Derzeit verbreitet sich ein neuer E-Mail-Wurm, der z.T. deutsche Betreffzeilen und Textkörper in die Nachrichten schreibt, mittels denen er sich verbreitet. Im Anhang befindet sich der eigentliche Wurm, der ein System infiziert, wenn der Benutzer das Attachment öffnet.

Betroffene Systeme

• Microsoft Windows (praktisch alle Versionen)

Einfallstor
E-Mail Attachment

Auswirkung

• massive Weiterverbreitung des Wurmes
• Derzeit in Umlauf befindliche Versionen haben keine wirklich gefährliche Schadfunktion.
• Der Wurm kopiert sich in das Systemverzeichnis
  • C:\Windows\System32 (Windows 95, 98, Me, XP, Server 2003)
  • C:\Winnt\System32 (Windows NT, 2000)
  des beherbergendnen Rechnersystems unter einem der folgenden Namen:
  • drv.exe
  • similare.exe
  • systemchk.exe
  • systemini.exe
  • winreg.exe
  • filexe.exe
  • sysrunll.exe
• Außerdem erzeugt er entsprechende Einträge in den Registry-Keys
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  um sicherzustellen, bei jedem Systemboot getartet zu werden.
• Der Wurm erzeugt eine Datei mit dem Namen
  • C:\Windows\System32\Macromed\Help\Media.dll (Windows 95, 98, Me, XP, Server 2003)
  • C:\Winnt\System32\Macromed\Help\Media.dll (Windows NT, 2000)

Typ der Verwundbarkeit
E-Mail-Wurm

Gefahrenpotential
mittel
(Hinweise zur Einstufung des Gefahrenpotentials.)

Infektion

• Ausführung/Öffnen des E-Mail-Anhangs

Weiterverbreitung

• Versenden von E-Mail-Nachrichten mit Attachment, in dem sich der Wurm befindet mittels eigener SMTP-Engine

Beschreibung
Der Wurm W32.Sober@mm verbreitet sich via E-Mail. Er sendet sich selbst im Anhang einer Nachricht, die eine deutsch- oder englischsprachige Betreffzeile und Nachrichtenkörper enthalten kann. Durch Ausführung (bei standardmäßig konfigurierten Systemen genügt i.A. das Öffnen) des in Visual Basic geschriebenen und mit UPX komprimierten Wurmcodes im Anhang durch den Benutzer installiert sich der Wurm auf dem beherbergenden Rechnersystem und durchsucht es nach E-Mail-Adressen. Der Wurm besitzt seine eigene SMTP-Engine, die zum Verschicken der Nachrichten an die gefundenen Adressen verwandt wird. Der Wurm fälscht die Absenderadresse dieser Nachrichten.

Gegenmaßnahmen
Entfernung des Wurmes:

1. Deaktivieren Sie die Wiederherstellung systemkritischer Dateien unter Mirosoft Me und Windows XP, da sie bei der erfolgreichen Entfernung des Wurmes stören kann.
   Information zu diesem Schritt finden sich unter:
   • How to Enable and Disable System Restore (Windows Me)
   • Frequently Asked Questions Regarding System Restore in Windows XP
2. Fahren Sie das System herunter und starten Sie es erneut im Safe Mode oder VGA Mode
3. Entfernen Sie die o.g. Dateien aus dem Systemverzeichnis
4. Entfernen Sie die o.b. Einträge aus den Registry-Keys
   • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
5. Starten Sie das System neu.

