Verfügbare Informationen zu "W32.Sober.F@mm"
Qualität des Beitrags: Beteiligte Poster: 20JahreOnkelz Forum: POWER BOARD Forenbeschreibung: Das ultimative Board aus dem Unterforum: Aktuelle Viren Antworten: 1 Forum gestartet am: Freitag 02.07.2004 Sprache: deutsch Link zum Originaltopic: W32.Sober.F@mm Letzte Antwort: vor 19 Jahren, 9 Monaten, 17 Tagen, 3 Stunden, 8 Minuten
Alle Beiträge und Antworten zu "W32.Sober.F@mm"
Re: W32.Sober.F@mm
20JahreOnkelz - 05.07.2004, 15:04W32.Sober.F@mm
Aufgrund der sinkenden Zahl von Meldungen hat Symantec Security Response diese Bedrohung am 11. April 2004 von Kategorie 3 auf Kategorie 2 herabgestuft.
W32.Sober.F@mm ist eine Variante von W32.Sober.E@mm that spreads itself as an email attachment.
Betreff und Nachrichtentext der E-Mail variieren und sind auf Deutsch oder Englisch verfasst.
Hinweise:
* Privatanwenderprodukte von Symantec, die Wurmblockierungsfunktionen unterstützen, entdecken diese Bedrohung automatisch, wenn sie versucht, den Computer zu infizieren.
* Der Wurm besitzt keinen statischen MD5-Hash-Wert.
* Symantec Security Response hat ein Programm zur Entfernung von W32.Sober.F@mm-Infektionen entwickelt.
W32.Sober.F@mm wurde in der Programmiersprache Microsoft Visual Basic geschrieben und mit UPX komprimiert.
Auch bekannt als: W32/Sober.f@MM [McAfee], Win32.Sober.F [Computer Associates], W32/Sober-F [Sophos], WORM_SOBER.F [Trend]
Varianten: W32.Sober.E@mm
Typ: Wurm
Infektionslänge: 42.496 Byte
Betroffene Systeme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
Nicht betroffene Systeme: DOS, Linux, Macintosh, OS/2, UNIX
TECHNISCHE DETAILS
Bei Ausführung geht W32.Sober.F@mm folgendermaßen vor:
1. Er kopiert sich selbst nach %System\<Beliebiger Dateiname>.exe.
Die Variable <Beliebiger Dateiname> wird aus der folgenden Liste zufällig ausgewählt:
* sys
* host
* dir
* explorer
* win
* run
* log
* 32
* disc
* crypt
* data
* diag
* spool
* service
* smss32
Hinweis: %System% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
2. Er erstellt den Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\<Beliebiger Dateiname>
und fügt folgenden Wert hinzu:
"<Beliebiger Wert>" = "%System%\<Beliebiger Dateiname>.exe
Hinweis: Die Variable <Beliebiger Wert> wird mit dem zuvor erwähnten <Beliebigen Dateinamem> erzeugt.
3. Er versucht, den Schlüssel:
"<Beliebiger Wert>" = "%System%\<Beliebiger Dateiname>.exe %1"
dem folgenden Registrierungsschlüssel hinzuzufügen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\RunOnce
Dadurch wird der Wurm ausgeführt, sobald Windows gestartet wird.
4. Er fügt unter Windows XP dem folgenden Schlüssel einen zufälligen Wert hinzu, wodurch der Wurm ausgeführt wird, sobald Windows gestartet wird:
HKEY_USERS\S-1-5-21-??????????-??????????-?????????-???\SOFTWARE\
Microsoft\Windows\CurrentVersion\Run
5. Er legt die folgenden Dateien ab:
* %System%\zmndpgwf.kxx
* %System%\zhcarxxi.vvx
* %System%\bcegfds.lll
* %System%\syst32win.dll eine Protokolldatei, die eine Liste mit E-Mail-Adressen enthält, die auf einem infizierten Computer gesammelt wurden)
* %System%\winsys32xx.zzp
* %System%\winhex32xx.wrm
* %System%\spoofed_recips.ocx
6. Wenn das System nicht mit dem Internet verbunden ist, versucht die Bedrohung, die Verbindung über eine beliebige verfügbare DFÜ-Netzwerkverbindung herzustellen, und zeigt unter Umständen das folgende Dialogfeld an:
Microsoft Windows
STOP: 0x80070725 {FatalSystemError}
System File [Dateiname].exe
Connection lost or blocked by Firewall
7. Er durchsucht alle festen Laufwerke auf dem Computer nach Dateien mit folgenden Erweiterungen und sucht in diesen nach E-Mail-Adressen:
