139368

Comeback: Neuer Sober-Wurm

03.05.2007 | 13:57 Uhr |

Ein vor über einem Jahr zuletzt gesichteter Wurm taucht wieder auf. Eine neue Variante des Sober-Wurms wird derzeit mit Mails verbreitet, die sich als administrative Nachrichten ausgeben.

Klassische Mail-Würmer gelten als beinahe ausgestorben, obwohl alte Bekannte wie "Netsky" immer noch die Malware-Charts anführen. Bis Ende 2005 sorgte die Wurm-Familie "Sober" besonders in Deutschland für einige Aufregung. Vor Bundestags- oder Landtagswahlen verbreiteten sie gerne auch mal Nazi-Spam. Nach einer langen Pause taucht nun wieder eine neue Sober-Variante in den Mailboxen auf.

Die Mails kommen mit einem Betreff wie zum Beispiel "Ihr Passwort wurde geaendert!", "Fehlerhafte Mailzustellung", "Ihr Account wurde eingerichtet!", "Danke das Sie sich fuer uns entschieden haben.", "Your Updated Password!" oder "Error in your eMail". Die gefälschte Absenderangabe setzt sich aus einem der Benutzernamen "Webmaster", "Admin", "Postmaster" oder "Hostmaster" sowie einer der Domains "hotmail.com", "gmx.de", "web.de", "microsoft.com" oder "aol.de" zusammen. Im Text heißt es zum Beispiel, das Passwort des Empfängers sei wie gewünscht geändert worden. Es wird jeweils auf den Anhang verwiesen.

Der Anhang besteht aus einer ZIP-Datei mit einem Namen wie "Passw_Data<Zahl>.zip", "PDaten<Zahl>.zip", "Mail_Data<Zahl>.zip" oder "Anleitung<Zahl>.zip". Darin steckt der Wurm als "Winzipped_Data-Files.exe" mit einer Größe von 88 KB. Wird dieses Programm ausgeführt, zeigt es eine vorgetäuschte Winzip-Fehlermeldung an. Es legt im Windows-Verzeichnis den neuen Ordner "PoolData" an und darin unter anderem die Dateien csrss.exe, services.exe und smss.exe. Die Dateien gleichen Namens im System32-Verzeichnis gehören hingegen zu Windows.

Der Schädling trägt sich zum automatischen Aufruf beim Windows-Start in die Registry ein, deaktiviert das automatische Windows-Update und schaltet das Sicherheitscenter sowie die Firewall von Windows XP aus. Außerdem versucht er Prozesse bestimmter Sicherheitsprogramme zu beenden, etwa die von Virenscannern. Sober lädt weitere Malware von wöchentlich wechselnden URLs herunter, die sich aus einem bestimmten Berechnungsschema ergeben, das im Wurm enthalten ist.

Schließlich verschickt er Mails mit einer Kopie seiner selbst und den oben beschriebenen Eigenschaften an Adressen, die er auf dem infizierten Rechner gefunden hat. Die Verbreitung dieses Wurms hat bislang nicht annähernd die Ausmaße erreicht wie die seiner Vorgänger. Die meisten Antivirus-Programme erkennen den Wurm bereits, zum Teil sogar ohne neuere Updates.

Erkennung durch Antivirus-Programme:

Antivirus

Malware-Name

AntiVir

WORM/Sober.Gen

Avast!

Win32:Sober-AV [Wrm]

AVG

I-Worm/Sober.CP

Bitdefender

Win32.Sober.Gen

ClamAV

Worm.Sober-1

Command AV

W32/Sober.AT@mm

Dr Web

Win32.HLLM.Generic.422

eSafe

Win32.Sober.AA

eTrust

Win32/Sober.X

Ewido

Worm.Sober.aa

F-Prot

W32/Sober.AT@mm

F-Secure

Email-Worm.Win32.Sober.aa

Fortinet

W32/Sober.AA@mm

Ikarus

Email-Worm.Win32.Sober.AA

Kaspersky

Email-Worm.Win32.Sober.aa

McAfee

W32/Sober.gen@MM

Microsoft

Worm:Win32/Sober.AH@mm

Nod32

Win32/Sober.Z

Norman

W32/Sober.gen

Panda

W32/Sober.AN.worm

QuickHeal

I-Worm.Sober.aa

Rising AV

Worm.Mail.Sober.fl

Sophos

W32/Sober-AD

Symantec

W32.Sober.AA@mm

Trend Micro

WORM_SOBER.AX

VBA32

Email-Worm.Win32.Sober.aa

VirusBuster

I-Worm.Sober.AL

WebWasher

Worm.Sober.Gen

GData AVK 2007 *

Email-Worm.Win32.Sober.aa


Quelle: AV-Test , Stand: 03.05.2007, 12 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast

0 Kommentare zu diesem Artikel
139368