W32.Sober.C, sowie Varianten D, E, F, und G

Updates:

Update 08.03.2004: Sober.D (siehe weiter unten)

Update 15.04.2004: Sober.F (siehe weiter unten)

Update 23.05.2004: Sober.G (siehe weiter unten)

Sober.C:

Wenn Sie von einer unbekannten Person eine Mail bekommen, die Ihnen in deutscher Sprache mit gerichtlichen Schritten droht, kann es sein, dass diese Mail von einem Wurm namens W32/Sober.C verschickt wurde. Dieser ist eine Variante von W32/Sober.A [1], der Ende Oktober 2003 von sich reden machte.

Nur ein paar Beispiele von typischen Mail-Texten, die der Sober.C-Wurm verwendet, um sich Aufmerksamkeit zu verschaffen und beim Empfänger den Doppelklick-Finger auszulösen:

Betreff: Ich zeige sie an!

Text: "Wenn Sie meinen mir DROHEN zu können, haben sie sich in den Finger geschnitten!!!

Erstens mal, weiß ich gar nicht wer Sie sind.

Zweitens, kenne ich Ihren Mann oder Freund nicht.

Und Drittens, Ich habe kein Tächtel-Mächtel mit Ihrem Partner!!! (etc.)"

Es ist absehbar, dass ein unerfahrener Benutzer auch die Beilage öffnet, um zu sehen, was der Grund dieser rüden Mail ist. Und Peng! Der PC ist infiziert, auch wenn der User dies vielleicht anfangs nicht merkt.

Noch ein Beispiel:

Betreff: Hi, Ich bin's

Text: "Hier die Digi-Cam Bilder. Manche sind nix geworden!"

Und noch ein besonders schönes:

Betreff: Sie tauschen illegal Dateien aus

Text: "das herunterladen von Filmen, Software und MP3s ist illegal und somit Strafbar.

Wir möchten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP xx.xx.xx.xx erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. (etc)"

Und dann gibts noch Sober.C-Mails, die "garantiert Dialer-freie" Tools anpreisen, oder solche, die vorgaukeln, Mails von einer Bank zu sein, oder von einem Star-Search-Projekt - und viele mehr. Trotz etlicher Schreibfehler könnten solche Mails auf den ersten Blick echt wirken und den Benutzer dazu verleiten, die ausführbare Beilage zu öffnen.

Wer dem Impuls nachgibt, Beilagen aus Sober-Mails zu öffnen, handelt sich einigen Ärger ein:

Zuerst wird eine Fehlermeldung "Runtime Error" oder "Laufzeitfehler" angezeigt. Im Windows-System-Ordner werden drei Kopien des Wurms erzeugt. Eine als SYSHOSTX.EXE und zwei weitere mit zufälligen Namen und der Endung EXE. Abgesehen davon erzeugt der Wurm eine Datei namens SAVESYSS.DLL. Darin speichert er E-Mail-Adressen, die er auf dem infizierten PC findet. Zudem werden zwei Dateien erzeugt, die HUMGLY.LKUR und YFJQ.YQWM heissen.

Um sicher zu stellen, dass er bei jedem PC-Start geladen wird, schreibt der Wurm ein paar Einträge in die Windows-Registry, und zwar in diese Zweige:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\<userID>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Die Einträge können unterschiedliche Namen haben, weisen aber auf eine der Wurm-Dateien hin.

Das Beenden des Wurm-Prozesses erweist sich als schwierig, weil Sober.C stets zwei Prozesse am Laufen hat, die sich gegenseitig schützen. Sobald man einen der beiden beendet, wird er vom andern Prozess neu gestartet. Das Löschen der Registry-Einträge ist auch nicht einfach, weil der Wurm-Prozess diese sofort wiederherstellt, sobald sie gelöscht werden. Während der Wurm aktiv ist, kann auch die Datei SAVESYSS.DLL nicht vom Benutzer gelesen werden. Diese Datei plus weitere Wurm-Dateien belegt der Schädling mit exklusiven Zugriff - sodass auch ein Virenscanner diese übersehen könnte.

Die E-Mail-Adressen, an die sich der Sober.C-Wurm verbreitet, holt er aus fast allen Dateien, welche in irgend einer Form Mail-Adressen enthalten könnten, also auch aus temporär gespeicherten Webseiten, Mail-Datenbanken, Text-Dateien etc.

Mögliche Schäden: Falls Sie ein Benutzer der KaZaA-Tauschbörse sind, können Sie nach einer Infektion mit Sober.C alle EXE-Dateien, die im Ordner "My Shared Folder" liegen, wegwerfen. Der Wurm überschreibt nämlich diese Dateien mit seinem eigenen Programmcode und verfügt so über ein zweites Verbreitungs-Standbein.

Mit frisch aktualisierten Virendefinitionen sollte jeder Virenscanner den Sober.C-Wurm erkennen, sobald er per Mail eintrifft. Seien Sie trotzdem sehr vorsichtig und trauen Sie überhaupt keiner Mailbeilage, die Sie erhalten.

Informationen fanden wir bei verschiedenen Antivirus-Herstellern, zum Beispiel bei F-Secure [2], Kaspersky [3] und bei Symantec [4]. Bei McAfee (siehe Removal Instructions [5]) gibts zudem das Stinger-Programm, welches den Sober.C-Wurm entfernen soll. Auch von H+BEDV [6] und BitDefender [7] gibts ein kostenloses Beseitigungswerkzeug.