* .abc
* .abd
* .abx
* .adb
* .ade
* .adp
* .adr
* .asp
* .bas
* .cfg
* .cgi
* .cls
* .ctl
* .dbx
* .dhtm
* .doc
* .dsp
* .dsw
* .eml
* .fdb
* .frm
* .hlp
* .ini
* .jsp
* .ldb
* .ldif
* .log
* .mbx
* .mda
* .mdb
* .mde
* .mdw
* .mdx
* .mht
* .mmf
* .msg
* .nab
* .nch
* .nfo
* .nsf
* .ods
* .oft
* .php
* .pl
* .pp
* .ppt
* .pst
* .rtf
* .shtml
* .sln
* .tbb
* .txt
* .uin
* .vap
* .vbs
* .wab
* .wsh
* .xls
* .xml
8. Er speichert die gesammelten E-Mail-Adressen in der Datei %System%\syst32win.dll.
9. Er sendet sich selbst mithilfe seiner eigenen SMPT-Engine an die zuvor gesammelten E-Mail-Adressen.
Die E-Mail besitzt folgende Merkmale:
Von: (Eine der folgenden deutschen oder englischen Zeilen)
Deutsch:
* Webmaster
* Fehler-Info
* Administrator
* RobotMailer
* AutoMailer
* Register
* Service
* Info
* Passwort
* Kundenservice
* Liste
* Schwarze-Liste
* Information
Englisch:
* Administrator
* Webmaster
* Home
* Register
* Service
* Info
* admin
* Error_Info
* RobotMailer
* AutoMailer
* User-info
* account
* webmaster
oder erzeugt mit Benutzernamen aus gesammelten E-Mail-Adressen gefolgt von:
* @abuse.de
* @yahoo.com
* @yahoo.de
* @gmx.de
* @gmx.net
* @web.de
* @freenet.de
* @lycos.de
Betreff: (Eine der folgenden deutschen oder englischen Zeilen)
Deutsch:
* Einzelheiten
* Hallo Du!
* Hallo!
* Hey Du
* Hi, Ich bin's
* Ich bin es .-)
* Verdammt
* Na, überrascht?!
* Info
* Information
* Fehlerhafte Mailzustellung
* Mailzustellung fehlgeschlagen
* Fehler
* Illegale Zeichen in Mail-Routing
* Verbindung fehlgeschlagen
* Fehler in E-Mail
* Bestätigung
* Registrierungs-Bestätigung
* Ihr neues Passwort
* Ihr Passwort
* Datenbank-Fehler
* Warnung!
English:
* Oh my God
* Hey
* Hi!
* Hi, it's me
* hey you
* damn!
* Well, surprised?
* Info
* Information
* Faulty mail delivery
* Mail delivery failed
* Mail Error
* Illegal signs in Mail-Routing
* Connection failed
* Invalid mail sentence length
* Mail Delivery failure
* Message Error
* mail delivery status
* Confirmation Required
* Bad Gateway
* Warning!
* Your document
gefolgt von:
* Message-ID: <%Beliebige_Zeichenkette%.qmail>
Nachrichtentext: (Eine der folgenden deutschen oder englischen Texte)
Deutsch:
* Ich war auch ein wenig überrascht!
Wer konnte so etwas ahnen!? Lese selbst
Oh-Mann
* Alles klaro bei dir?
Schau mal was Ich gefunden habe!
* Sieh mal nach ob du den Scheiss auch bei dir drauf hast!
Ist ein ziemlich nervender Virus. Mach genau das, wie es im Text beschrieben ist!
Bye
* Ich habs dir doch gesagt, irgendwann schaffe ich es deine Passwörter rauszubekommen!!!
Passwoerter.txt
* Details entnehmen Sie bitte dem Attachment
Nähere Informationen befinden sich im Anhang.
* *** Auto Mail Delivery System ***
Ihre E-Mail konnte nicht gesendet oder empfangen werden.
Bitte überprüfen Sie nochmals diese E-Mail auf mögliche Fehlerquellen.
attach: AMD-System.txt
* End Transmission
Virenschutz
--- Web: http://www.<randomly choosen domain>
--- Mail To: User-Hilfe
* Passwort und Benutzername wurde erfolgreich geändert
Ihre Benutzernamen und Passwörter befinden sich im Anhang dieser E-Mail
++++ Im www erreichbar unter: http://www.<randomly choosen domain>
++++ E-Mail: KundenInfo
* Wegen eines Datenbank- Fehlers könnte es möglicherweise zu einem Verlust Ihrer persönlichen Daten wie Kennwörter gekommen sein.
