6214

Neuer Sober-Wurm kommt als WM-Ticket

03.05.2005 | 09:00 Uhr |

Die neueste Variante verbreitet sich mit Mails, die einen angeblichen Erfolg bei der Zuteilung von Eintrittskarten für die Fußball-WM verkünden.

Eine neue Version des Sober-Wurms tauchte gestern Nachmittag auf. Dabei wurde die Tatsache genutzt, dass gestern auch die zweite Phase der Ticket-Verlosung für die Fußball-WM startete. Mit darauf abgestimmtem Betreff und Text breiteten sich die ersten Exemplare schnell aus, so dass mehrere Antivirus-Hersteller noch am Abend eine erhöhte Alarmstufe ausriefen.

Wie bei Sober üblich gibt es deutsche und englische Varianten der verschickten Mails:

Glueckwunsch: Ihr WM Ticket
Ich bin's, was zum lachen ;)
Ihr Passwort
Ihre E-Mail wurde verweigert
Mail-Fehler!
WM Ticket Verlosung
WM-Ticket-Auslosung
mailing error
Registration Confirmation
Your email was blocked
Your Password

Es kommen auch Kombinationen mit "FwD: " oder "Re: " vor. Die Mail-Texte bestehen zum einen aus einem etwas längeren, der zu einer Zuteilung von WM-Tickets gratuliert, zum anderen aus zufälligen Kombinationen verschienener Textbausteine. So heißt es unter anderem:

"Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets für die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang."

Die Textbausteine imitieren Meldungen bei nicht zugestellten Mails und Textzusätze von Antivirus-Programmen (zum Beispiel "AntiVirus: Kein Virus gefunden"), sowie die Übermittlung eines Passworts. Die Absenderangabe sind gefälscht und enthalten zum Teil Domains der WM-Organisation (fifa.de, ok2006.de).

Der Anhang besteht aus einer 52 KB großen ZIP-Datei mit einem der folgenden Dateinamen:

_PassWort-Info.zip
account_info.zip
account_info-text.zip
autoemail-text.zip
error-mail_info.zip
Fifa_Info-Text.zip
LOL.zip
mail_info.zip
okTicket-info.zip
our_secret.zip

Die Datei enthält eine 53,554 KB große Programmdatei mit dem Namen "Winzipped-Text_Data.txt" gefolgt von mehreren Leerzeichen und der zweiten Endung ".exe" oder ".pif". Wird diese Datei entpackt und gestartet, durchsucht der Wurm die Festplatte nach Mail-Adressen, an die er sich versendet. Vorher prüft er noch, ob eine aktive Internet-Verbindung besteht, etwa durch Abfrage eines Zeit-Servers (NTP, über TCP-Port 37).

Ferner trägt er sich in die Windows-Registry ein:

Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Eintrag:
WinStart = %Windir%\Connection Wizard\Status\services.exe
(%Windir% steht dabei für das Windows-Verzeichnis, meist C:\Windows oder C:\Winnt).

Einige Antivirus-Programme wie McAfee und AntiVir erkennen den Wurm bereits ohne aktuelles Update als "W32/Sober.gen" oder "Worm/Sober.gen". Wenn Sie diesen Artikel lesen, dürften für die meisten Virenscanner Updates bereit stehen, mit denen der neue Wurm erkannt wird. Die Namensgebung variiert von einem Hersteller zu nächsten:

AntiVir Worm/Sober.P
AVG I-Worm/Sober.P
BitDefender Win32.Sober.O@mm
eTrust Win32.Sober.N
F-Prot W32/Sober.O@mm
Kaspersky Email-Worm.Win32.Sober.p
McAfee W32/Sober.p@MM
NOD32v2 Win32/Sober.O
Norman Sober.O@mm
Panda W32/Sober.V.worm
Sophos W32/Sober-N
Symantec W32.Sober.O@mm
Trend Micro WORM_SOBER.S

Weitere Details finden Sie Sie zum Beispiel bei McAfee und Symantec . McAfee hat sein Programm " Stinger " aktualisiert, das nun auch diese Sober-Variante entfernen kann.

Neuer Stinger wehrt sich gegen Abschaltung (PC-WELT Online, 03.05.2005)

0 Kommentare zu diesem Artikel
6214