Thema: Sober-Wurm tarnt sich als Benachrichtung zur WM-Ticket-Auslosung

[SiLæncer]

Seit wenigen Minuten kursiert eine neue Version des Sober-Wurms, die unter anderem als eine in deutsch verfasste Benachrichtigung über ein gewonnenes Ticket zur Fußball-WM 2006 daherkommt. Daneben tragen die Nachrichten auch Betreffzeilen wie: "Ich bin's, was zum Lachen", "Mail-Fehler", "Ihr Passwort" und "Ihre E-Mail wurde verweigert." Die Absenderadressen der Mails sind wie üblich gefälscht.

Bislang erkennen ihn nur wenige Virenscanner anhand einer generischen Signatur. Im Anhang der Mails befinden sich ZIP-Archive, in denen sich der Wurm (Winzipped-Text_Data, autoemail.txt und weitere) als PIF, EXE oder mit einer anderen Endung für ausführbare Dateien befindet. Ob der Schädling sich nur verbreitet oder auch eine Schadfunktion in sich trägt, konnte noch nicht festgestellt werden.

Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und welche Einstellungen vorgenommen werden sollten.

Quelle und Links : http://www.heise.de/newsticker/meldung/59225

-----------------------

Hab natürlich auch ne E-Mail bekommen - und noch eine etc......  

[SiLæncer]

Die Hersteller von Antivirensoftware haben den neuen Schädling in ihre Signaturdatenbanken aufgenommen und erkennen ihn als Sober.O, .P, .N oder S. Eine Schadroutine trägt der Wurm nach bisherigen Erkenntnissen nicht in sich, er öffnet auch keine Hintertüren auf befallenen PCs.

[2. Update]:
Mittlerweile sieht sich auch das Organisationskomitee der Fußball-Weltmeisterschaft 2006 zu einer Reaktion auf den Wurm veranlasst, da er rasante Ausbreitung zumindest in Deutschland findet und das auf Grund des komplizierten und undurchsichtigen Karten-Vergabeverfahrens angekratze Image der Organisation weiter zu beschädigen droht. "Ticketkäufer, die bei der zweiten Verkaufsphase am 2. Mai 2005 erfolgreich waren, erhielten ihre erste Bestätigung direkt während des Bestellvorganges online", erklärte das Komitee in einer Warnung vor dem Wurm. Die per E-Mail versandten Bestätigungen des OK FIFA WM 2006 hätten zudem keinen Anhang enthalten. "Ticket-Besteller, die sich an der ersten Verkaufsphase der WM-Tickets beteiligt hatten, waren bereits am 22. April 2005 benachrichtigt worden." Spätere Benachrichtigungen seien ausgeschlossen.

Quelle : http://www.heise.de

[SiLæncer]

Der Ausbruch des Mass-Mailing-Wurms Sober.O beeinträchtigt zurzeit das interne Computersystem des Organistionskomitees (OK) der Fußball-WM 2006, erklärte Jens Grittner, Pressesprecher des OK. Die Vergabe oder Bestellung der Tickets sei davon allerdings nicht betroffen.

Zurzeit ist der Internet-Auftritt des OK (www.ok2006.de) nicht zu erreichen. Wahrscheinlich dürften eher Nachfragen verunsicherter Kartengewinner die Ursache sein, die ihre Mails an WM-Ticket@ok2006.de schicken und somit zur Überlastung des Netzes führen. Dass der Wurm selbst Urheber der Störungen ist, hat bislang auch noch kein Hersteller von Antivirensoftware bestätigt: Eine Funktion für eine DoS-Attacke ist im Code bislang nicht zu entdecken gewesen. Auch Schadfunktionen oder Code zur Installation einer Hintertür auf den befallenen Systemen ist in dem Wurmcode nicht zu entdecken.

Auch die offizielle Telefonnummer des OK ist mittlerweile "verbrannt". Dort ist nur noch eine automatische Ansage zu hören, die vor dem neuen Mail-Wurm warnt. Ungewolltes Opfer des Durcheinanders ist auch der Bundesverband Finanzdienstleistungen e.V. (FiFa), der unter der Domain fifa.de seine Inhalte präsentiert. Sober.O trug als Absender unter anderem die Adresse Ticket@fifa.de, obwohl der Fußballverband eigentlich nur unter fifa.com zu erreichen ist.

Wie stark sich der Wurm insgesamt verbreitet hat, ist noch nicht abzusehen. Allerdings kann man ihn bereits jetzt zu den größeren Ausbrüchen der letzten Monate zählen. Der Mailfilter der c't-Redaktion hat von heute Nacht 0 Uhr bis 16 Uhr immerhin fast 4000 infizierte Mails abgefangen.

Auch bei Sober.O gilt wie bei früheren Würmern: Anwender sollten auf keinen Fall verdächtige Anhänge von E-Mails öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und welche Einstellungen vorgenommen werden sollten.

Quelle und Links : http://www.heise.de/newsticker/meldung/59259

[Warpi]

Mittlerweile werden meine Postfächer damit "genervt"  

F-PROT ANTIVIRUS (Linux)
Program version: 4.5.3
Engine version: 3.16.1

VIRUS SIGNATURE FILES
SIGN.DEF created 3 May 2005
SIGN2.DEF created 3 May 2005
MACRO.DEF created 2 May 2005

/home/warpi/viren/account_info.zip->Winzipped-Text_Data.txt.pif  Infection: W32/Sober.O@mm
/home/warpi/viren/autoemail-text.zip->Winzipped-Text_Data.txt .pif  Infection: W32/Sober.O@mm
/home/warpi/viren/okTicket-info.zip->Winzipped-Text_Data.txt .pif  Infection: W32/Sober.O@mm

[SiLæncer]

Nicht nur deine .....

