Sie sind hier: Home » Aktuelle Meldungen » Meldung
Meldung Nr: RUS-CERT-1157

[MS/Generic] E-Mail-Wurm gibt sich unter anderem als Virenentfernungswerkzeug oder Spambeschwerde aus
(2003-10-28 18:22:27.764276+00) Druckversion

Quelle: http://www.symantec.com/avcenter/venc/data/w32.sober@mm.html

Derzeit verbreitet sich ein neuer E-Mail-Wurm, der z.T. deutsche Betreffzeilen und Textkörper in die Nachrichten schreibt, mittels denen er sich verbreitet. Im Anhang befindet sich der eigentliche Wurm, der ein System infiziert, wenn der Benutzer das Attachment öffnet.

Betroffene Systeme

  • Microsoft Windows (praktisch alle Versionen)

Einfallstor
E-Mail Attachment

Auswirkung

  • massive Weiterverbreitung des Wurmes
  • Derzeit in Umlauf befindliche Versionen haben keine wirklich gefährliche Schadfunktion.
  • Der Wurm kopiert sich in das Systemverzeichnis
    • C:\Windows\System32 (Windows 95, 98, Me, XP, Server 2003)
    • C:\Winnt\System32 (Windows NT, 2000)
    des beherbergendnen Rechnersystems unter einem der folgenden Namen:
    • drv.exe
    • similare.exe
    • systemchk.exe
    • systemini.exe
    • winreg.exe
    • filexe.exe
    • sysrunll.exe
  • Außerdem erzeugt er entsprechende Einträge in den Registry-Keys
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    um sicherzustellen, bei jedem Systemboot getartet zu werden.
  • Der Wurm erzeugt eine Datei mit dem Namen
    • C:\Windows\System32\Macromed\Help\Media.dll (Windows 95, 98, Me, XP, Server 2003)
    • C:\Winnt\System32\Macromed\Help\Media.dll (Windows NT, 2000)

Typ der Verwundbarkeit
E-Mail-Wurm

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Infektion

  • Ausführung/Öffnen des E-Mail-Anhangs

Weiterverbreitung

  • Versenden von E-Mail-Nachrichten mit Attachment, in dem sich der Wurm befindet mittels eigener SMTP-Engine

Beschreibung
Der Wurm W32.Sober@mm verbreitet sich via E-Mail. Er sendet sich selbst im Anhang einer Nachricht, die eine deutsch- oder englischsprachige Betreffzeile und Nachrichtenkörper enthalten kann. Durch Ausführung (bei standardmäßig konfigurierten Systemen genügt i.A. das Öffnen) des in Visual Basic geschriebenen und mit UPX komprimierten Wurmcodes im Anhang durch den Benutzer installiert sich der Wurm auf dem beherbergenden Rechnersystem und durchsucht es nach E-Mail-Adressen. Der Wurm besitzt seine eigene SMTP-Engine, die zum Verschicken der Nachrichten an die gefundenen Adressen verwandt wird. Der Wurm fälscht die Absenderadresse dieser Nachrichten.

Gegenmaßnahmen
Entfernung des Wurmes:

  1. Deaktivieren Sie die Wiederherstellung systemkritischer Dateien unter Mirosoft Me und Windows XP, da sie bei der erfolgreichen Entfernung des Wurmes stören kann.
    Information zu diesem Schritt finden sich unter:
  2. Fahren Sie das System herunter und starten Sie es erneut im Safe Mode oder VGA Mode
  3. Entfernen Sie die o.g. Dateien aus dem Systemverzeichnis
  4. Entfernen Sie die o.b. Einträge aus den Registry-Keys
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  5. Starten Sie das System neu.
Sobald Updates für die verschiedenen Antivirusprogramme verfügbar sind, sollten folgende Schritte durchgeführt werden:
  1. Aktualisieren Sie die Datenbank Ihres Antivirusprogrammes
  2. Untersuchen Sie das System mit Ihrem Antivirusprogramm
  3. Entfernen Sie alle als infiziert markierten Dateien

Hinweis für Mitglieder der Universität Stuttgart
Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt und entfernt. Näheres hierzu erfahren Sie unter

Generelle Empfehlung (Wh)

  • Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
  • Kein ernstzunehmender Hersteller von System- oder Antivirussoftware verschickt Werkzeuge zur Entfernung irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine gefälschte Nachricht handelt.
  • Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Aliases
Der Wurm ist unter folgenden Namen bekannt:

  • W32/Sober@MM [McAfee]
  • I-Worm.Sober [Kaspersky]
  • W32/Sober-A [Sophos]
  • WORM_SOBER.A [Trend]. Sober [F-Secure]
  • W32/Sober.A@mm [Frisk]
  • W32.Sober@mm [Symantec]
  • W32/Sober.A [Norman]
  • Win32/Sober.A [Eset]
  • Win32.Sober.A [Computer Associates]

Charakteristika
Die Nachrichten, mit denen sich der W32.Sober@mm-Wurm verbreitet, haben folgende Charakteristika:

Absender
Der Wurm ist in der Lage, Headerzeilen zu fälschen.
Unter anderem enthalten die From:-Zeilen (Absenderadresse) infektiöser Nachrichten gefälschte Inhalte.

