Thema: Sober-Wurm-Welle reißt nicht ab

[SiLæncer]

"Bitte halten Sie Ihre AntiVirus-Software aktuell." Mit dieser Bitte treten die Hersteller von Sicherheits-Software immer wieder an die Öffentlichkeit, um auf die Gefahren hinzuweisen, die im Internet lauern. Insbesondere neue PC oder Notebooks sind durch Viren, Würmer und Trojaner betroffen, wenn auf ihnen noch keine Schutz-Software installiert ist.

Auch Bagle.AU stark verbreitet

Deutlich macht diesen Missstand die neue Hitliste der Sicherheits-Experten von Sophos. In der für den Monat November neu berechneten Hitliste der am meistverbreitetsten Internet-Schädlinge hat sich der Wurm Sober.I gleich auf den zweiten Platz geschoben. Beachtlich ist dies insbesondere vor dem Hintergrund, dass Sober.I erst in der zweiten Monatshälfte entdeckt wurde. Trotzdem machte er rund 20 Prozent der an Sophos gemeldeten Virus-Reports aus, heißt es. Mit gut 24 Prozent noch effektiver ist weiter Netsky.P, der in unzähligen Versionen im Netz grassiert. Auch das zafi-Wurm, der lange die Hitliste anführte, ist noch sehr aktiv und findet sich auf Platz drei wieder. Ebenfalls neu in der Hitliste ist mit rund elf Prozent der Reports der Wurm Bagle.AU der mit gefährlichen Smiley-E-Mails lockte.

"Sober-I verbreitet sich noch immer mit unterschiedlichen Betreffzeilen und Nachrichten in seiner E-Mail. Viele davon gleichen einer offiziellen Nachricht oder Sicherheits-Meldung. Mit diesem Trick kann man Anwender erfahrungsgemäß leicht überlisten, denn obwohl sie wegen der bekannten Gefahren oft Vorsicht walten lassen, klicken sie den E-Mail-Anhang meist trotzdem an, um mehr über das angebliche Problem zu erfahren. Des Pudels Kern entpuppt sich schnell, denn statt mehr Informationen zu bekommen, gibt es für ungeschützte Anwender einen verseuchten Rechner" so ein Sophos-Sprecher.

Jede 18. Mail verseucht

Sophos identifizierte im vergangenen Monat 1.379 neue Viren. Damit klettert die Gesamtzahl der Viren, die Sophos bis jetzt aufgespürt und gegen die das Unternehmen Schutzsoftware entwickelt hat, auf 97.535. Die Ergebnisse der Analyse zeigen, dass über 5,6 Prozent - beziehungsweise jede 18. Mail - aller versendeten E-Mails im November mit Viren verseucht waren. Im Vergleich zum Vormonat mit 4,6 Prozent stieg die Verseuchung wieder leicht an.

Quelle : www.onlinekosten.de

[SiLæncer]

Sober.J täuscht eine laufende E-Mail-Unterhaltung vor

[/b]

Mit Sober.J verbreitet sich seit dem Wochenende nach einer längeren Ruhephase abermals eine Sober-Variante recht zügig im Internet. Der Wurm versendet sich in einer deutschsprachigen E-Mail und gibt vor, im Anhang Informationen zu einer E-Mail-Unterhaltung zu enthalten. Wie bei aktuellen Würmern üblich, fälscht auch dieser die Absenderadresse und verschleiert somit seine Herkunft.

Der Wurm-Code befindet sich wie üblich in dem mit der E-Mail versendeten Anhang, dessen Name aus verschiedenen Textbausteinen zusammengesetzt wird und zumeist die Endung .zip trägt, aber auch als Exe-Datei daherkommt. Die Inhalte von Betreffzeile und Nachrichtentext sollen dem Empfänger vorgaukeln, dass bisherige E-Mails nicht beantwortet worden seien. Daher würden die bisherigen E-Mails zugeschickt und man möge sich diese doch bitte ansehen. Damit sollen Opfer dazu gebracht werden, die Zip- oder Exe-Datei zu öffnen, was den Rechner durch den Wurm infiziert.

Auf infizierten Systemen trägt sich Sober.J so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Wurm eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Dazu werden die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.

Die Hersteller von Antiviren-Lösungen stellen bereits aktualisierte Signaturdateien für Virenscanner zum Download bereit, so dass man seinen Virenscanner unverzüglich aktualisieren sollte.

