Home  >  Sicherheit  > Artikel 30196

spacer

W32/Sober.P

Diese neue Sober-Variante verspricht unter Anderem Tickets zur Fussball-WM 2006. Am Abend des 2. Mai 2005 hat sich dieser Wurm sehr schnell verbreitet.

blue_quad von Gaby Salvisberg (02.05.2005)

Die psychologischen Tricks, mit denen der Sober-Wurm-Autor seine Opfer ködern will, werden immer dreister. Er passt die Mail-Texte, die seine Würmer zur Verbreitung verwenden, immer wieder neuen Gegebenheiten an. An Adressen aus dem deutschsprachigen Bereich mailt er sich mit Texten in Deutsch (siehe Beispiele), ansonsten in Englisch. Diesmal sollen offenbar die Fussballfans geködert werden.

Es sind Sober-Exemplare aufgetaucht, welche die Empfänger der Wurm-Mails glauben machen wollen, sie hätten Aussicht auf Eintrittstickets zur Fussball-WM 2006. Da gerade im deutschsprachigen Raum sehr viele Benutzer solche Tickets bestellt haben und sehnlichst auf Antwort warten, besteht die Gefahr, dass es Hunderttausende sein werden, die auf diese Mails hereinfallen werden.

Ein paar Beispiel-Betreffzeilen:

- "FwD: Glueckwunsch: Ihr WM Ticket"

- "FwD: WM Ticket Verlosung"

- "WM-Ticket-Auslosung"

Als Absender werden Adressen wie diese verwendet, egal von welchem PC aus sich der Wurm verschickt:

- Ticket@ok2006.de

- Gewinn@ok2006.de

- fifa@ok2006.de

- OK2006@ok2006.de

Beispiel-Namen der Beilage:

- okTicket-info.zip

- Fifa_Info-Text.zip

Mailtext, z.B.: "Herzlichen Glueckwunsch,

beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.

Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.

Ihr "ok2006" Team

St. Rainer Gellhaus"

Die Tatsache, dass darunter auch eine echt wirkende FIFA-Adresse prangt, lässt die Mails noch offizieller erscheinen. Abgesehen davon wird auch eine gefälschte Signatur hinzugefügt, die behauptet, die Mail sei geprüft und als virenfrei befunden worden.

Die Beilage enthält natürlich keine Infos zum WM-Ticket sondern ein Exemplar des Wurms. Ein weitere Variante dieses Schädlings ist mit diesen Kennzeichen unterwegs:

Betreff: "Ich bin's, was zum lachen ;)"

Absender: gefälscht, d.h. nicht der wahre Absender

Name der Beilage: LOL.zip

Text: "Nun sieh dir das mal an!

Was ein Ferkel ...."

Da als Absender real existierende E-Mail-Adressen verwendet werden, besteht auch hier die Gefahr, dass viele Benutzer darauf hereinfallen.

Wer sich leichtfertigerweise dazu hinreissen lässt, die Beilage zu öffnen, erlaubt dem Wurm, sich wie folgt zu installieren:

Der Wurm erstellt laut Beschreibung von McAfee diese Registry-Einträge:

In diesem Zweig:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Name des Eintrags: "_WinStart"

Wert des Eintrags: C:\WINDOWS\Connection Wizard\Status\services.exe

In diesem Zweig:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Name des Eintrags: " WinStart"

Wert des Eintrags: C:\WINDOWS\Connection Wizard\Status\services.exe

Und dazu erzeugt er diese Dateien:

