiname enthält eine doppelte Dateiendung, zusammengesetzt aus DOC, HTM, TXT, TMP sowie EXE, PIF, SCR, BAT, CMD (Beispiel: "password.txt.pif"). Typisch für Mytob-Würmer ist eine größere Zahl von Leerzeichen zwischen beiden Endungen.

Wird der Schädling ausgeführt, legt er eine Datei namens "syst.exe" im System-Verzeichnis von Windows an. Dabei handelt es sich um ein Trojanisches Pferd, das Trend Micro als " TROJ_MONURL.D " bezeichnet.
Er legt ferner diese Registry-Einträge an:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Debugger = \dbg32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Debugger = \dbg32.exe

Es gibt jedoch zunächst keine dementsprechende Datei auf dem PC, vermutlich handelt es sich hier um eine Vorbereitung für einen später zu installierenden Schädling.

Bei McAfee wird dieser Wurm als " W32/Mytob.he@MM " geführt, bei Kaspersky als "Net-Worm.Win32.Mytob.do", F-Prot meldet ihn als "W32/Mytob.PL@mm". Die Zahl der bisherigen Infektionen wird als eher gering angesehen, die Einstufung durch Trend Micro als mittleres Risiko basiert vor allem auf dem hohen Schadens- und Verbreitungspotenzial.

Quelle und Links : http://www.pcwelt.de/news/sicherheit/124985/index.html

[SiLæncer]

Nach Angaben einiger Hersteller von Antivirensoftware könnte der immer noch sehr aktive "BKA-Wurm" Sober.Z am 5. Januar 2006 weitere Funktionen nachladen, um neue Aufgaben zu erledigen. Auf die gleiche Weise mutierte auch der "WM-Ticket-Wurm" Sober.O im Mai vor der Landtagswahl in Nordrhein-Westfalen zum Spam-Roboter, um Mails mit rechtsgerichteten Inhalten zu versenden. Sober.G versuchte Mitte 2004 ebenfalls vor einer Landtagswahl mit Nazi-Spam Stimmung zu machen.

Ob Sober.Z das gleiche Ziel hat, ist derzeit unklar, da auf den Nachlade-Servern noch keine Inhalte oder Programme hinterlegt sind. Allerdings ist der 5. Januar der Jahrestag der Gründung der Deutschen Arbeiterpartei (DAP), die sich kurz darauf in NSDAP umbenannte. Der Zeitpunkt legt also den Schluss nahe, dass auch die kommenden Aktionen von Sober darauf ausgelegt sind, das Netz mit Mails rechtsgerichteten Inhalts zu fluten -- sofern das Nachladen nicht verhindert wird.

Dass dies geht, bewies im Mai dieses Jahres das Bundesamt für Sicherheit in der Informationstechnik (BSI) zusammen mit den Betreibern der bekannten Internet-Domainnamen. Durch das Blockieren der Domains liefen die Nachladeversuche des Spam-Trojaners Sober.Q ins Leere. Ob das BSI und die Betreiber auch diesmal Vorbereitungen treffen, ist nicht bekannt.

Quelle und Links : http://www.heise.de/newsticker/meldung/67146

[SiLæncer]

Der weit verbreitete Sober.Z-Wurm, der auch unter dem Namen BKA-Wurm bekannt wurde, soll nach Analysen der Antivirenhersteller ab dem morgigen Freitag, dem 6. Januar, versuchen, weiteren Schadcode aus dem Netz nachzuladen. Schon ältere Sober-Varianten haben Online-Updates durchgeführt: Der "WM-Ticket-Wurm" Sober.O etwa versendete nach seiner automatischen Aktualisierung kurz vor der Landtagswahl in Nordrhein-Westfalen im Mai vergangenen Jahres Nazi-Spam.

Welche Schadfunktionen das Sober.Z-Update mit sich bringt, ist derzeit noch unbekannt. Es könnte wieder zu Massenmails führen oder aber einen neuen Wurm beispielsweise mit Hintertür-Funktionen nachladen. Bei den E-Mails, die ab morgen in die Postfächer eintrudeln, ist daher besondere Aufmerksamkeit geboten.

Gegenüber US-Medien äußerten sich jedoch Vertreter aus der Antivirenindustrie, dass die Wahrscheinlichkeit sehr gering sei, dass das Nachladen Erfolg haben werde. So wird Mikko Hyppönen, Direktor von F-Secure, zitiert: "Die Attacke könnte gänzlich ausfallen. Da jeder um den Angriff weiß, könnte der Virenautor in Deckung gehen und zu einem späteren Zeitpunkt zuschlagen." Die betroffenen Internet-Provider könnten etwa Uploads zu den bekannten URLs blockieren.