Quelle : www.golem.de

[Jürgen]

Der gestern unter ferner liefen gemeldete Wurm Sober.J/.K hat mittlerweile eine höhere Verbreitung erreicht, sodass einige Hersteller von Antivirensoftware seine Einstufung in die Bedrohungsklassen erhöht haben. Der Schädling kommt als Anhang englischer und deutscher Mails und versendet sich mit einer eigenen SMTP-Engine an weitere Rechner. Zusätzlich versucht er von verschiedenen Web-Servern Dateien nachzuladen. Sober.K soll den Beschreibungen zufolge sogar Verbindungen zu POP3-Konten bei GMX aufbauen.

Unterdessen haben sich erste Vermutungen nicht bestätigt, dass der Wurm für die Beeinträchtigung der Erreichbarkeit von heise online verantwortlich ist. Nach Angaben von Dirk Kollberg von McAfee trägt Sober.K die URL http://heise.de in sich, was den Schluss nahe legte, dass der Wurm eine Funktion für DoS-Attacken auf heise online in sich trägt. Allerdings konnte dieses Verhalten in Tests nicht nachvollzogen werden. Ein Angriff per HTTP-Requests, die durch Weiterleitung von heise.de an www.heise.de den Online-Auftritt in Mitleidenschaft zögen, kommt nicht in Betracht, da in den Log-Files keine Häufung dieser Requests festzustellen ist. Alle anderen Angriffsarten auf heise.de beeinflussen www.heise.de nicht, sodass der Wurm als Verursacher ausgeschlossen werden kann.

Siehe dazu auch:

    * Beschreibung W32/Sober.k@MM von McAfee
    * Beschreibung Worm Sober.j von Trend Micro

(dab/c't) Quelle mit Links: http://www.heise.de/newsticker/meldung/55791

[SiLæncer]

Immer noch verschickt der Trojaner Sober.P massenhaft Spam-Mails von infizierten PCs. Als würde das nicht ausreichen, füllen sich die Postfächer der Anwender noch zusätzlich mit Fehlermeldungen von Mail-Servern à la "Delivery has failed".

Das alles aber könnte sich am kommenden Montag, den 23. Mai, schlagartig ändern. So haben die Hersteller von Antivirensoftware unter anderem diesen Zeitpunkt ausgemacht, an der Sober.P mit dem Versenden der Mails aufhört und von diversen Web-Servern neue Programme nachlädt. Was die Programme genau machen werden, weiß derzeit noch niemand. Die Dateien sind bislang noch nicht auf den Servern vorhanden. Anwender sollten auf alles gefasst sein: Denkbar ist, dass der Schädling versucht, weitere Rechner mit einer neuen Sober-Variante zu infizieren, Spam-Mails mit neuen Texten verschickt oder gar befallene Rechner in Bots für großangelegte Angriffe auf Web-Server umfunktioniert.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) versucht laut einer Mitteilung zusammen mit den Betreibern der bekannten Internet-Domainnamen die Präsenzen abzuschalten, damit der Zugriff auf die Dateien scheitert und der neue Angriff ins Leere läuft. Als Schutzmaßnahme empfiehlt das BSI allen Internetnutzern, das verwendete Virenschutz-Programm zu aktualisieren beziehungsweise sich eines zu installieren.

Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und welche Einstellungen vorgenommen werden sollten.

Quelle und Links : http://www.heise.de/newsticker/meldung/59729

[SiLæncer]

Anwender können aufatmen: Die Spam-Flut durch Sober.P/.Q und die vielen durch die Spams ausgelösten Mailserver-Fehlermeldungen ("Delivery Failure") haben vorerst ein Ende. Offenbar waren die Maßnahmen der Provider Arcor, Freenet und Pages in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgreich. Durch das Sperren einiger Web-Seiten kann Sober.Q alias Trojan.Ascetic.C keine weiteren Programme nachladen. Seit dem heutigen Montag, den 23.5., hat der Schädling nämlich seine Spam-Aktivitäten eingestellt und versucht stattdessen, neuen Schadcode auf befallene Systeme zu kopieren. Die Zugriffe auf mehr als ein Dutzend im Wurmcode einprogrammierte URLs laufen allerdings nun ins Leere.

Ab dem 26.5. wechselt der Schädling dann die Liste der URLs und probiert sein Glück aufs Neue. Aber auch diese Seiten sind bereits gesperrt. Bislang ist kein Datum bekannt, an dem der Schädling mit diesen Versuchen aufhört. Welche Überraschungen Sober.Q noch in sich birgt, müssen weitere Tests zeigen. Unter Umständen hat er auch gar kein Verfallsdatum und bleibt weiterhin auf Systemen aktiv. Auch Mail-Würmer wie Netsky.Q/P finden kein Ende. Seit mehr als einem Jahr kursiert der Mass-Mailing-Wurm im Netz. In den Statistiken der abgefangenen Würmer belegt er regelmäßig erste Plätze.

Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und welche Einstellungen vorgenommen werden sollten.

Quelle und Links : http://www.heise.de/newsticker/meldung/59767

[SiLæncer]

Der Computerwurm Sophos hat erreicht, was sein Programmierer vermutlich erreichen wollte. Nach Informationen der Anti-Virus-Spezialisten von Sophos hat Sober.N im Mai gleich die Spitze der internen Top-Ten-Liste derjenigen Viren erklommen, die sich am stärksten verbreiteten konnten.
      
Sober.N leider sehr erfolgreich

Sober-N trat während seiner größten Verbreitung mit einem Anteil von 43,8 Prozent unter allen Viren am häufigsten auf und machte im Mai 4,5 Prozent aller E-Mails aus, die weltweit verschickt wurden. Der zweisprachige Wurm, der sich als Benachrichtigung über ein zugeteiltes Ticket zur Fußball-WM 2006 ausgibt, wurde Anfang des Monats entdeckt und verbreitete sich rasant in 40 Ländern - im deutschsprachigen Raum sogar überproportional stark.

Im Anschluss befiel der Trojaner Sober-Q die betroffenen Rechner und missbrauchte diese zum Versand von Neonazi-Propaganda-Mails. Christoph Hardy, Security Consultant bei Sophos: "Sober-N stürmte Anfang Mai direkt an die Spitze der Rangliste und sorgte für eines der bislang größten Virenaufkommen in diesem Jahr. Dieser manipulative E-Mail-Wurm verbreitete sich sehr schnell, indem er Tricks des Social Engineering benutzte. Er bot beispielsweise Eintrittskarten für die Fußball-Weltmeisterschaft 2006 in Deutschland an und verleitete Empfänger dazu, das infizierte Attachment zu öffnen. Darauf fielen viele Anwender herein - auch solche, die sich nicht um Tickets beworben hatten."

Eine von 38 E-Mails infiziert

Insgesamt analysierte Sophos im Mai insgesamt 1.515 neue Viren. Die Anti-Viren-Lösungen des Unternehmens schützen Anwender derzeit vor insgesamt 104.784 Viren. Die Untersuchung des Sicherheitsspezialisten zeigt, dass 2,62 Prozent aller im Mai im Umlauf befindlichen E-Mails infiziert waren. Dies entspricht einer von 38 E-Mails, was eine leichte Zunahme gegenüber dem Vormonat bedeutet - hier war es noch eine von 46 E-Mails.

Quelle : www.onlinekosten.de

[SiLæncer]

Seit heute Nacht ist eine neue Variante des Sober-Wurms unterwegs und füllt die elekronischen Postfächer. Die Mails tarnen sich als Benachrichtigung einer ehemaligen Schulkameradin, die auf der Suche nach Mitschülern für ein Klassentreffen ist:

hi, ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung

liebe grüße:

Unterzeichnet ist die Mail mit unterschiedlichen Frauenvornamen. Im Anhang der Mails (KlassenFoto.zip) steckt selbstverständlich kein Klassenfoto, sondern der Wurm. Je nach Länderdomain der Mailadresse des Empfängers kann der Schädling auch mit einem englischen Text ausgestattet sein, in dem der Anwender über einen Passwortwechsel informiert wird. Der Anhang heißt dann pword_change.zip.

Was der Wurm genau macht, muss noch weiter untersucht werden. Nach bisherigen Erkenntnissen öffnet er auf infizierten Windows-PCs aber eine Hintertür und versendet sich über eine eigene SMTP-Engine an andere PCs.

Einige Virenscanner erkennen ihn bereits als Sober.S, andere wiederum als Sober.R. Zwar wurden die Namenssuffixe .S und .R bereits für den WM-Wurm vom Mai dieses Jahres vergeben, einige Hersteller scheinen aber immer noch ihr eigenes Süppchen zu kochen und tragen damit zu Verwirrung bei. Es besteht allerdings die Hoffnung, dass sich dies zukünftig durch die Common-Malware-Enumeration, also einheitliche Namen für Viren, Würmer und Trojaner, ändern wird.

In unseren Tests fanden nicht alle Scanner beim Durchsuchen der Samples den Wurm, unter anderem auch der kostenlose Scanner AVG von Grisoft. Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und dafür, welche Einstellungen vorgenommen werden sollten.

Quelle und Links : http://www.heise.de/newsticker/meldung/64627

[SiLæncer]

Dritter Sober-Wurm-Ableger innerhalb eines Tages

Nachdem am 6. Oktober 2005 bereits zwei verschiedene Sober-Würmer durch das Internet gegeistert sind, gesellt sich seit den Abendstunden des gleichen Tages ein weiterer Sober-Ableger dazu, der sich ebenfalls sehr rasch verbreitet hat. Auch dieser Wurm versucht durch entsprechende E-Mail-Texte, seine Opfer dazu zu bringen, den angehängten Schadcode zu aktivieren.

