....verbreitet sich schnell!!!
Dachte ich poste das mal hier, falls wer von euch in den nächsten Tagen da was aufn PC bekommen sollte. War heute Nachmittag bei meiner Tante und hab min. 4 Stunden gebraucht bis ich den PC wieder auf Vordermann gebracht hatte. Echt ätzend. Bei der gieng nix mehr.. nix mit Internet um was runterzuladen was man gegen den Virus machen kann und überhaupt hieng alles ... aber habs dann Schlussendlich gesschafft!!!!Eine dritte Sober-Variante verbreitet sich derzeit schnell im Internet. Wie seine Vorgänger Sober und Sober.b verschickt sich der Wurm Sober.c von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Wesentliche technische Neuerungen bringt er nicht mit, dafür sind die Nachrichtentexte umso geschickter formuliert. Beispielsweise gibt eine Nachricht vor, von der Kripo Düsseldorf zu sein. Darin wird behauptet, dass gegen den Empfänger der Mail ein Ermittlungsverfahren eingeleitet werde, da er illegal Filme und MP3-Dateien aus dem Internet herunterlade. Als Attachment ist eine Datei mit dem angeblichen Akteninhalt beigefügt, die natürlich den Wurm enthält. Andere Varianten warnen vor einem neuen Dialer und einem Trojaner, der sich dem Rechner des Empfängers befände.
Öffnet man die Dateianhänge *.bat, *.pif und *.exe infiziert der Wurm den Rechner. Diesmal kopiert er sich sogar dreimal auf das System, zwei der Dateinamen erzeugt Sober.c pseudo-zufällig. Auf befallenen System startet sich der Wurm in zwei Instanzen, die sich gegenseitig versuchen zu schützen, in dem sie unter anderem den Datei-Zugriff blockieren.
Die Betreffzeilen und Texte von Sober.c variieren sehr stark, allerdings ist auch er wieder bilingual: Er verschickt sich sowohl mit deutschen, als auch englischen Texten. Welche Sprache Sober.c verwendet, hängt von Domain-Suffix, also .de, at, ch, des Adressaten ab. Eine vollständige Liste der möglichen englischen und deutschen Betreffzeilen, sowie der Namen der Datenanhänge ist bei Bitdefender zu finden.
Einige Hersteller von Antivirensoftware haben schon reagiert und neue Signaturen zum Erkennen des Wurms, sowie Tools zu seiner Entfernung bereit gestellt. Dazu gehören insbesondere Kaspersky, Bitdefender und F-Prot. NAI und Symantec bieten bisher noch keine Beschreibung und Signaturen auf ihren Seiten an. Bereits die Signaturen zum Erkennen von Sober.b lassen bei beiden derzeit auf sich warten. Erst ab Weihnachten sollen diese zur Verfügung stehen.
[Update] Symantec hat ebenfalls die Viren-Signaturen für den LiveUpdate und Intelligent-Update aktualisiert. Damit sind nun fast alle Virenscanner in der Lage Sober.c zu erkennen. NAI beschert seine Kunden erst zum Weihnachtsfest mit neuen Signaturen.
[2. Update] NAI hat früher als angekündigt seine Signaturen aktualisiert. Seit Sonntag Abend gibt es ein neues DAT-File, mit dem der Scanner Sober.c erkennt.
Siehe dazu auch:
* Wurmbeschreibung von F-Secure
* Virenmeldungvon Bitdefender
(dab/c't)
Quelle: http://www.heise.de/security/news/meldung/43125
Und hier hab ich noch ne Erklärung für den SOBER C
Kurzinformationen
Virusname: Worm/Sober.C
Alias: I-Worm.Sober.C, W32.Sober.C@mm
Viren Typ: Wurm
Dateigröße: 73.728 Bytes
Betriebsysteme: Microsoft Windows 9x/NT/ME/2000/XP
Ursprung: Deutschland
Datum: 20.12.2003
Schadensroutine: überschreibt Dateien
VDF Version: 6.23.00.17
Allgemeine Beschreibung:
Worm/Sober.C versendet sich über seine eigene SMTP-Engine an die im Rechner gespeicherten Email-Adressen. Die Email mit deutschem Betreff enthält Datei-Anhänge mit den Erweiterungen .exe, .cmd, .pif, .bat, .scr oder .com.
Symptome:
- Nach dem Ausführen des Wurms erscheint eine gefakte Fehlermeldung:
Infektionsweg:
- Email-Versand über eigene SMTP-Engine
- Austausch über P2P Programme (z.B. KaZaA) via "My Shared Folder"
Technische Details:
Der Sober Wurm wurde in Visual Basic 6.0 (deutsche Version) entwickelt und mit dem UPX gepackt. Dabei wurden die UPX-Header gepatcht, um ein Auspacken mit herkömmlichen Mitteln zu erschweren.
