W32/Sober.I

Der Wurm ist eine neue Variante des Sober-Wurms [1], von dem sich auch die Varianten C bis G [2] recht erfolgreich verbreitet hatten. Er verschickt sich von infizierten PCs aus automatisch in Mails mit verschiedenen Betreffzeilen und Texten. An Adressen mit Top-Level-Domains aus dem deutschen Sprachraum (.at, .ch, .de, .li) verschickt er sich mit deutschen Texten.

Einige der Sober-Mails sehen wie Unzustellbarkeitsmeldungen von anderen Mailservern aus. Viele tragen auch eine Signatur, die vorgibt, die Mails seien bereits nach Viren gescannt und für sauber befunden worden.

Wer die Mail-Beilage mit einer Endung wie BAT, COM oder EXE öffnet bzw. doppelklickt, lässt zu, dass sich der Wurm auf dem System installiert. Laut der finnischen Antivirenspezialistin F-Secure [3] geschieht dies wie folgt:

Wenn die Datei ausgeführt wird, zeigt der Wurm eine WinZip-Fehlermeldung an. Dann erstellt er von sich zwei Kopien im Windows-Ordner. Diese Dateien haben die Endung .EXE. Die Dateinamen selber werden zufällig aus diesen Zeichenfolgen zusammengesetzt: 32, crypt, data, diag, dir, disc, expoler, host, log, run, service, smss32, spool, sys, win. So könnten diese Dateien beispielsweise datadiscwin.exe, cryptservice.exe oder runlog32.exe heissen.

Nun sorgt der Wurm dafür, dass er bei jedem Systemstart mitgestartet wird. Hierfür erstellt er Registry-Einträge, die auf dieselbe Weise mit Zufallsnamen versehen sind, genau wie die oben erwähnten Dateinamen. Die Einträge finden in diesen Schlüsseln statt:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"Zufallsname" = "%WindowsSystemOrdner%\Zufallsname.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"Zufallsname" = "%WindowsSystemOrdner%\Zufallsname.exe %srun%"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"Zufallsname" = "%WindowsSystemOrdner%\Zufallsname.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"Zufallsname" = "%WindowsSystemOrdner%\Zufallsname.exe %srun%"

Der Sober.I-Wurm erstellt noch weitere Dateien im Windows-Systemordner:

clonzips.ssc, clsobern.isc, cvqaikxt.apk, dgssxy.yoi, nonzipsr.noz, Odin-Anon.Ger, sysmms32.lla, zippedsr.piz

Einige davon dienen angeblich dazu, frühere Sober-Varianten zu deaktvieren. Andere dieser Dateien enthalten eine im MIME-Mailformat codierte Kopie sowie eine gezippte Version der eigentlichen Wurmdatei.

Nun verschickt sich der Wurm an alle E-Mail-Adressen, die er in verschiedenen Dateien auf dem infizierten PC findet. Die gefundenen Adressen speichert er im Windows-Systemordner in zwei Dateien namens winroot64.dal und winsend32.dal. Er vermeidet jedoch bei seiner Verbreitung Mails an Adressen, die bestimmte Zeichenfolgen enthalten, wie z.B. sales@, press@, ventes@ und einige mehr.

Wie die Virenlabors berichten, verursacht der Sober-Wurm anfangs keine Schäden, wenn man von der exzessiven Verbreitung per Mail absieht. Allerdings sei der Wurm imstande, weitere Komponenten mit zusätzlichen Funktionen herunterzuladen, z.B. Schnüffel- oder Fernbedien-Programme. Details zu dieser Sober-Variante finden Sie inzwischen in den Virenbeschreibungen der meisten Antivirenlabors, wie zum Beispiel bei F-Secure, Kaspersky [4], Sophos [5] oder Symantec [6]. Bei McAfee [7] heisst der Wurm W32/Sober.j@MM.