Der jüngst entdeckte Wurm trägt den Schadcode in dem mit der E-Mail versendeten Anhang, der in den Golem.de vorliegenden Mustern Brief.zip heißt. Der deutsche Nachrichtentext gibt vor, dass der Absender fragwürdige Inhalte erhalten habe und mit einer Anzeige drohe. Mit diesem Trick will der Schädling Opfer dazu bringen, die angehängte Datei zu öffnen. In der ZIP-Datei steckt dann eine als Word-Datei getarnte Exe-Datei mit dem Namen "packedX_Word_Text-Document.exe", die den Wurm-Code enthält.

Die Wurm-E-Mail weist die Betreffzeile "Haben Sie diese Mail verschickt?" auf und wird so an alle deutschsprachigen Domains versendet. Sofern es stimmt, dass es sich hierbei um einen weiteren Sober-Ableger handelt, verschickt sich der Wurm in einer weiteren Variante mit englischsprachigem Betreff. Derzeit liegen aber noch keine Informationen aus den Labors der Anbieter von Antivirenlösungen vor, so dass genauere Angaben nicht gemacht werden können.

Der deutsche Nachrichtentext lautet:

Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige gegen Sie zu
erstatten!

Sie spinnen ja wohl! Die Mail hat meine Tochter gelesen !!!!!!!!!!!!!!

Ich habe Ihnen "diese" Word-Text Datei zu meiner Entlastung
zurückgeschickt.

Es wäre von Vorteil, wenn Sie sich dazu äußern würden!!

Höchstwahrscheinlich trägt sich der Wurm auf infizierten Systemen so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Unhold vermutlich eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Für den Versand werden zudem sicherlich die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.

Noch liegen keine Details zu dem neuen Wurm von den Herstellern von Antiviren-Applikationen vor, so dass sich die gemachten Beobachtungen bislang nicht bestätigen lassen.

Quelle : www.golem.de

[SiLæncer]

Seit heute morgen machen drei neue Varianten des Sober-Wurms die Runde. Die in Deutsch und Englisch verfassten Mails besitzen unterschiedliche Betreffzeilen und enthalten unterschiedliche Nachrichtentexte. Unter anderem kommen sie mit dem Betreff "Ihre Mail" ins Postfach und haben folgenden Text:

Guten Tag, jemand schickte mir eine Mail mit einer Excel oder Access Tabelle (kenne mich da nicht so aus!). Jedenfalls ist diese Mail aber an ihre Mail Adresse adressiert, aber zu meiner gekommen??? Ist wohl irgendein Fehler.

Ok, hier haben Sie sie wieder zurueck!

gruss

Im Anhang steckt bei diesem Beispiel dann eine vermeintliche Excel-Tabelle. Von infizierten Windows-Systemen verschicken sich die Sober.S, .R, .V und .W benannten Varianten mittels eigener SMTP-Engine. Was die Schädlinge selbst genau anstellen wird derzeit noch untersucht. Bei den bisherigen Analysen hat man aber noch keine Backdoor oder ähnliche Funktionen gefunden. McAfee berichtet jedoch in seiner Virenbeschreibung, dass Sober.V in der Lage sei, das Antivirentool Stinger zu beenden.

Zwar haben neben McAfee auch bereits H+BEDV, Kaspersky, Sophos, Symantec und Computer Associates Beschreibungen und Signaturen zu einigen der Varianten. Beim Scan eines uns vorliegenden Samples (8:37 Uhr) mit dem Virenscan-Dienst Virustotal erkannten aber nur H+BEDV und Avira, dass darin der Wurm Sober.W steckte. Anwender sollten im Zweifel den Update ihrer Signaturen manuell anstoßen.

Wie immer gilt auch im Fall der neuen Sober-Variante: Anwender sollten beim Umgang mit Anhängen in Mails größte Vorsicht walten lassen; auch Mails von bekannten Absendern können im Attachment einen Wurm oder Virus enthalten, da die Schädlinge für ihre Verbreitung die Mail-Adressbücher befallener Systeme nutzen. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antiviren-Seiten von heise Security.

Siehe dazu auch:

    * Beschreibung zu W32/Sober.v@MM von McAfee
    * Beschreibung zu W32/Sober.R von Sophos


Quelle und Links : http://www.heise.de/newsticker/meldung/66166

[SiLæncer]

Einige Eigenschaften und Fähigkeiten der neuen Sober-Würmer weisen auf zukünftige Versionen hin.