1. Aktualisieren Sie die Datenbank Ihres Antivirusprogrammes
2. Untersuchen Sie das System mit Ihrem Antivirusprogramm
3. Entfernen Sie alle als infiziert markierten Dateien

Hinweis für Mitglieder der Universität Stuttgart
Die Universität Stuttgart besitzt eine Campuslizenz für den McAfee Virenscanner, der in der aktuellen Version diesen Virus zuverlässig erkennt und entfernt. Näheres hierzu erfahren Sie unter

• http://wb.rus.uni-stuttgart.de/AntiVirus/default.asp (Zugriff nur für Mitglieder der Universität Stuttgart)

Generelle Empfehlung (Wh)

• Führen Sie keinerlei Attachments aus, die sie per Email erhalten haben, egal woher! Auch Hinweise in den Nachrichten, wie 'Virus Checked' oder Ähnliches, bieten keinerlei Schutz vor Viren, Würmern und trojanischen Pferden. Der beste Schutz ist nach wie vor ein gesundes Mißtrauen des Benutzers.
• Kein ernstzunehmender Hersteller von System- oder Antivirussoftware verschickt Werkzeuge zur Entfernung irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine gefälschte Nachricht handelt.
• Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie automatisierte Update-Dienste in Anpruch, wenn möglich.

Aliases
Der Wurm ist unter folgenden Namen bekannt:

• W32/Sober@MM [McAfee]
• I-Worm.Sober [Kaspersky]
• W32/Sober-A [Sophos]
• WORM_SOBER.A [Trend]. Sober [F-Secure]
• W32/Sober.A@mm [Frisk]
• W32.Sober@mm [Symantec]
• W32/Sober.A [Norman]
• Win32/Sober.A [Eset]
• Win32.Sober.A [Computer Associates]

Charakteristika
Die Nachrichten, mit denen sich der W32.Sober@mm-Wurm verbreitet, haben folgende Charakteristika:

Absender
Der Wurm ist in der Lage, Headerzeilen zu fälschen.
Unter anderem enthalten die From:-Zeilen (Absenderadresse) infektiöser Nachrichten gefälschte Inhalte.

deutschsprachige Betreffzeilen:
• Ein Wurm ist auf Ihrem Computer!
• Hi Olle, lange niks mehr gehört!
• Hi Schnuckel was machst du so ?
• Ich Liebe Dich
• Ich habe Ihre E-Mail bekommen !
• Jetzt rate mal, wer ich bin !?
• Langsam reicht es mir
• Neue Sobig Variante (Lesen!!)
• Neuer Virus im Umlauf!
• Re: Kontakt
• Sie haben mir einen Wurm geschickt!
• Sie versenden Spam Mails (Virus?)
• Sorry, Ich habe Ihre Mail bekommen
• VORSICHT!!! Neuer Mail Wurm
• Viurs blockiert jeden PC (Vorsicht!)
• Überraschung

englischsprachige Betreffzeilen:
• A worm is on your computer!
• Advise who I am!
• Back At The Funny Farm
• Be careful! New mail worm
• Hey man, long not see you
• Hi darling, what are you doing now?
• I love you (I'm not a virus!)
• I've become your mail!
• New Sobig-Worm variation (please read)
• New internet virus!
• Now, it's enough
• RE: Sex
• Re: Contact
• Re: lol
• Sorry, I've become your mail
• Surprise
• Viurs blocked every PC (Take care!)
• You have sent me a virus!
• You send spam mails (Worm?)

Attachment
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, ein Attachment mit einem der folgenden Namen:

• Anti-Sob.bat
• AntiTrojan.exe
• AntiVirusDoc.pif
• Bild.scr
• CM-Recover.com
• Check-Patch.bat
• Funny.scr
• Hengst.pif
• Liebe.com
• Mausi.scr
• NAV.pif
• NackiDei.com
• Odin_Worm.exe
• Perversionen.scr
• Privat.exe
• Removal-Tool.exe
• RobotMailer.com
• Screen_Doku.scr
• anti-trojan.exe
• anti_virusdoc.pif
• check-patch.bat
• little-scr.scr
• love.com
• nacked.com
• perversion.scr
• pic.scr
• playme.exe
• potency.pif
• removal-tool.exe
• robot_mail.scr
• robot_mailer.pif
• schnitzel.exe
• screen_doc.scr
• security.pif

