163190

Sober: Zombies verbreiten die neue Version

23.11.2005 | 15:35 Uhr |

Rechner, die in der letzten Woche mit einem Sober-Wurm infiziert wurden, verbreiten in dieser Woche die neue Variante.

In der letzten Woche wurden viele Varianten des Sober-Wurms überwiegend Spam-artig verbreitet. Sie wurden also direkt per Mail an umfangreiche Adresslisten versandt. Die auf diese Weise erfolgreich infizierten PCs verbreiten nun die neue Sober-Version und nicht die, mit der sie ursprünglich infiziert wurden.

Wie bereits länger bekannte Sober-Varianten enthalten auch die aus der letzten Woche eine Update-Funktion. Sie können also neue Versionen des Wurms aus dem Internet laden und ausführen. Prinzipiell könnten sie auch beliebige andere Schädlinge herunter laden und installieren. Frühere Sober-Versionen enthalten auch eine Art Haltbarkeitsdatum, sie deaktivieren sich also nach einem bestimmten Tag. Vermutlich gilt all dies auch für den aktuellen Sober-Wurm, die Untersuchungen dazu laufen noch.

Die als " CME-681 " (Common Malware Enumeration) bezeichnete Sober-Version zeigt, wenn sie ausgeführt wird, zunächst eine vorgetäuschte Fehlermeldung an ("WinZip Self-Extractor: Error in packed Header"). Dann erstellt Sober im Windows-Verzeichnis ein neues Verzeichnis mit dem Namen "WinSecurity" und legt darin mehrere Kopien von sich ab (csrss.exe, services.exe, smss.exe). Ferner legt er darin diverse weitere, meist harmlose Dateien an, die unter anderem zum Speichern gesammelter Mail-Adressen dienen.

Findet Sober ein laufendes MRT (Microsofts kleine Wurm-Kur), versucht er es zu beenden, ebenso weitere laufende Prozesse, die bestimmte Zeichenketten enthalten, zum Beispiel "stinger", "hijack", "avwin", "sober" und andere. Damit der Wurm bei jeden Windows-Start geladen wird, legt er folgende Registry-Einträge an (%WinDir% steht für das Windows-Verzeichnis):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
_Windows = %WinDir%\WinSecurity\services.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Windows = %WinDir%\WinSecurity\services.exe

Die Sober-Kopie "csrss.exe" wird ebenfalls gestartet und überwacht diese Registry-Einträge. Werden sie entfernt, legt sie sie sofort wieder an. Der Wurm durchsucht diverse Dateitypen auf der Festplatte nach Mail-Adressen und sammelt sie in Dateien wie "winmem1.ory", "winmem2.ory" und "winmem3.ory" in dem von ihm angelegten Winsecurity-Verzeichnis.

Sober prüft die Verfügbarkeit einer aktiven Internet-Verbindung, indem er versucht, Kontakt zu einem Zeit-Server aufzunehmen. Dann verschickt er sich per Mail an die gesammelten Adressen. Je nach Zieladresse wählt er eine deutsche oder englische Mail-Fassung. Er kennt mehr als ein Dutzend unterschiedliche Betreffzeilen mit jeweils passendem Text und Dateinamen des Anhangs.

deutsch

englisch

"Ermittlungsverfahren wurde eingeleitet"

"Account Information"

"Ihr Passwort"

"hi,_ive_a_new_mail_address"

"Mailzustellung wurde unterbrochen"

"Mail delivery failed"

"RTL: Wer wird Millionaer"

"Paris Hilton & Nicole Richie"

"Sehr geehrter Ebay-Kunde"

"Registration Confirmation"

"Sie besitzen Raubkopien"

"smtp mail failed"

"SMTP Mail gescheitert "

"You visit illegal websites"

"Your IP was logged"

"Your Password"

Die meisten Virenscanner erkennen diese Sober-Variante bereits mit Updates aus der letzten Woche ( wir berichteten ).

0 Kommentare zu diesem Artikel
163190