Seit gestern werden neue Varianten des Sober-Wurms zum Teil Spam-artig verbreitet . Bei der Untersuchung der neuen Sober-Varianten haben Antivirus-Hersteller Eigenschaften und Möglichkeiten entdeckt, die eventuell Rückschlüsse auf zukünftige Versionen des Wurms zulassen.

So fanden die Virenforscher bei Kaspersky Labs heraus, dass Sober wie schon früher die Fähigkeit zum Download weiterer Dateien enthält. Interessanter ist die Beobachtung, dass Sober auf infizierten PCs ein Programm zum Auslesen gespeicherter Passwörter ablegt. Das von Kasperskys Antivirus-Software als "not-a-virus:PSWTool.PassView.162" gemeldete Programm kann die im Internet Explorer und in Outlook gespeicherten Passwörter ermitteln.

Weder die bislang gefundenen Sober-Varianten noch das "Passview"-Programm selbst enthalten die nötige Funktionalität zum Versenden der ausgelesenen Daten. Daher vermutet Roel Schouwenberg von Kaspersky Labs, dass die Einschleusung dieses Programms der Vorbereitung auf spätere Versionen dienen könnte.

Der Antivir-Hersteller H+BEDV hat bei der Analyse festgestellt, dass Sober sich am 16. und 17. November ein Update herunter laden soll. F-Secure meldet, Sober enthalte die Möglichkeit zum Ablegen eines Trojanischen Pferds und zum Öffnen einer Hintertür (Backdoor) zwecks Kontakt mit einem Server im Internet. Ferner stellten die Virenforscher fest, dass Sober eine Reihe von leeren Dateien anlegt, die zur Deaktivierung älterer Sober-Versionen dienen.

Zu den gestern gemeldeten drei Varianten sind mittlerweile noch mindestens zwei weitere hinzu gekommen. Sie treffen mit Mails dieser Art ein:

Betreff: "Betr: Passwort & Account Daten"
Anhang: auto-mail_Daten.zip (enthält: mail-packed_password.exe)

Betreff: "Password Confirmation"
Anhang: packed-password_text.zip (enthält: mail-packed_password.exe)

Betreff: "Wichtig: Meine neue Mail Adresse!"
Anhang: Mail-Datei.zip (enthält: accept_emailTextData.exe)

Betreff: "Your eMail Password"
Anhang: Accept_e-Text.zip (enthält: accept_emailtextdata.exe)

Jedes Mal, wenn der Wurm sich auf einem PC etabliert, fügt er belanglose Daten an das Ende seiner Programmdatei, bevor er sie weiter versendet. Dadurch entstehen zahllose Dateivarianten, die dazu führen, dass manche Antivirus-Programme nicht alle Varianten gleich erkennen und ein erneutes Update benötigen.

Hinzu kommen sehr viele Spam-artig verbreitete Varianten, die sich durch ihre Packformate zusätzlich unterscheiden. Sie werden an Spam-Listen verschickt und legen dann den Sober-Wurm auf infizierten PCs ab - daher werden sie als "Dropper" bezeichnet. Dieser verteilt sich dann mit einer eigenen Mail-Funktion weiter. Dazu benutzt er nicht nur den üblichen Port 25 sondern auch den Port 587, über den er Mail-Server von Yahoo benutzt.

Die Verbreitung der neuen Sober-Generation ist, gemessen an früheren Sober-Wellen, weiterhin nicht sonderlich hoch und findet vorwiegend in Deutschland statt. Aktualisieren Sie Ihre Antivirus-Software regelmäßig und bleiben Sie misstrauisch gegenüber unerwartet eingehenden Mails.

Quelle : www.pcwelt.de

[Jürgen]

Kaum ist die letzte Sober-Welle abgeklungen, tritt eine neue Variante auf den Plan und versucht, die Windows-Systeme von Anwendern zu infizieren. Anders als bei seinen Vorgängern Sober.V/.W sind die Nachrichtentexte von Sober.Y/.Z sehr viel raffinierter. Unter anderem tarnt sich der Schädling als vermeintliche Benachrichtigung des Bundeskriminalamtes, man sei beim Raubkopieren erwischt worden
-/-
Im gezippten Anhang steckt natürlich der Wurm selbst drin, der sich beim Öffnen des Archivs und Starten der ausführbaren Datei installiert. Mit einem ähnlichen Text war bereits Sober.C Ende 2003 recht erfolgreich. Allerdings war dort als vermeintlicher Absender die Kripo Düsseldorf eingetragen. Mittlerweile warnt das BKA in einer eigenen Meldung vor Mails mit Sober.Y. Daneben gibt es noch weitere Textvarianten, mit denen der Wurm versucht, den Anwender zum Öffnen des Anhangs zu bewegen, etwa eine eBay-Kontoeröffnung und eine RTL-Gewinnbenachrichtigung. Anwender mit englischen Empfängeradressen bekommen eine Mail zu sehen, die angeblich vom FBI stammt, man hätte illegale Websites besucht.
-/-
Wie immer gilt auch im Fall der neuen Sober-Variante: Anwender sollten beim Umgang mit Anhängen in Mails größte Vorsicht walten lassen; auch Mails von bekannten Absendern können im Attachment einen Wurm oder Virus enthalten, da die Schädlinge für ihre Verbreitung die Mail-Adressbücher befallener Systeme nutzen. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antiviren-Seiten von heise Security.

