Achtung: Sober G wütet!

SPT|Luder · 18.05.2004, 18:58

Sober: Jetzt ist Variante G online...

Wurm Sober greift in neuer Variante an, sammelt Mail-Adressen von infizierten Computern und verschickt sich selbst weiter.

Das Antiviren-Unternehmen Sophos warnt vor einer neuen Variante des Sober-Wurms. Der Mailwurm Sober-G (W32/Sober-G) tritt seit dem Wochenende auf und verbreitet sich, indem er die E-Mail-Adressen auf den infizierten Computern einsammelt und sich selbst an diese Adressen verschickt.

Dabei verwendet er eine ganze Reihe von verschiedenen Betreffzeilen, wie zum Beispiel "Mail Delivery failure", "Your Password" und "Registration confirmation".

Kalt erwischt
"Diese neueste Variante des Sober-Wurms scheint die Computernutzer kalt zu erwischen, nachdem sich alle von den Attacken des Sasser-Wurms erholen", vermutet Gernot Hacker, Director of Technology bei Sophos.

Quelle: aon.at

18.05.2004, 19:08

boah da schlägt mein Herz doch gleich höher es freut mich immer wieder wenn ich solche News lese. Denn somit wird der ganzen Welt klar das MS einfach zu schlampig arbeitet.

Also w****r so

ps. mit einfachen sicherheits Maßnahmen kann man sich gegen solche Angriffe schützten ...

TurkishFighter · 19.05.2004, 03:55

boah ne ^^

wo kaman das virus runterladen *g* :P

19.05.2004, 08:39

oh man die viren sind ja fast wie cheats

) immer kommt ne neue version raus die proof ist

digganigga · 23.05.2004, 17:03

hier noch ein paar informationen zu dem Wurm:

Zitat:

I-Worm.Sober.G ist sehr variabel im infizieren von PC-Systemen und deshalb kann die nachfolgende Beschreibung nur als Anhaltspunkt genommen werden.
Alias: W32/Sober-G, I-Worm.Sober.g

Removal Tool ((C) by Symantec)
[1]

Worm.Sober.G, verbreitet sich per E-Mail indem er die eigene SMTP Engine verwendet. Er verbindet sich mit port 37/TCP und kopiert sich über HTTP selbst in das Windows-Systemverzeichnis und setzt den folgenden Registrier-Eintrag, um sich wieder starten zu können:

HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
"<variabel>" = "<Pfad zum Wurm> %1"

Der Name der Datei wird von der folgenden Liste gebildet:
sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32

Weiters wird der Registry folgender Eintrag hinzugefügt:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVe rsionRun

"<variabel>"="<varabel>.exe"

hinzu.

Besteht keine Verbindung zum Internet, wird das File C:WinsockError.log gelöscht und folgende Meldung am Bildschirm angezeigt:
STOP: 0x10020A2F (Unknown_blocking)

Possible Reason:
Your "Firewall" is blocking one or more System files

Check the "Winsock Error Log File" on
Winsock Error Log File

I-Worm.Sober.G versucht sich mit folgenden DNS Servern zu verbinden:
195.185.185.195
145.253.2.139
131.243.64.3
195.182.96.29
61.8.0.113
212.71.97.156
61.95.134.168
217.237.151.33
200.74.214.246
211.167.97.67
194.25.2.129
193.193.158.10
212.7.128.165
212.7.128.162
193.193.144.12
217.5.97.137
194.209.114.1
195.112.195.34
203.162.0.11
210.66.241.1
217.237.150.225
217.237.151.161
217.237.150.33
145.253.2.171
151.201.0.39
204.70.128.1
209.253.113.2
192.35.232.34
166.60.12.11
207.69.188.186
209.235.107.14
207.217.120.43
212.5.86.163
129.187.10.25
129.187.16.1
141.40.10.35
82.195.234.2
64.41.72.138
212.242.88.2
131.174.8.14
217.116.224.253

die IP-Adresse sucht er von:
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com

Folgende Dateien werden angelegt, um Informationen zu speichern:
%System%cegfds.lll
%System%cvqaikxt.apk
%System%datsobex.wwr, ist ein MIME-encoded Wurm.
%System%wincheck32.dats, enthält eine Liste der E-Mail-Adressen, die I-Worm.Sober.G auf dem infizierten Computer findet.
%System%winexpoder.dats, enthält eine Liste der übernommenen E-Mail-Adressen
%System%winzweier.dats, enthält eine Liste der E-Mail-Adressen, die der Wurm generiert hat.
%System%xdatxzap.zxp, ist der MIME-encoded gezippte Wurm.
%System%zhcarxxi.vvx
%System%NoSpam.readme, enthält nur deutschen Text.