Betreffzeile
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, eine der folgenden Betreffzeilen (Subject)
    deutschsprachige Betreffzeilen:
  • Ein Wurm ist auf Ihrem Computer!
  • Hi Olle, lange niks mehr gehört!
  • Hi Schnuckel was machst du so ?
  • Ich Liebe Dich
  • Ich habe Ihre E-Mail bekommen !
  • Jetzt rate mal, wer ich bin !?
  • Langsam reicht es mir
  • Neue Sobig Variante (Lesen!!)
  • Neuer Virus im Umlauf!
  • Re: Kontakt
  • Sie haben mir einen Wurm geschickt!
  • Sie versenden Spam Mails (Virus?)
  • Sorry, Ich habe Ihre Mail bekommen
  • VORSICHT!!! Neuer Mail Wurm
  • Viurs blockiert jeden PC (Vorsicht!)
  • Überraschung
    englischsprachige Betreffzeilen:
  • A worm is on your computer!
  • Advise who I am!
  • Back At The Funny Farm
  • Be careful! New mail worm
  • Hey man, long not see you
  • Hi darling, what are you doing now?
  • I love you (I'm not a virus!)
  • I've become your mail!
  • New Sobig-Worm variation (please read)
  • New internet virus!
  • Now, it's enough
  • RE: Sex
  • Re: Contact
  • Re: lol
  • Sorry, I've become your mail
  • Surprise
  • Viurs blocked every PC (Take care!)
  • You have sent me a virus!
  • You send spam mails (Worm?)

Attachment
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, ein Attachment mit einem der folgenden Namen:

  • Anti-Sob.bat
  • AntiTrojan.exe
  • AntiVirusDoc.pif
  • Bild.scr
  • CM-Recover.com
  • Check-Patch.bat
  • Funny.scr
  • Hengst.pif
  • Liebe.com
  • Mausi.scr
  • NAV.pif
  • NackiDei.com
  • Odin_Worm.exe
  • Perversionen.scr
  • Privat.exe
  • Removal-Tool.exe
  • RobotMailer.com
  • Screen_Doku.scr
  • anti-trojan.exe
  • anti_virusdoc.pif
  • check-patch.bat
  • little-scr.scr
  • love.com
  • nacked.com
  • perversion.scr
  • pic.scr
  • playme.exe
  • potency.pif
  • removal-tool.exe
  • robot_mail.scr
  • robot_mailer.pif
  • schnitzel.exe
  • screen_doc.scr
  • security.pif

Textkörper
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, einen der folgenden Textkörper (weitere sind möglich):

    deutschsprachige Textkörper:
  • Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
    Sie sollten diesen Entfernen!!
    Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen Mailbox sprengen!
    Mit freundlichen Grüßen:
    <an sender>
    Anhang: AntiVirusDoc.pif

  • Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
    Sie sollten diesen Entfernen!!
    Wie es aussieht, ist bei Ihnen der ODIN Wurm aktiv!
    Sie sollten mit dem Patch-Programm testen,
    ob der Wurm bei Ihnen auf der Platte ist um Ihn dann automatisch
    löschen zu lasseg
    Niks wie ungut!
    Anhang: Check-Patch.bat

  • Kaspersky Lab Int. und Norton Anti Virus haben einen neuen Typos von Wurm entdeckt.
    Der Wurm nennt sich selbst ODIN und konnte sich bist jetzt,
    unbemerkt auf vielen Computern ausbreiten!
    Diese Mail wurde selbst mit dem Wurm verschickt, aber, als Anhang mit einem AntiVirus bestückt,
    den Norton in Zusammenarbeit mit Kaspersky Lab entwickelt hat!
    Sie sollten auf jeden Fall das <Removal tool> benutzen um ggf. den Wurm zu entfernen!
    Nachrichten<ID>: <Zufallszahl>
    Anhang: Removal-Tool.exe

  • Kaspersky Lab Int. und Norton Anti Virus haben einen neuen Typos von Wurm entdeckt.
    Der Wurm nennt sich selbst ODIN und konnte sich bist jetzt,
    unbemerkt auf vielen Computern ausbreiten!
    Der Wurm versteckt sich im Bildschirm-Schoner!
    In der -Screen_Doku- Dokumentation lesen Sie, wie Sie den Wurm
    mit wenigen Schritten das Handwerk legen können.
    Anhang: Screen_Doku.scr

  • Ich habe jetzt schon zum
    mal, eine Mail die an Sie
    Adressiert ist bekommen!
    Ähmm... *hust* der Anhang oder besser gesagt, die Dokumentation
    muss Ihnen aber nicht Peinlich sein ! *grins*
    Anhang: Perversionen.scr

