gerade eben frisch vom BSI bei mir eingetroffen.
-----BEGIN PGP SIGNED MESSAGE-----
######################################################################
CERT-Bund -- Warn- und Informationsdienst
######################################################################
Informationen zu Programmen mit Schadfunktionen
VIRINFO 03/15 vom 22.12.2003
Name: W32.Sober.C@mm
Alias: WORM_SOBER.C [TrendMicro]
W32/Sober.c@MM [McAfee]
Art: Wurm
Groesse des Anhangs: variabel
Betriebssystem: Microsoft Windows
Art der Verbreitung: Massenmail
Verbreitungsgrad: hoch
Risiko bei Aktivierung: hoch
Schadensfunktion: Massenmailing
Spezielle Entfernung: Stand-Alone-Tool
Bekannt seit: 20.12.2003
Aktualisierte Informationen finden Sie unter:
<http://www.bsi.bund.de/av/vb/soberc.htm>
Beschreibung:
W32.Sober.C@mm ist ein Massenmailer-Wurm, der sich ueber seine eigene
SMTP-Maschine versendet.
Die Absender-Adresse wird dabei gefaelscht!
Der Betreff ist in Englisch oder in Deutsch. Der Name des Anhanges ist
variabel und besitzt die Dateierweiterungen
.bat, .com, .cmd, .exe, .pif oder .scr.
Wird der Wurm aktiviert, geschieht folgendes:
1. Der Wurm kopiert sich selbst unter "SYSHOSTX.EXE" und zweimal unter
<zufaelliger Name> in das Windows-Systemverzeichnis.
2. Danach durchsucht er das System nach E-Mail-Adressen in Dateien mit
folgenden Dateierweiterungen:
.abc .ade .adp .asp .cfg .dbx .doc
.dsp .dsw .eml .fdb .hlp .htm .html
.htt .ini .ldb .ldif .mda .mdb .mde
.mdw .mht .nab .nfo .nsf .php .pst
.rtf .shtm .shtml .sln .txt .vap .wab
.xls
und speichert diese im Windows-Systemverzeichnis unter dem Namen
savesyss.dll. Die gefundenen E-Mail-Adressen werden dann fuer die
Weiterverbreitung verwendet.
3. Ein neuer Wert
"<zufaelliger Text>"="<zufaelliger Pfad und Dateiname>"
wird den beiden folgenden Registrierungsschluesseln zugewiesen:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Durch den Eintrag in die Registry wird der Wurm beim jedem Start des
Systems aktiviert
4. Bei der ersten Aktivierung des Wurms erscheint eine angebliche
Fehlermeldung :
"<Dateiname> has caused an unknown error. Stop: 00000010x18"
5. Die E-Mail hat eine der folgenden Betreffs und eine der folgenden
Anhaenge:
Betreff:
Betr: Klassentreffen
Testen Sie ihren IQ
Bankverbindungs- Daten
Neuer Dialer Patch!
Ermittlungsverfahren wurde eingeleitet
Ihre IP wurde geloggt
Sie sind ein Raubkopierer
Sie tauschen illegal Dateien aus
Ich hasse dich
Ich zeige sie an!
Sie Drohen mir!!
Anime, Pokemon, Manga, Handy ...
AnmeldebestStigung
Neu! Legales Filesharing
Umfrage: Rente erst mit 80!
du wirst ausspioniert
Ein Trojaner ist auf Ihrem Rechner!
Du hast einen Trojaner drauf!
Hi, Ich bin's
ups, i've got your mail
Sorry, that's your mail
hi, its me
Thank You very very much
you are an idiot
why me?
I hate you
Preliminary investigation were started
Your IP was logged
You use illegal File Sharing ...
A Trojan horse is on your PC
a trojan is on your computer!
Anime, Pokemon, Manga, ...
Anhang:
http://www.free4manga.com
http://www.free4share4you.com
http://www.tagespolitik-umfragen.com
http://www.iq4you-german-test.com
http://www.freewantiv.com
http://www.free4share4you.com
http://www.onlinegamerspro-worm.com
http://www.freegames4you-gzone.com
http://www.anime4allfree.com
http://www.animepage43252.com
aktenz#####.*
alledigis.*
DrohMails.*
haha_sehr_witzig.*
Klassenfoto.*
Kundendat####BaB.*
remove-lsass.*
remove-smss.*
SysDial-patch.*
Zugangsdaten.*
downloader.*
yourmail.*
Wobei:
# beliebige Ziffer
* Dateierweiterung txt., doc.
in Kombination mit, bat, cmd, pif, scr, exe, com
z.B.
"aktenz3374.txt.pif"
Entfernung:
Es stehen aktualisierte Virensignaturen fuer die jeweiligen Viren-
schutzprogramme zum Download bereit.
Es stehen bereits einzelne Tools zur Stand-Alone-Entfernung bereit:
McAfee :
<http://vil.nai.com/vil/stinger/>
Bitdefender:
<http://www.bitdefender.com/bd/site/downloads.php?menu_id=20#>
Generelle Hinweise:
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswuerdigen
Absendern pruefen, ob der Text der Nachricht auch zum Absender passt
(englischer Text von deutschem Partner, zweifelhafter Text oder
fehlender Bezug zu konkreten Vorgaengen etc.) und ob die Anlage
(Attachment) auch erwartet wurde.
Das BSI empfiehlt, den Versand / Empfang von ausfuehrbaren Programmen
(Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode
enthalten koennen (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch
abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen
Absender geschickt und nicht von einem Virus verbreitet wird.
Fragen richten Sie bitte an <mailto:antivir@bsi.de>.
Virenmeldungen koennen Sie an <mailto:virmeld@bsi.de> senden.
Mit freundlichen Gruessen
Ihr Team CERT-Bund
- -----------------------------------------------------------------
BSI - Bundesamt fuer Sicherheit in der Informationstechnik
Referat I 2.1 CERT-Bund
Telefon: +49-228-9582-444 / FAX: +49-228-9582-427
<mailto:wid-virinfo@bsi.bund.de> / <http://www.bsi.bund.de>
- -----------------------------------------------------------------
