News 19.04.2005, 19:00 Uhr

W32/Sober.N (alias Sober.M, Sober.O)

Je nach Zieladresse verschickt sich die neue Sober-Variante mit einem deutschen oder englischen Text.
Vom Sober-Wurm wurde in der Nacht auf den 19. April 2005 vermutlich mit Spammer-Methoden eine neue Variante verbreitet.
Der Wurm verschickt sich jeweils in Deutsch an Mailadressen mit einer Top Level Domain wie .at, .ch, .de und .li, ebenso an jene mit der Zeichenfolge ".gmx". Die Mails von Sober.N kommen mit diesen Kennzeichen daher:
Absender: gefälscht
Betreff: "FwD: Ich bin's nochmal"
Beilage: Private-Texte.zip
Der Text:
"Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.
Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!
Ich melde mich.
Bis bald ;)"
Hier ein Beispiel:
Die englischsprachige Variante wird verwendet, wenn die Zieladresse eine andere Top Level Domain trägt, z.B. .com oder .net:
Absender: gefälscht
Betreff: "I've_got your EMail on my_account!"
Beilage: your_text.zip
Der Text:
"Hello,
First, Very Sorry for my bad English.
Someone is sending your private e-mails on my address.
It's probably an e-mail provider error!
At time, I've got over 10 mails on my account, but the recipient are you.
I have copied all the mail text in the windows text-editor for you & zipped then.
Make sure, that this mails don't come in my mail-box again. bye"
In der Zipdatei steckt natürlich ein Exemplar des Wurms. Wenn der unvorsichtige Empfänger solcher Mails die Datei entpackt und ausführt, installiert sich der Wurm wie folgt:
Zuerst zeigt er zur Ablenkung ein Fenster des Notepad-Editors an mit dem Titel "mail.document.Datex-packed.txt", welches mit einer gefälschten Fehlermeldung "UnPack failed" beginnt und ansonsten Datensalat enthält. Diese Datei erstellt er im Temp-Ordner des PCs, also z.B. in C:\Windows\Temp. Auf PCs mit Windows 9x kann diese Textdatei zu gross für den Notepad-Editor sein, weshalb eine entsprechende Fehlermeldung erscheint, mit dem Vorschlag, die Datei in Wordpad zu öffnen.
In der Zwischenzeit kopiert sich der Wurm unter dem Dateinamen services.exe je nach Windows-Version in diesen Ordner:
Win9x/Me/XP: C:\Windows\Config\system
Win2000: C:\Winnt\Config\system
ACHTUNG: Nicht verwechseln!
Auf allen Windows-PCs gibts auch harmlose bzw. wichtige Systemdateien mit dem Namen services.exe. Diese liegen aber nicht im Unterordner \Config\System\, sondern beispielsweise in Ordnern wie diesen:
C:\Winnt\ServicePackFiles\i386\
C:\Winnt\System32\
C:\Winnt\System32\dllcache\
C:\Windows\ServicePackFiles\i386\
C:\Windows\System32\
C:\Windows\System32\dllcache\
Verwechseln Sie diese also bitte nicht mit jener Datei, die der Wurm in einem anderen Ordner ablegt.
Damit der Wurm bei jedem PC-Start geladen wird, trägt er sich wie folgt in die Registry ein:
In diesem Registry-Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Mit diesem Eintrag:
"SystemCheck" = "%Windir%\config\system\services.exe"
In diesem Registry-Zweig:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Mit diesem Eintrag:
"_SystemCheck" = "%Windir%\config\system\services.exe"
Zusätzlich erstellt der Wurm noch weitere Dateien. Zwei davon im selben Ordner, in dem sich auch die vom Wurm platzierte Datei services.exe befindet: Die Datei zipped.wrm enthält eine in Base64 codierte Fassung von Sober.N. Diese Datei verwendet der Wurm für die Weiterverbreitung. In der zweiten Datei maddys.xyz speichert er die Mailadressen.
Im System-Ordner von Windows legt Sober.N ferner noch die Files adcmmmmq.hjg, langeinf.lin, nonrunso.ber und xcvfpokd.tqa ab. Diese benutzt er offenbar, um frühere Varianten des Wurms zu deaktivieren.
Weiterverbreitung:
Der Wurm durchsucht auf dem infizierten PC viele verschiedene Adressbuch-, Datenbank-, Text- und Maildateitypen nach brauchbaren E-Mail-Adressen, an die er sich mit den eingangs erwähnten Kennzeichen weiterverbreiten kann.
Manuelle Beseitigung:
Starten Sie den PC in den abgesicherten Modus, indem Sie kurz nach dem Einschalten die Taste F8 drücken und den abgesicherten Modus auswählen.
Löschen Sie die Dateien, die der Wurm laut der obigen Beschreibung ablegt.
Entfernen Sie die Registry-Einträge, die der Wurm laut der obigen Beschreibung erstellt hat.
Was bei F-Secure und Symantec unter dem Namen Sober.N [1] bzw. W32.Sober.N@mm [2] bekannt ist, wird z.B. bei McAfee W32/Sober.o@MM [3] genannt.



Kommentare
Es sind keine Kommentare vorhanden.