C:\WINDOWS\Connection Wizard\Status\fastso.ber

C:\WINDOWS\system32\adcmmmmq.hjg

C:\WINDOWS\system32\langeinf.lin

C:\WINDOWS\system32\nonrunso.ber

C:\WINDOWS\system32\seppelmx.smx

C:\WINDOWS\system32\xcvfpokd.tqa

C:\WINDOWS\Connection Wizard\Status\packed1.sbr

C:\WINDOWS\Connection Wizard\Status\packed2.sbr

C:\WINDOWS\Connection Wizard\Status\packed3.sbr

C:\WINDOWS\Connection Wizard\Status\sacri1.ggg

C:\WINDOWS\Connection Wizard\Status\sacri2.ggg

C:\WINDOWS\Connection Wizard\Status\sacri3.ggg

C:\WINDOWS\Connection Wizard\Status\voner1.von

C:\WINDOWS\Connection Wizard\Status\voner2.von

C:\WINDOWS\Connection Wizard\Status\voner3.von

C:\WINDOWS\Connection Wizard\Status\csrss.exe

C:\WINDOWS\Connection Wizard\Status\services.exe

C:\WINDOWS\Connection Wizard\Status\smss.exe

Nach erfolgter Infektion durchsucht der Wurm auf der Festplatte des neuen Opfers die Mail- und Textdateien nach brauchbaren Mailadressen. An diese verbreitet sich Sober.P mit den eingangs erwähnten Eigenschaften weiter.

WICHTIG: Öffnen Sie niemals irgendwelche unbekannten Mail-Beilagen, so verlockend Betreff, Mailtext und Beilagenname auch klingen mögen.

Weitere Informationen über den Wurm finden Sie unter Anderem bei diesen Antivirus-Herstellern: F-Secure [1], McAfee [2], Symantec (nennt ihn W32.Sober.O@mm [3]) oder Trend Micro [4] (nennt ihn Worm_Sober.S).



  
Drucken Drucken
spacer
WeiterempfehlenWeiterempfehlen
spacer
Kommmentar Kommentieren       
spacer


Anzeige
Social Bookmarks
Favoriten Twitter Facebook WordPress Blogger
Ähnliche Artikel
Sober: befürchtete Wurm-Welle bleibt aus

Ob die Warnungen der Sicherheitsexperten die Sober-Autoren eingeschüchtert haben? Bislang versuchen infizierte Rechner vergeblich neuen Schadcode... Sober: befürchtete Wurm-Welle bleibt aus

Microsoft warnt vor neuem Sober-Ausbruch

In den nächsten Tagen rollt auf PC-Anwender wahrscheinlich eine neue Sober-Wurm-Welle zu. Microsoft warnt vor neuem Sober-Ausbruch

Sexualtäter stellt sich wegen Sober-Wurm

Ein 20-jähriger Deutscher hat eine Nachricht des Sober-Wurms für voll genommen und sich deshalb bei der Polizei wegen Besitz von Kinderpornografie... Sexualtäter stellt sich wegen Sober-Wurm

Sober-Wurm: neue Flut von Nazi-Propaganda erwartet

Sicherheitsexperten warnen vor einer weiteren Sober-Welle im Januar. Sie wird die Mail-Boxen voraussichtlich mit massenweise rechtsradikaler Propaganda... Sober-Wurm: neue Flut von Nazi-Propaganda erwartet

In MSN und Hotmail ist der Wurm drin

Der Computerwurm Sober Z bereitet Hotmail und MSN Bauchschmerzen. In MSN und Hotmail ist der Wurm drin

Mehr Sicherheit
Aktuelle Bedrohungen
Flugzeug-iPhone-Brand: Schraube war schuld

Eine kleine Schraube und eine verpfuschte Reparatur waren schuld am iPhone-Brand, der sich im vergangenen November in einem Flugzeug einer australischen... Flugzeug-iPhone-Brand: Schraube war schuld

Cybercrime-Angriffe: Schweiz in den Top 10

Die Zahl der Cyber-Angriffe ist im letzten Jahr um 81 Prozent gestiegen. In Europa belegt Deutschland den ersten Platz in der Cybercrime-Rangliste. Doch... Cybercrime-Angriffe: Schweiz in den Top 10