Textkörper
Nach derzeitigem Kenntnisstand haben die Nachrichten, mit denen sich der Wurm verbreitet, einen der folgenden Textkörper (weitere sind möglich):

deutschsprachige Textkörper:
• Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
  Sie sollten diesen Entfernen!!
  Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen Mailbox sprengen!
  Mit freundlichen Grüßen:
  <an sender>
  Anhang: AntiVirusDoc.pif
  
  
• Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck.
  Sie sollten diesen Entfernen!!
  Wie es aussieht, ist bei Ihnen der ODIN Wurm aktiv!
  Sie sollten mit dem Patch-Programm testen,
  ob der Wurm bei Ihnen auf der Platte ist um Ihn dann automatisch
  löschen zu lasseg
  Niks wie ungut!
  Anhang: Check-Patch.bat
  
  
• Kaspersky Lab Int. und Norton Anti Virus haben einen neuen Typos von Wurm entdeckt.
  Der Wurm nennt sich selbst ODIN und konnte sich bist jetzt,
  unbemerkt auf vielen Computern ausbreiten!
  Diese Mail wurde selbst mit dem Wurm verschickt, aber, als Anhang mit einem AntiVirus bestückt,
  den Norton in Zusammenarbeit mit Kaspersky Lab entwickelt hat!
  Sie sollten auf jeden Fall das <Removal tool> benutzen um ggf. den Wurm zu entfernen!
  Nachrichten<ID>: <Zufallszahl>
  Anhang: Removal-Tool.exe
  
  
• Kaspersky Lab Int. und Norton Anti Virus haben einen neuen Typos von Wurm entdeckt.
  Der Wurm nennt sich selbst ODIN und konnte sich bist jetzt,
  unbemerkt auf vielen Computern ausbreiten!
  Der Wurm versteckt sich im Bildschirm-Schoner!
  In der -Screen_Doku- Dokumentation lesen Sie, wie Sie den Wurm
  mit wenigen Schritten das Handwerk legen können.
  Anhang: Screen_Doku.scr
  
  
• Ich habe jetzt schon zum
  mal, eine Mail die an Sie
  Adressiert ist bekommen!
  Ähmm... *hust* der Anhang oder besser gesagt, die Dokumentation
  muss Ihnen aber nicht Peinlich sein ! *grins*
  Anhang: Perversionen.scr
  
  
• Ich habe jetzt schon zum
  mal, eine Mail die an Sie
  Adressiert ist bekommen!
  Oder aber, Sie schicken mir diese Mails ohne es zu Wissen!
  Wenn dies der Fall sein sollte, haben sie wahrscheinlich ein Problem
  mit der COM- Schnittstelle.
  Wie dem auch sei, Ich war so frei und habe Ihnen ein Tool
  mitgeschickt, mit dem Sie die Konsole mal testen können.
  Gruß von:
  Anhang: CM-Recover.com
  
  
• Habe mir extra einen falschen E-Mail Namen zugelegt um es dir nicht zu leicht zu machen!
  PS:
  War aber nicht meine Idee !
  Darauf kommst DU nie!!!
  Dafür kenne ich Dich zu gut!!
  Löse das kleine Bilderrätsel und ...
  Anhang: Bild.scr
  
  
• Habe mir extra einen falschen E-Mail Namen zugelegt um es dir nicht zu leicht zu machen!
  PS:
  War aber nicht meine Idee !
  Darauf kommst DU nie!!!
  Dafür kenne ich Dich zu gut!!
  Stell dir einfach vor, das wäre eine Schnitzeljagd und Du bist der Jäger
  Naja, schaffste eh net, im Anhang sind ein paar kleine
  Spielchen, wenn du die Lösen kannst hat du mich, aber ...
  Anhang: schnitzel.exe
  