%System% ist eine Variable - I-Worm.Sober.G orientiert sich an der Windows-Installation
(Zum Beispiel C:WindowsSystem or C:WinntSystem32

Weiters versucht der Wurm auf Port 37/TCP folgende Verbindungen aufzubauen:
ntps1-1.cs.tu-berlin.de
ntp2.fau.de
Rolex.PeachNet.edu
ptbtime2.ptb.de
time.nrc.ca
ntp.metas.ch
ntps1-0.cs.tu-berlin.de
ntp0.fau.de
timelord.uregina.ca
ntp-1.ece.cmu.edu
ptbtime1.ptb.de
time.ien.it
ntp3.fau.de
time.chu.nrc.ca
clock.psu.edu
ntp1.fau.de

Von folgenden HTTP-Servern versucht er eine Datei herunterzuladen:
scifi.pages.at
free.pages.at
home.pages.at
people.freenet.de
home.arcor.de

welche als %System%doerkggg.exe gespeichert und ausgeführt wird.

Die E-Mail-Adressen sucht sich I-Worm.Sober.G in Dateien mit folgenden Endungen:
.PMR,.STM,.SLK,.INBOX,.IMB,.CSV,.BAK,.IMH,.XHTML,. IMM,.IMH,.CMS,.NWS,.VCF,.CTL,.DHTM,.CGI, .PP,.PPT,.MSG,.JSP,.OFT,.VBS,.UIN,.LDB,.ABC,.PST,. CFG,.MDW,.MBX,.MDX,.MDA,.ADP,.NAB,.FDB, .VAP,.DSP,.ADE,.SLN,.DSW,.MDE,.FRM,.BAS,.ADR,.CLS, .INI,.LDIF,.LOG,.MDB,.XML,.WSH,.TBB,.ABX, .ABD,.PL,.RTF,.MMF,.DOC,.ODS,.NCH,.XLS,.NSF,.TXT,. WAB,.EML,.HLP,.MHT,.NFO,.PHP,.ASP,.SHTML,.DBX

Der Absender wird verfälscht indem er z.B. Information, System, FehlerMail, oder Vornamen aufscheinen lässt.

Betreff und Inhalt sind je nach eMail Endung (.com, .net, .de) verschieden. Der Inhalt passt sich der Endung an (englische oder deutsche Sprache)

Quelle: Webmasterpro.de

-] v!ruS [- · 25.05.2004, 17:17

och noe,... nicht schon wieder,...

naja, aber doch irgendwie lustig,... das die es ech nicht schaffen Windows sicher zu machen?!

lol

TurkishFighter · 26.05.2004, 22:24

ehm ich bekomme keine vireun muhaha

man es gibt auch linux :P

18.05.2004, 18:58	- 1
SPT\|Luder Neuer Benutzer Registriert seit: 05.03.2003 Beiträge: 0 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	Sober: Jetzt ist Variante G online... Wurm Sober greift in neuer Variante an, sammelt Mail-Adressen von infizierten Computern und verschickt sich selbst weiter. Das Antiviren-Unternehmen Sophos warnt vor einer neuen Variante des Sober-Wurms. Der Mailwurm Sober-G (W32/Sober-G) tritt seit dem Wochenende auf und verbreitet sich, indem er die E-Mail-Adressen auf den infizierten Computern einsammelt und sich selbst an diese Adressen verschickt. Dabei verwendet er eine ganze Reihe von verschiedenen Betreffzeilen, wie zum Beispiel "Mail Delivery failure", "Your Password" und "Registration confirmation". Kalt erwischt "Diese neueste Variante des Sober-Wurms scheint die Computernutzer kalt zu erwischen, nachdem sich alle von den Attacken des Sasser-Wurms erholen", vermutet Gernot Hacker, Director of Technology bei Sophos. Quelle: aon.at

18.05.2004, 19:08	- 2
suxx- Gast Beiträge: n/a	boah da schlägt mein Herz doch gleich höher es freut mich immer wieder wenn ich solche News lese. Denn somit wird der ganzen Welt klar das MS einfach zu schlampig arbeitet. Also w****r so ps. mit einfachen sicherheits Maßnahmen kann man sich gegen solche Angriffe schützten ...

19.05.2004, 03:55	- 3
TurkishFighter Neuer Benutzer Registriert seit: 06.05.2003 Beiträge: 0 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	boah ne ^^ wo kaman das virus runterladen g :P

19.05.2004, 08:39	- 4
50_Cent Gast Beiträge: n/a	oh man die viren sind ja fast wie cheats ) immer kommt ne neue version raus die proof ist

25.05.2004, 17:17	- 6
-] v!ruS [- Neuer Benutzer Registriert seit: 02.11.2003 Beiträge: 0 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	och noe,... nicht schon wieder,... naja, aber doch irgendwie lustig,... das die es ech nicht schaffen Windows sicher zu machen?! lol

26.05.2004, 22:24	- 7
TurkishFighter Neuer Benutzer Registriert seit: 06.05.2003 Beiträge: 0 Abgegebene Danke: 0 Erhielt 0 Danke für 0 Beiträge	ehm ich bekomme keine vireun muhaha man es gibt auch linux :P

Werbung
	--

Achtung: Sober G wütet!

SPT|Luder

TurkishFighter

digganigga

-] v!ruS [-

TurkishFighter