Hab den jetzt in verschiedenen Versionen bestimmt schon so an die 40-50 Mal bekommen...  

[Gasoline-Dream]

Da frage ich mich immer warum ich sowas nie bekomme? Wahrscheinlich weil mich kein Schwein kennt...  

Axel

[Warpi]

Da frage ich mich immer warum ich sowas nie bekomme? Wahrscheinlich weil mich kein Schwein kennt...  

Axel

Ich denke mal das liegt daran das einige meiner Postfächer öffentlich sind.
Dieser Wurm stellt zwar für Linux keine Gefahr dar, aber nervig ist das trotzdem.

@Silencer: Mal sehen was sich über Nacht noch so ansammelt.

[Jürgen]

transwarp hat sicher Recht, hier kommt nämlich auch nix derartiges an, obwohl eines meiner Konten immer noch gelegentlich von Spam betroffen, also eigentlich verbrannt ist.
Allerdings kann mich so'n Schmutz eh' nicht treffen, kein Interesse an Online-Banking, Fussball, Genital-Dilatation usw. ...

Also - wie immer - die üblichen Hinweise:
Es gibt genug kostenlose E-Mail-Provider, jeder kann sich mehrere Konten einrichten und dann sauber nach Anwendungen trennen. Ein Konto darf nie zugleich für Internet-Zwecke und wichtige  Dinge verwendet werden. Auch sollte eine Konto-Bezeichnung nie so kurz sein, dass sie (von Menschen oder Computern) leicht zu erraten ist. Eine Antwort auf falsch zugestellte Mails darf NIEMALS erfolgen, die dient nur der Verifikation gültiger Kontonamen für die Missetäter.
Die Computer der Provider machen solche Fehler nicht, Menschen, die zu blöd sind, an den richtigen Adressaten zu schicken, dürfen auch keine Reaktion erhalten.

Und noch einmal, es ist technisch überhaupt kein Problem, Mails mit falschen Absendern zu verschicken !!!
Ein eigentlich harmloses Beispiel:
http://www.vis-technik.bayern.de/de/left/service/service-ix.htm
--> Versenden

Blieb beim ersten Versuch in den GMX-Filtern hängen, da in der Spam-Server-Liste...
Nutzt sowieso nix, denn versendet wird nur ein Link auf die Seite mit einem selbst zu erstellenden Kommentar. Allerdings mit dem dort eingegebenen und wohl nicht geprüften Absender...

Also, Leute, traut dem PC nie weiter, als Ihr ihn schmeissen könnt!

[Warpi]

Nur die öffentlichen Konten vom Musikclub (Website) sind betroffen.
Auf den privaten ist Ruhe. Zum Beispiel leistet Mozilla - Thunderbird gute Dienste den "mach ihn grösser / Viagra Müll" wegzufiltern. Auch wird hier nicht ungefragt eine Empfangsbestätigung verschickt. Nach der Wurmschwemme 2003 betreibe ich meine Internetgeschichten nur noch unter Linux. Hier ist man noch relativ sicher. Damals wurden die Konten des Musikclubs regelrecht von den Firmenrechnern eines Bekannten (unwissentlich) "bombardiert".

[SiLæncer]

Der derzeit grassierende Wurm Sober.O hat nach Auskunft des Bundesamtes für Sicherheit in der Informationstechnik (BSI) doch Schadfunktionen. Das BSI hat seine Wurmbeschreibung dazu aktualisiert. So schaltet er einige Virenschutz-Programme ab und löscht insbesondere Dateien der Anti-Viren-Produkte von Symantec. In der Folge ist die Aktualisierung des Programms und der Signaturen nicht mehr möglich. Zudem verhindert der Wurm den Start verschiedener Entfernungs-Tools, indem er nach dem Namen solche Programme in der Prozessliste sucht.

Einige Hersteller haben darauf bereits reagiert und den Namen ihrer Tools geändert. So hat etwa McAfee den Dateinamen seines Werkzeugs Stinger kurzfristig auf ST1NGER.EXE umgestellt, in dem das "i" durch eine "1" ersetzt ist. Die Idee fand das Internet Storm Center allerdings nicht so gut und wies McAfee darauf hin, dass auch Angreifer solche Tricks etwa für Servernamen (paypa1.com) nutzten, um Anwender zu verwirren. McAfee bietet Stinger nun als s-t-i-n-g-e-r.exe zum Download an.

Zudem schaltet Sober die Windows XP-Firewall und das automatische Update von Windows ab. Diese Schadensfunktion soll allerdings erst nach einem Neustart des infizierten Computers zu bemerken sein. Ohne funktionierende Firewall bieten PCs, die nicht über einen Router oder ähnliches ans Internet angebunden sind, unter Umständen ein leichtes Ziel für weitere Angriffe.

Dass Sober.O zu einem recht massiven Wurm-Ausbruch führte, belegen auch die Zahlen des BSI. So fing man im Bereich der Bundesbehörden seit dem gestrigen Dienstag rund 400.000 infizierte Mails ab.

Quelle und Links : http://www.heise.de/newsticker/meldung/59299

[Warpi]

Nicht als Admin arbeiten !
Man kann es nicht oft genug wiederholen.

Nur als Admin hat man genügend Rechte, die Windows - Firewall oder den
Virenkiller-Service abzuschalten ...