Wenn Sie Unregelmäßigkeiten festgestellt haben, melden Sie uns bitte umgehend den Datenverlust.
Vielen Dank für Ihr Verständnis
+++ Ein Service von
+++ http://www.<randomly choosen domain>
+++ E-Mail: Kundenservice
* Internet Provider Abuse:
Wir haben festgestellt, dass Sie illegale Internet- Seiten besuchen.
Bitte beachten Sie folgende Liste:
English:
* I was surprised, too!
Who could suspect something like that?
* All OK
see, what i've found!
* hi its me
i've found a shity virus on my pc. check your pc, too!
follow the steps in this article.
bye
* I 've told you! sometime I grab your passwords!
* I hope you accept the result!
Follow the instructions to read the message.
Please read the document
* Registration confirmation
Your Password
Your mail account
Your password was changed successfully.
Protected message is attached.
++++ Service: http:/ /www.<randomly choosen domain>
++++ Mail To: User-info
* *** Auto Mail Delivery System ***
67.28.114.32_failed_after_I_sent_the_message./Remote_host_said:_554_delivery_error:
_dd_Sorry_your_message_cannot_be_delivered._This_account_has_been_disabled_
or_discontinued_[#102]._-_mta134.mail.dcn.com *** this line has been modified by Symantec for the purpose of formatting ***
** End of Transmission
The original message is a separate attachment.
--- Web: http:/ /www.<randomly choosen domain>
--- Mail To: User-Hilfe
* Read the attachment for details.
Bad Gateway: The message has been attached.
+++ A service of <randomy choosen domain>
+++ http:/ /www.<randomly choosen domain>
+++ Mail: home
* The message has been attached.
* Database #Error
-- Partial message is available!
-- Error: llegal signs in Mail-Routing
-- Mail Server: ESMTP VX32.9 Version Betha Alpha
* Anybody use your accounts!
For further details see the attachment.
* I have received your document. The corrected document is attached.
greets
Anhang: (Einer der folgenden deutschen oder englischen Namen mit der Erweiterung .pif oder .zip)
Deutsch:
* Oh-Mann
* Dokument
* KurzText
* AntiVirus-Text
* Anleitung
* Passwoerter.txt
* Text-Inhalt
* AMD-System.txt
* Benutzer-Daten
* Datenbank-Fehler
* abuse-liste
* schwarze-listen
* Block-Lists
Englisch:
* anitv_text
* instructions
* your_article
* your_passwords
* messagedoc
* corrected_text-file
* attach-message
* <random>-attachment
* <random>_attach
* pass-message
* text
* Textdocument
Der Wurm überspringt E-Mail-Adressen, die die nachstehenden Textsegmente enthalten:
* mailer-daemon
* office
* redaktion
* support
* variabel
* password
* time
* postmas
* service
* freeav
* @ca.
* abuse
* winrar
* domain.
* host.
* viren
* ewido.
* emsisoft
* linux
* google
* @foo.
* winzip
* @arin
* mozilla
* @iana
* @avp
* @msn
* microsoft.
* @sophos
* @panda
* symant
* ntp-
* ntp@
* @ntp.
* @kaspers
* free-av
* antivir
* virus
* verizon.
* @ikarus.
* @nai.
* @messagelab
* clock
Mit folgendem Code, können Sie den Beitrag ganz bequem auf ihrer Homepage verlinken
Weitere Beiträge aus dem Forum POWER BOARD
Ähnliche Beiträge wie "W32.Sober.F@mm"
W32.Sasser.B.Worm - driver87 (Samstag 03.07.2004)
Sober - Reloaded - mysterytrain (Dienstag 17.01.2006)
Neue Version des Sober-Wurms aufgetaucht - searchmyaim (Donnerstag 21.04.2005)
Wurm lädt zum Klassentreffen (Sober Q.) - Lenny (Freitag 07.10.2005)
Warnung: Sober.X verbreitet sich ungebremst weiter! - onkel86 (Freitag 25.11.2005)
Neue Sober-Viren: So schützen Sie sich - White_Tiger (Dienstag 25.07.2006)
Sober Wurm/Virus - ChrisS (Sonntag 21.11.2004)
Sober rast ungebremst weiter - Lenny (Donnerstag 24.11.2005)
Sober-Reloaded - pfoetchen (Sonntag 22.01.2006)
Never Get Sober - chucky (Montag 19.09.2005)