Siehe dazu auch:

    * Beschreibung W32/Sober.X@mm des BSI
    * Beschreibung W32/Sober.Z von Sophos

(dab/c't) Der ganze Artikel mit Links

Quelle: www.heise.de

[SiLæncer]

In der letzten Woche wurden viele Varianten des Sober-Wurms überwiegend Spam-artig verbreitet. Sie wurden also direkt per Mail an umfangreiche Adresslisten versandt. Die auf diese Weise erfolgreich infizierten PCs verbreiten nun die neue Sober-Version und nicht die, mit der sie ursprünglich infiziert wurden.

Wie bereits länger bekannte Sober-Varianten enthalten auch die aus der letzten Woche eine Update-Funktion. Sie können also neue Versionen des Wurms aus dem Internet laden und ausführen. Prinzipiell könnten sie auch beliebige andere Schädlinge herunter laden und installieren. Frühere Sober-Versionen enthalten auch eine Art Haltbarkeitsdatum, sie deaktivieren sich also nach einem bestimmten Tag. Vermutlich gilt all dies auch für den aktuellen Sober-Wurm, die Untersuchungen dazu laufen noch.

Die als " CME-681 " (Common Malware Enumeration) bezeichnete Sober-Version zeigt, wenn sie ausgeführt wird, zunächst eine vorgetäuschte Fehlermeldung an ("WinZip Self-Extractor: Error in packed Header"). Dann erstellt Sober im Windows-Verzeichnis ein neues Verzeichnis mit dem Namen "WinSecurity" und legt darin mehrere Kopien von sich ab (csrss.exe, services.exe, smss.exe). Ferner legt er darin diverse weitere, meist harmlose Dateien an, die unter anderem zum Speichern gesammelter Mail-Adressen dienen.

Findet Sober ein laufendes MRT (Microsofts kleine Wurm-Kur), versucht er es zu beenden, ebenso weitere laufende Prozesse, die bestimmte Zeichenketten enthalten, zum Beispiel "stinger", "hijack", "avwin", "sober" und andere. Damit der Wurm bei jeden Windows-Start geladen wird, legt er folgende Registry-Einträge an (%WinDir% steht für das Windows-Verzeichnis):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
_Windows = %WinDir%\WinSecurity\services.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = %WinDir%\WinSecurity\services.exe

Die Sober-Kopie "csrss.exe" wird ebenfalls gestartet und überwacht diese Registry-Einträge. Werden sie entfernt, legt sie sie sofort wieder an. Der Wurm durchsucht diverse Dateitypen auf der Festplatte nach Mail-Adressen und sammelt sie in Dateien wie "winmem1.ory", "winmem2.ory" und "winmem3.ory" in dem von ihm angelegten Winsecurity-Verzeichnis.

Sober prüft die Verfügbarkeit einer aktiven Internet-Verbindung, indem er versucht, Kontakt zu einem Zeit-Server aufzunehmen. Dann verschickt er sich per Mail an die gesammelten Adressen. Je nach Zieladresse wählt er eine deutsche oder englische Mail-Fassung. Er kennt mehr als ein Dutzend unterschiedliche Betreffzeilen mit jeweils passendem Text und Dateinamen des Anhangs.

deutsch
   

"Ermittlungsverfahren wurde eingeleitet"   

"Ihr Passwort"
   
"Mailzustellung wurde unterbrochen"
   
"RTL: Wer wird Millionaer"
   
"Sehr geehrter Ebay-Kunde"
   
"Sie besitzen Raubkopien"
   
"SMTP Mail gescheitert "
   

englisch

"Account Information"

"hi,_ive_a_new_mail_address"

"Mail delivery failed"

"Paris Hilton & Nicole Richie"

"Registration Confirmation"

"smtp mail failed"

"You visit illegal websites"

"Your IP was logged"

"Your Password"

Quelle : www.pcwelt.de

[SiLæncer]

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt in einer Mitteilung erneut vor der Anfang der Woche aufgetauchten Variante des Sober-Wurms. Die aktuelle Sober-Variante ähnelt zwar funktional ihren Vorgängern, findet aber durch besonders raffiniert gefälschte E-Mails offenbar mehr Opfer als die vorherigen Varianten. Unter anderem gibt sich der Wurm als Benachrichtigung des Bundeskriminalamts aus, der Empfänger sei beim Raubkopieren erwischt worden. Andere Texte fälschen Absenderadressen von eBay und RTL.