  
• Oder liegts daran, dass die mir meine alten Mail Adressen
  weggemacht haben? *grins*
  Naja, Ich will hier nicht über E-Mail die jeder Arsch lesen kann,
  meine privaten Probleme bekannt machen!!
  Ich habe dir mal wat erzählt, naja zu gefährlich über Mail!!
  Steht alles im Anhang,, um den zu entschlüsseln, gebe dein
  Geburtstags-Datum als Passwort ein!
  Anhang: Privat.exe
  
  
• Oder liegts daran, dass die mir meine alten Mail Adressen
  weggemacht haben? *grins*
  Naja, Ich will hier nicht über E-Mail die jeder Arsch lesen kann,
  meine privaten Probleme bekannt machen!!
  Jedenfalls haben die Schweine mir einen Trojaner auf'm Rechner geknallt!
  Und so isset dann passiert!
  Ich werde mich in den nächsten Tagen noch einmal melden,
  bis dahin solltest du mal deinen Rechner auf Trojaner untersuchen lassen,
  wenn ich einen hatte, hast du 100 pro auch einen!
  Ich habe dir einen guten Trojaner-Sucher mit bei getan!
  OK,... bis dann
  Anhang: AntiTrojan.exe
  
  

englischsprachige Textkörper:
• Programmer of the -Sobig Worm-
  Congratulations!! Your Sobig Worms are very good!!!
  You are a very good programmer!
  Yours faithfully
  Odin alias Anon
  Anhang: Odin_Worm.exe
  
  
• I permanently get Spam-Mails from you and inside is a virus!!
  You should remove these thing.
  Read the document, before another or my mailbox explode!
  Yours sincerely:
  <sender>
  Anhang: anti_virusdoc.pif
  
  
• I permanently get Spam-Mails from you and inside is a virus!!
  You should remove these thing.
  Sorry, but the ODIN Worm is probably on your computer!
  You should check this with the patch application.
  See you soon
  Anhang: check-patch.bat
  
  
• Kaspersky Lab Int. and Norton Anti Virus have found a new typ of worm.
  He calls itself ODIN and he is very variable!
  This mail was spread with this Worm, too. BUT, the attachement is a AntiVirus!!
  Norton and Kaspersky Lab has create this bomb.
  You should use the <RemovalTool> to check and kill this thing.
  Message<ID>: #
  Anhang: removal-tool.exe
  
  
• Kaspersky Lab Int. and Norton Anti Virus have found a new typ of worm.
  He calls itself ODIN and he is very variable!
  The worm hides in the screen saver.
  must not embarrasssing to you *laugh*
  Read the -screen_doc- documentation and you will be able to
  find and kill this virus!
  Robot<Transmission>
  Anhang: screen_doc.scr

Weitere Information zu diesem Thema

• Wurm W32.Sober tarnt sich als Antiviren-Tool [Update]
• Informationen aus dem BSI: W32.Sober@mm
• McAfee Virus Profile W32/Sober@MM

Weitere Artikel zu diesem Thema:

• [MS/Windows] Sober.I verbreitet sich (2004-11-19)
  Seit heute verbreitet sich eine neue Variante des Sober-Wurmes als Attachments an E-Mail-Nachrichten. Wie schon andere Varianten des Wurmes, fügt er infektiösen Nachrichten Zeilen hinzu, die andeuten sollen, dass die Nachricht auf Viren überprüft und daher sauber sei. Nach Infektion installiert sich der Wurm auf dem System und verändert die Windows Registry. Er ist in der Lage, auf befallenen Systemen verschiedene Antivirenprogramme zu deaktivieren. Sober.I verbreitet sich in Nachrichten mit englischem und deutschem Text.
  Um ein System zu infizieren ist Interaktion des Benutzers erforderlich, der das Attachment öffnen muß. Infektionen können durch Beachtung allgemeiner Hinweise zu Viren und Würmern wirksam verhindert werden. Information zu dieser Variante findet sich u.a. bei Symantec sowie beim BSI.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/