  • Ich habe jetzt schon zum
    mal, eine Mail die an Sie
    Adressiert ist bekommen!
    Oder aber, Sie schicken mir diese Mails ohne es zu Wissen!
    Wenn dies der Fall sein sollte, haben sie wahrscheinlich ein Problem
    mit der COM- Schnittstelle.
    Wie dem auch sei, Ich war so frei und habe Ihnen ein Tool
    mitgeschickt, mit dem Sie die Konsole mal testen können.
    Gruß von:
    Anhang: CM-Recover.com

  • Habe mir extra einen falschen E-Mail Namen zugelegt um es dir nicht zu leicht zu machen!
    PS:
    War aber nicht meine Idee !
    Darauf kommst DU nie!!!
    Dafür kenne ich Dich zu gut!!
    Löse das kleine Bilderrätsel und ...
    Anhang: Bild.scr

  • Habe mir extra einen falschen E-Mail Namen zugelegt um es dir nicht zu leicht zu machen!
    PS:
    War aber nicht meine Idee !
    Darauf kommst DU nie!!!
    Dafür kenne ich Dich zu gut!!
    Stell dir einfach vor, das wäre eine Schnitzeljagd und Du bist der Jäger
    Naja, schaffste eh net, im Anhang sind ein paar kleine
    Spielchen, wenn du die Lösen kannst hat du mich, aber ...
    Anhang: schnitzel.exe

  • Oder liegts daran, dass die mir meine alten Mail Adressen
    weggemacht haben? *grins*
    Naja, Ich will hier nicht über E-Mail die jeder Arsch lesen kann,
    meine privaten Probleme bekannt machen!!
    Ich habe dir mal wat erzählt, naja zu gefährlich über Mail!!
    Steht alles im Anhang,, um den zu entschlüsseln, gebe dein
    Geburtstags-Datum als Passwort ein!
    Anhang: Privat.exe

  • Oder liegts daran, dass die mir meine alten Mail Adressen
    weggemacht haben? *grins*
    Naja, Ich will hier nicht über E-Mail die jeder Arsch lesen kann,
    meine privaten Probleme bekannt machen!!
    Jedenfalls haben die Schweine mir einen Trojaner auf'm Rechner geknallt!
    Und so isset dann passiert!
    Ich werde mich in den nächsten Tagen noch einmal melden,
    bis dahin solltest du mal deinen Rechner auf Trojaner untersuchen lassen,
    wenn ich einen hatte, hast du 100 pro auch einen!
    Ich habe dir einen guten Trojaner-Sucher mit bei getan!
    OK,... bis dann
    Anhang: AntiTrojan.exe

    englischsprachige Textkörper:
  • Programmer of the -Sobig Worm-
    Congratulations!! Your Sobig Worms are very good!!!
    You are a very good programmer!
    Yours faithfully
    Odin alias Anon
    Anhang: Odin_Worm.exe

  • I permanently get Spam-Mails from you and inside is a virus!!
    You should remove these thing.
    Read the document, before another or my mailbox explode!
    Yours sincerely:
    <sender>
    Anhang: anti_virusdoc.pif

  • I permanently get Spam-Mails from you and inside is a virus!!
    You should remove these thing.
    Sorry, but the ODIN Worm is probably on your computer!
    You should check this with the patch application.
    See you soon
    Anhang: check-patch.bat

  • Kaspersky Lab Int. and Norton Anti Virus have found a new typ of worm.
    He calls itself ODIN and he is very variable!
    This mail was spread with this Worm, too. BUT, the attachement is a AntiVirus!!
    Norton and Kaspersky Lab has create this bomb.
    You should use the <RemovalTool> to check and kill this thing.
    Message<ID>: #
    Anhang: removal-tool.exe

  • Kaspersky Lab Int. and Norton Anti Virus have found a new typ of worm.
    He calls itself ODIN and he is very variable!
    The worm hides in the screen saver.
    must not embarrasssing to you *laugh*
    Read the -screen_doc- documentation and you will be able to
    find and kill this virus!
    Robot<Transmission>
    Anhang: screen_doc.scr

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

  • [MS/Windows] Sober.I verbreitet sich (2004-11-19)
    Seit heute verbreitet sich eine neue Variante des Sober-Wurmes als Attachments an E-Mail-Nachrichten. Wie schon andere Varianten des Wurmes, fügt er infektiösen Nachrichten Zeilen hinzu, die andeuten sollen, dass die Nachricht auf Viren überprüft und daher sauber sei. Nach Infektion installiert sich der Wurm auf dem System und verändert die Windows Registry. Er ist in der Lage, auf befallenen Systemen verschiedene Antivirenprogramme zu deaktivieren. Sober.I verbreitet sich in Nachrichten mit englischem und deutschem Text.
    Um ein System zu infizieren ist Interaktion des Benutzers erforderlich, der das Attachment öffnen muß. Infektionen können durch Beachtung allgemeiner Hinweise zu Viren und Würmern wirksam verhindert werden. Information zu dieser Variante findet sich u.a. bei Symantec sowie beim BSI.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.