Gegenüber heise Security begründete das BSI seine Einschätzung durch hohe Last auf bestimmten DNS- und Mail-Servern, die sich auf den Wurm zurückführen lasse. Außerdem fingen Provider immer noch kontinuierlich neue Sober-Mails ab. Das deutet darauf hin, dass viele Betroffene die Infektion bislang nicht bemerkt haben und ihre Rechner bei jeder Einwahl ins Internet als Wurm-Schleuder aktiv werden. Das kann auch daran liegen, dass der Wurm laut BSI verschiedene Virenschutzprogramme abschaltet und beim Öffnen des Dateianhangs die irrefüherende Fehlermeldung "Error in packed Header" präsentiert, obwohl er im Hintergrund den Rechner infiziert hat.

Deshalb empfiehlt das BSI nun allen PC-Nutzern dringend "eine spezielle Software zur Entfernung des Wurms herunterzuladen, auszuführen und anschließend vorhandene Virenschutzprogramme zu aktualisieren." Dabei verweist es auf Programme von Symantec und McAfee, die den Wurm entdecken und entfernen können. Gemeint sind mit der Empfehlung offenbar Windows-Anwender, denn Nutzer von Betriebssystemen wie Linux oder Mac OS X können sich mit Sober nicht infizieren und auch die empfohlenen Reinigungsprogramme nicht ausführen.

Wie immer gilt auch im Fall der neuen Sober-Variante und darüber hinaus grundsätzlich für alle Anwender: Man sollte beim Umgang mit Anhängen in Mails größte Vorsicht walten lassen; auch Mails von bekannten Absendern können im Attachment einen Wurm oder Virus enthalten, da die Schädlinge für ihre Verbreitung die Mail-Adressbücher befallener Systeme nutzen. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antiviren-Seiten von heise Security.

Siehe dazu auch:

    * Neuer Sober-Wurm tarnt sich als Mail des Bundeskriminalamts auf heise Security
    * BSI-Beschreibung des Sober-Wurms auf heise Security

Quelle und Links : http://www.heise.de/newsticker/meldung/66623

[Warpi]

Endlich kann ich auch mal zu "Wer wird Millionär ?"  

/home/warpi/viren/Email_text.zip->File-packed_dataInfo.exe  Infection: W32/Sober.Z@mm
/home/warpi/viren/RTL-TV.zip->File-packed_dataInfo.exe  Infection: W32/Sober.Z@mm
/home/warpi/viren/Akte7490.zip->File-packed_dataInfo.exe  Infection: W32/Sober.Z@mm

Langsam nimmt das in meinen öffentlichen Postfächern Überhand ...
Scheint ja immer noch genug UserInnen zu geben die einfach drauf los klicken.

[SiLæncer]

Knapp eine Woche nach Einsetzen der neuesten Sober-Virenwelle entdecken viele PC-Nutzer, Unternehmen und Behörden, wie Sober beginnt, ihren Ruf zu schädigen: Sober kapert E-Mail-Verzeichnisse und macht die Opfer scheinbar zu Viren-versendenden Tätern.

Ende Oktober 2003 zog die erste Variante des Sober-Virus im Netz ihre Kreise. Inzwischen gibt es so viele davon, dass selbst den IT-Sicherheitsunternehmen hier und da die Zählung durcheinander geraten scheint: Während Computer Associates die aktuelle Variante mit dem Buchstaben W benennen, hält Symantec den Schädling für Variante X. Kaspersky und F-Secure sind schon bei Y, Sophos macht eine Variante Z aus, und Trend Micro schließlich sind längst die Buchstaben des Alphabets ausgegangen: Hier ist Sober schon im "zweiten Durchgang", mit der aktuellen Kennzeichnung "Sober.AG".

Doch wie die "Malware" (verkürzend für "schädliche Software") nun mit Nachnamen heißt, ist letztlich auch völlig egal: Wo Sober drauf steht, steckt Ärger drin. Auch als Variante WXYZAG ist und bleibt Sober einer der ärgerlichsten, erfolgreichsten Viren im Umlauf.