Netzwerkadministratoren sowie Anwender, die über einen Router online gehen, können als präventive Maßnahme die bisher erkannten URLs für den Zugriff sperren. Sober.Z nutzt laut F-Secures Blog-Eintrag folgende Adressen zum Download weiteren Schadcodes:

people.freenet.de/zmnjgmomgbdz/
people.freenet.de/smtmeihf/
people.freenet.de/qisezhin/
people.freenet.de/fseqepagqfphv/
people.freenet.de/urfiqileuq/
people.freenet.de/wjpropqmlpohj/
people.freenet.de/mclvompycem/
scifi.pages.at/zzzvmkituktgr/
home.pages.at/npgwtjgxwthx/
free.pages.at/emcndvwoemn/
home.arcor.de/ocllceclbhs/
home.arcor.de/dixqshv/
home.arcor.de/srvziadzvzr/
home.arcor.de/nhirmvtg/
home.arcor.de/jmqnqgijmng/

In seltenen Fällen soll der Algorithmus zur Adressberechnung noch weitere URLs liefern:

people.freenet.de/mookflolfctm/
people.freenet.de/aohobygi/
people.freenet.de/wlpgskmv/
people.freenet.de/svclxatmlhavj/
people.freenet.de/jpjpoptwql/
people.freenet.de/iohgdhkzfhdzo/
people.freenet.de/eetbuviaebe/
scifi.pages.at/vvvjkhmbgnbbw/
home.pages.at/twfofrfzlugq/
free.pages.at/sfhfksjzsfu/
home.arcor.de/qlqqlbojvii/
home.arcor.de/fulmxct/
home.arcor.de/fowclxccdxn/
home.arcor.de/lnzzlnbk/
home.arcor.de/rprpgbnrppb/
people.freenet.de/iufilfwulmfi/
people.freenet.de/xbqyosoe/
people.freenet.de/nkxlvcob/
people.freenet.de/svclxatmlhavj/
people.freenet.de/bnymomspyo/
people.freenet.de/jbevgezfmegwy/
people.freenet.de/gdvsotuqwsg/
scifi.pages.at/eveocczmthmmq/
home.pages.at/doarauzeraqf/
free.pages.at/hsdszhmoshh/
home.arcor.de/dyddznydqir/
home.arcor.de/iyxegtd/
home.arcor.de/oakmanympnw/
home.arcor.de/riggiymd/
home.arcor.de/jhjhgquqssq/

Durch das Protokollieren von Zugriffsversuchen auf diese Internet-Adressen könnte es möglich sein, infizierte Rechner im Netzwerk zu identifizieren, um sie zu entseuchen oder besser gleich neu aufzusetzen.

Siehe dazu auch:

    * Vermeintliche Wurm-Mail der Polizei führt zu Selbstanzeige auf heise Security
    * "BKA-Wurm" Sober.Z lädt im Januar nach auf heise Security
    * Das BSI warnt: "Computerwurm Sober verbreitet sich rasant weiter" auf heise Security
    * Neuer Sober-Wurm tarnt sich als Mail des Bundeskriminalamts auf heise Security

Quelle und Links : http://www.heise.de/newsticker/meldung/67987

[SiLæncer]

Wie erwartet hat der "BKA-Wurm" Sober.Z heute Nacht seine Verbreitung per Mail weitgehend eingestellt und versucht stattdessen, Dateien von verschiedenen Webservern nachzuladen. Allerdings ist unter den dafür vorgesehenen URLs noch nichts hinterlegt, sodass der Nachladeversuch scheitert.

Dennoch ist weiter Vorsicht geboten, da jederzeit damit zu rechnen ist, dass der Wurm-Autor neue Inhalte auf den Servern hinterlegt, um Sober mit neuen Funktionen auszustatten. Ob und wann dies geschieht, ist aber nicht zu sagen. Eventuell wird der Autor erst dann wieder aktiv, wenn sich der Trubel um Sober wieder gelegt hat.

Quelle : www.heise.de

[SiLæncer]

Der Mail-Wurm Sober macht derzeit wieder das Internet unsicher. Anders als Ende des Jahres 2005, bei dem Sober die Postfächer von Anwendern reichlich füllte, plätschert der Mail-Strom derzeit aber nur. Der Schädling kommt als gezippter Anhang in Mails daher, die eine Passwörtänderung "Ihr Passwort wurde geaendert!" oder eine Kontoeinrichtung "Ihr Account wurde eingerichtet!" oder einen Übertragungsfehler "Fehlerhafte Mailzustellung" ankündigen. Die Absender sind natürlich gefälscht und geben vor, dass die Nachricht von Microsoft stamme.

Beim Test eines Samples erkannten am gestrigen Donnerstagmorgen nur AntiVir, Avast und F-Prot den Schädling als Sober.AT, ein am heutigen Freitag, 11 Uhr, durchgeführter Test brachte die gleichen Resultate. Die dürftige Erkennung könnte aber auch darauf zurückzuführen sein, dass offenbar viele Mails nur defekte Anhänge mit sich tragen. Von heise Security untersuchte Exemplare ließen sich entweder nicht aus dem Archiv entpacken oder unter Windows nicht starten. Andere Berichte deuten jedoch darauf hin, dass durchaus funktionierende Exemplare im Netz unterwegs sind. Diese werden offenbar aber von vielen Virenscannern bereis erkannt.

Dennoch sollten Anwender beim Empfang von Mails mit daran angehängten Dateien vorsichtig sein und im Zweifel die Mail lieber löschen.

Quelle : www.heise.de