Worm/Sober.C erstellt drei Kopien von sich selbst im Windows System Verzeichnis. Einmal als SYSHOSTX.EXE und zwei .EXE Dateien mit variablen Dateinamen. Der Wurm verwendet eine Reihe von Zeichenketten, mit deren Hilfe er die beiden Dateinamen erzeugt:
* win
* svc
* task
* sys
* dll
* host
* end
* dir
* ms
* run
* ex
* log
* on
* reg
* ie
* 32
* 16
* 64
* disk
* api
* app
* con
* mon
* drv
* crypt
* dat
* dx
* diag
* str
* xp
* hex
Der Wurm erzeugt außerdem die Datei SAVESYSS.DLL, in die er die gesammelten Emailadressen speichert, die er in Dateien mit folgender Dateierweiterung findet:
* htt
* rtf
* doc
* xls
* ini
* mdb
* txt
* htm
* html
* wab
* pst
* fdb
* cfgl
* db
* eml
* abc
* ldif
* nab
* adp
* mdw
* mda
* mde
* ade
* sln
* sw
* dsp
* vap
* php
* asp
* shtml
* shtm
Versendet sich der Wurm, überprüft dieser, ob die Emailadressen einer .DE, .CH, .AT, .LI, .NL oder .BE Domain angehören. Sollte dies der Fall sein, versendet er Emails mit deutschen Texten. Andernfalls wird die Email mit einem englischen Text versehen.
Zuletzt legt der Wurm die beiden Dateien HUMGLY.LKUR und YFJQ.YQWM im Windows Systemverzeichnis an.
Worm/Sober.C erstellt zwei Registry Run Einträge mit variablen Namen:
* [HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run]
"%Name%"="C:\\WINNT\\System32\\%varibler Dateiname1%.exe"
* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run]
"%Name%"="C:\\WINNT\\System32\\%varibler Dateiname1%.exe"
Die Namen dieser Einträge werden aus Dateinamen, welche im Windows Systemverzeichnis stehen, generiert.
Der Selbstschutz des Wurms:
Der Wurm startet sich generell in zwei Instanzen, das heißt, er läuft gleichzeitig zweimal auf dem infizierten Windows System.
Dabei sperrt der eine Prozess den jeweils anderen Prozess im "EXCLUSIV ZUGRIFF", sodass wenn der Wurm einmal aktiv ist, die Datei von den meisten Antivirenscannern nicht mehr gescannt werden kann, da kein Zugriff vom System gestattet wird.
Beendet man einen der beiden Prozesse, wird dessen Abwesenheit durch den zweiten Prozess festgestellt, und der gerade eben terminierte Prozess wird vom ersten Prozess aus erneut gestartet. Dadurch hat der Heimanwender mit Hilfe des Taskmanagers keine Chance, beide Wurmprozesse gleichzeitig zu terminieren.
Wird versucht, den Run Eintrag des Wurms aus der Windows Registry zu entfernen, während dieser noch aktiv ist, erzeugt er automatisch diesen Eintrag wieder in die Registry. Dies wurde mit einem Visual-Basic-Timer-Objekt gelöst, welches in Intervallen die Registry nach dem Fehlen des Autorun-Eintrags abfragt.
Infektion des Verzeichnis 'My Shared Folder':
Beim ersten Start des Wurms infiziert dieser sämtliche Executables im Ordner 'My Shared Folder' indem er sich generell an die erste Stelle der Datei setzt. Der Wurm agiert damit als sogenannter 'Overwriter', der die entsprechenden Executables damit unreparierbar beschädigt. Sinn und Zweck dieser Vorgehensweise ist eine angestrebte zusätzliche Verbreitung über Filesharing Netzwerke, welche ihre Austauschdateien in diesem Ordner gerne standardmäßig ablegen. Ist die Wirtsdatei kleiner als der Wurm selber, so wird sie mit dem kompletten Wurm überschrieben.
Versand von Emails:
Sober enthält eine eigene SMTP-Engine zum Versenden von Emails. Die Emailadressen, an die sich Worm/Sober.C versendet, werden in der Datei SAVESYSS.DLL gesammelt.
Die Betreffzeile der Email wird aus folgenden Liste ausgewählt:
* Betr: Klassentreffen
* Testen Sie ihren IQ
* Bankverbindungs- Daten
* Neuer Dialer Patch!
* Ermittlungsverfahren wurde eingeleitet
* Ihre IP wurde geloggt
* Sie sind ein Raubkopierer
* Sie tauschen illegal Dateien aus
* Ich hasse dich
* Ich zeige sie an!
* Sie Drohen mir!!
* Anime, Pokemon, Manga, Handy ...
* AnmeldebestStigung
* Neu! Legales Filesharing
* Umfrage: Rente erst mit 80!
* du wirst ausspioniert
* Ein Trojaner ist auf Ihrem Rechner!
* Du hast einen Trojaner drauf!
* Hi, Ich bin's
* ups, i've got your mail
* Sorry, that's your mail
* hi, its me
* Thank You very very much
* you are an idiot
* why me?
* I hate you
* Preliminary investigation were started
* Your IP was logged
* You use illegal File Sharing ...
* A Trojan horse is on your PC
* a trojan is on your computer!
* Anime, Pokemon, Manga, ...
Danach wird der Name des Dateianhang aus der folgenden Liste ausgesucht:
* www.iq4you-german-test.com
* www.freewantiv.com
* www.free4share4you.com
* www.onlinegamerspro-worm.com
* www.freegames4you-gzone.com
* www.anime4allfree.com
* www.animepage43252.com
* downloader.exe
* yourmail.doc.pif
* alledigis.exe
* aktenz57189.pif
Entfernungshinweise:
- Mit dem Removal-Tool von Antivir:
Removal TOOL
Bitte beachten Sie vor dem Download, dass die Bedingungen der Endbenutzervereinbarung (EULA) von H+BEDV Datentechnik GmbH für diese Software gelten und dass die Nutzung dieses Repair-Tools auf eigene Gefahr geschieht. Eine Haftung bei ggf. auftretenden Schäden schließen wir aus.
Quelle:
http://www.antivir.de/vireninfo/sober_c.htm