Das liegt nicht daran, dass das Programm so überaus kraftvoll und ausgefuchst wäre: Es ist nur außerordentlich gut verpackt. Auch die aktuelle Variante kommt mit einer Auswahl von Lock-Betreffzeilen und Textnachrichten, die gut genug formuliert sind, um den Empfänger zu überzeugen, durch einen Mausklick das Virus zu aktivieren. Eine eigentlich primitive Methode, deren Zeit schon abgelaufen schien: Ohne klickende "Mithilfe" des Empfängers wird Sober nicht aktiv.

Also hat sich der Virenautor einiges einfallen lassen, um den PC-Nutzer genau dazu zu bringen.

Erste Varianten des neuesten Sober-Abkömmlings maskierten sich als Post vom BKA und drohten mit Strafanzeigen und ähnlichem ("Sie besitzen Raubkopien", "Ermittlungsverfahren wurde eingeleitet"). Wer zuckt, wer klickt da nicht?

Inzwischen gibt es viele Varianten, von "Sehr geehrter Ebay-Kunde" bis hin zur Gratulationsmail von Günther Jauch: Ist doch schön, wenn man erfährt, dass man bald Kandidat bei "Wer wird Millionär?" wird.

Mit Speck, weiß der Virenautor, fängt man eben Mäuse. Oder mit Magerkost: In einer englischen Variante verspricht Sober - schon fast klassisch für einen Mail-Wurm - Ansichten der hauptberuflichen Erbin Paris Hilton. Eine vollständige Auflistung aller möglichen "Masken", mit denen sich Sober derzeit verkleidet, gibt es hier.

Auf dem befallenen Rechner selbst verursacht das Virus keine besonderen Schäden (wenn man davon absieht, dass durch den Mailversand die Performance des Rechners sinkt). In erster Linie greift es E-Mail-Adressen ab und sorgt so für seine wahrlich massenhafte Weiterverbreitung. So sorgt es zum einen für Probleme in Netzwerken, zum anderen aber macht es die befallenen Rechner zu Virenversendern.

Und da droht mitunter Ärger - wenn auch meist nicht dem Versender selbst, sondern seinen geschäftlichen und privaten Kontakten. Denn zu allem Überfluss maskiert sich Sober sehr gut: Auf den ersten Blick sind nicht die wirklich befallenen Rechner die Absender der Virenmail, sondern die dort "abgefischten" E-Mail-Adressen. Im Klartext: So gut wie nie ist der angebliche Absender eines Virus das auch wirklich.

Tipp: Im August 2003 erklärte Dirk Kollberg von Network Associates im Interview mit SPIEGEL ONLINE haarklein, wie es dazu kommen kann, dass man plötzlich als Spam- oder Virenversender dasteht. Das Interview hat seitdem nichts von seiner Aktualität verloren. Sollten Sie Ärger mit jemandem bekommen, der Sie für einen Virenversender hält, fügen Sie ihrer Erklärung den Link zum Interview bei.

Die Maskerade hat noch andere unangenehme Nebeneffekte: Weil die Viren- und Spamfilter an Mail-Gateways eingehende Virenpost abweisen und dem angeblichen Absender darüber eine Nachricht zukommen lassen, kommt es zu einer Art virtuellem Mail-Ping-Pong, das die Netzwerke extrem belasten kann. Privatleute hingegen sind mitunter richtig geschockt, wenn sie über solche "Bouncer"-Benachrichtigungen erfahren, dass ihr Rechner angeblich Viren versendet.

Das kann im Einzelfall sein, das Gros der Empfänger solcher Benachrichtigungen aber hat mit dem Versand von Viren nichts zu tun. Wer auf Nummer sicher gehen will, sollte seinen Rechner prüfen. Alle Anbieter von Virenschutzsoftware haben auf die neuesten Sober-Varianten reagiert und bieten teils Tools für seine Entfernung, immer aber ein Update ihrer Software an. Wer über keine Virenschutz-Software verfügt, sollte das schnellstmöglichst ändern: Hier gibt es sogar eine zum Download, die für Privatanwender kostenlos ist.

P.S.: Liebe Leserbrief-schreibende Apple- und Linuxfans: Ja, wir wissen, dass von solchen Viren in der Regel nur Windows-Systeme betroffen sind, und unsere Leser wissen das auch. Weit über 90 Prozent aller Virenprobleme betreffen nur die Betriebssysteme des Marktführers, der auch über 90 Prozent der Marktanteile hält: Die Masse macht ihn besonders attraktiv für Virenschreiber.

Quelle und Links : http://www.spiegel.de/netzwelt/technologie/0,1518,386672,00.html