Update 08.03.2004, neue Sober-Variante:

Und jetzt verschickt noch eine weitere Variante des Sober-Wurms (Sober.D [8]) Mails mit einer Microsoft-Adresse im Absender. Mal in Deutsch (Betreff: "Microsoft Alarm: Bitte Lesen!"), mal in Englisch (Betreff: "Microsoft Alert: Please Read!") ist im Mail-Text die Rede von einer neuen Mydoom-Variante, die entdeckt worden sei. Natürlich ist die ausführbare Beilage jener Mail nicht der im Mailtext versprochene Patch, sondern ein Exemplar des Sober.D-Wurms.

Update 15.04.2004, neue Sober-Variante F:

[9][10]Mit offiziell anmutenden, oft als Fehlermeldungen getarnten Mails versucht Sober-Variante F seine Leser zu verführen, auf den verwurmten Anhang zu klicken. Sober.F verwendet eine Vielzahl von deutschen und englischen Nachrichtentexten, die Absenderadressen sind immer gefälscht. Informationen gibts bei verschiedenen Antivirus-Herstellern, zum Beispiel bei F-Secure und Kaspersky . Ein besonders fieses Beispiel mit dem Anhang eine Datei Datenbank_Auszug.pif sehen Sie im folgenden Screen:Diese Mail hat nicht der PCtipp, sondern ein W32.Sober.F-Wurm verschickt. Alle Adressen sind vom Wurm gefälscht.

Update 23.05.2004, neue Sober-Variante G:

Diese Inkarnation des Sober-Wurms verbreitet sich in Mails, die sowohl englische als auch deutsche Texte enthalten können. Die Absenderadresse ist stets gefälscht.

Wenn sich der Wurm an Adressen mit Endungen .at, .ch, .de oder .li verschickt, wird immer eine deutschsprachige Fassung des Texts verwendet. Die deutschsprachigen Betreffzeilen reichen von pseudo-administrativen Themen (z.B. "Rechnung", "Sie haben nicht gezahlt", "Bestellungs Bestatigung") über angebliche technische Mails (z.B. "Mail_Fehler", "ESMTP Error", "Verbindung wurde getrennt") bis zu angeblich persönlichen Ködern (z.B. "lol, wat'n los ey?", "Hi, sei vorsichtig!", "Dein Zeug's!" oder "ich habe mich in dich verliebt!").

Im Mailtext selber wird meist etwas obskur vom eigentlichen Grund der Mail gefaselt, der sich angeblich in der Beilage befinden soll. Z.B. mit Sätzen wie diesen:

- "Hier sind die Tools die du haben wolltest!"

- "Ihre neuen Account Daten finden Sie im beigefugten Dokument"

- "Leider mussen wir darauf hinweisen, das rechtliche Schritte gegen Sie eingeleitet werden konnen. Alle Informationen bezuglich diesem Tarifes finden Sie im mitgesendetem Dokument"

- "Weitere Informationen befinden sich im Anhang dieser Mail"

- "Wenn Du genauso fuhlst, dann schau dir bitte den Anhang an."

Alle möglichen Betreffzeilen und die kompletten vom Wurm verwendeten Texte lesen Sie auf der Webseite von F-Secure [11]. Die Beilage, die mit solchen und weiteren verlockenden Texten angepriesen wird, enthält natürlich den Wurm.

Viele der Sober.G-Mails enthalten als Signatur auch einen gefälschten Virenscan-Report, der vorgaukeln soll, die Mail sei gescannt und für virenfrei befunden worden.

Hat sich der Empfänger einer Sober-Mail zum Öffnen der Beilage hinreissen lassen, installiert sich der Wurm wie folgt im System:

Erst zeigt er eine Fehlermeldung wie "File not found" an und fragt, ob er die Datei in Notepad öffnen soll. Klickt der User auf JA, öffnet sich ein Notepad-Fenster mit Zeichensalat. Nun kopiert er sich unter einem zufällig gewählten Dateinamen in den Windows System-Ordner und trägt diese Datei in der Windows-Registry in diese Zweige ein:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

(Zufallsname): "%WinSysDir%\(zufallsname).exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

(Zufallsname): "%WinSysDir%\(zufallsname).exe"

Zusätzlich erstellt er im Windows System-Ordner drei Dateien ohne Inhalt:

bcegfds.lll

zhcarxxi.vvx

cvqaikxt.apk

Sowie zwei Dateien mit Wurm-Inhalt:

xdatxzap.zxp

datsobex.wwr

Nun durchsucht er das System und liest aus einer ganzen Litanei möglicher Dateitypen (Maildatenbanken, Adressbücher, Textdateien etc.) die Mailadressen aus, an die er sich versenden möchte. Diese Adressen speichert er in Dateien mit diesen Namen:

winzweier.dats

wincheck32.dats

winexpoder.dats

Die Schadensfunktion des Wurms besteht darin, von bestimmten deutschen oder österreichischen Webseiten weitere ausführbare Dateien herunterzuladen und auszuführen. Diese Dateien können unbestimmte schädliche Auswirkungen auf den PC haben.

Um den Wurm zu beseitigen, versuchen Sie es mit dem Säuberungsprogramm [12] von Symantec.