Drive-by-Malware für Android entdeckt

Lookout warnt vor dem erstern Drive-by-Download-Schädling für Android-Nutzer. «NotCompatible» mogelt sich fast automatisch auf Ihr Smartphone. Drive-by-Malware für Android entdeckt

Flashback-Trojaner kostet Google viel Geld

Über Flashback dürften sich nicht nur die Besitzer befallener Rechner ärgern, sondern auch Google. Jeden Tag sollen dem Suchgiganten wegen des Trojaners... Flashback-Trojaner kostet Google viel Geld

Microsoft Security Essentials 4.0 ist da

Microsoft bietet mit Security Essentials 4.0 eine neue Version seiner Antiviren-Software für Windows zum kostenlosen Download an. Microsoft Security Essentials 4.0 ist da

Mehr Sicherheit
Leser empfehlen
Kaspersky: «Apple 10 Jahre hinter Microsoft»

Laut dem Sicherheitsexperten Eugene Kaspersky ist der Flashback-Ausbruch auf Apples Macs nur der Anfang einer neuen Malware-Welle. Kaspersky: «Apple 10 Jahre hinter Microsoft»

Chinesen klauen VMware-Quellcode

Teile des Quelltexts von VMware ESX ist gestohlen und online veröffentlicht worden. Welche Sicherheitsrisiken sich hieraus ergeben, ist noch unklar. Chinesen klauen VMware-Quellcode

Facebook: Schweizer offenbaren viel

Der Sicherheitsanbieter secure.me hat untersucht, wie (un)vorsichtig Europäer mit sensiblen Informationen auf Facebook umgehen. Obwohl im Ländervergleich... Facebook: Schweizer offenbaren viel

Russland, Hochburg der Cyberkriminellen

Cyberkriminelle «verdienen» jährlich über 12 Milliarden US-Dollar. Einen grossen Teil davon ergaunern sich russischsprachige Hacker. Russland, Hochburg der Cyberkriminellen

FlashPlayer-Update: So gehts richtig

Der FlashPlayer von Macromedia bzw. Adobe bedarf hie und da einer Generalüberholung - auch aus Sicherheitsgründen. FlashPlayer-Update: So gehts richtig

Mehr Sicherheit
Tipps & Tricks
Trojaner entfernen

Ich glaube, ich habe einen Trojaner auf meinem Computer. Wie kann ich ihn entfernen? Trojaner entfernen

Wie entferne ich den Sober.G-Wurm?

Ich verwende Windows XP und habe ein Problem mit dem Virus W32.Sober.G@mm. Symantec hat auf ihrer Homepage genau mein Problem und die Lösung beschrieben,... Wie entferne ich den Sober.G-Wurm?

Mehr Sicherheitstipps
ICT-PRESSETICKER
Award für das Best Cloud/Virtualisation Project of the Year an RICOH und Infosys vergeben
Datenschutz für Weltenbummler: Kroll Ontrack gibt Verhaltenstipps für sicheren Einsatz mobiler Gerät
CA Technologies Channel Index 2012: Cloud-Ausgaben in der Schweiz steigen
ti&m@school zum Zweiten ? Schule Milchbuck in Zürich
Mobile Aktien-Risikoanalyse der ti&m AG
Mehr
ANZEIGE
PROMOTION
PCTIPP ABONNIEREN
Holen Sie sich monatlich die besten Tipps und Tricks für den PC-Alltag nach Hause.
1-Jahres-Abo 54.-
2-Jahres-Abo 95.-
Geschenkabo
NEWSLETTER
Wir halten Sie auf dem Laufenden: Der Newsletter liefert Ihnen jeden Werktag das Aktuellste aus der Welt von Computer und Internet.

Anmelden
RSS-FEEDS
Die PCtipp-Website bietet RSS-Feeds an. Holen Sie sich die Schlagzeilen von PCtipp.ch schnell und bequem auf den Desktop oder bauen Sie diese in Ihre eigene Webseite ein.
zu den Feeds
Anzeige