163148

Sober soll Passwörter stehlen

16.11.2005 | 14:11 Uhr |

Einige Eigenschaften und Fähigkeiten der neuen Sober-Würmer weisen auf zukünftige Versionen hin.

Seit gestern werden neue Varianten des Sober-Wurms zum Teil Spam-artig verbreitet ( wir berichteten ). Bei der Untersuchung der neuen Sober-Varianten haben Antivirus-Hersteller Eigenschaften und Möglichkeiten entdeckt, die eventuell Rückschlüsse auf zukünftige Versionen des Wurms zulassen.

So fanden die Virenforscher bei Kaspersky Labs heraus, dass Sober wie schon früher die Fähigkeit zum Download weiterer Dateien enthält. Interessanter ist die Beobachtung, dass Sober auf infizierten PCs ein Programm zum Auslesen gespeicherter Passwörter ablegt. Das von Kasperskys Antivirus-Software als "not-a-virus:PSWTool.PassView.162" gemeldete Programm kann die im Internet Explorer und in Outlook gespeicherten Passwörter ermitteln.

Weder die bislang gefundenen Sober-Varianten noch das "Passview"-Programm selbst enthalten die nötige Funktionalität zum Versenden der ausgelesenen Daten. Daher vermutet Roel Schouwenberg von Kaspersky Labs, dass die Einschleusung dieses Programms der Vorbereitung auf spätere Versionen dienen könnte.

Der Antivir-Hersteller H+BEDV hat bei der Analyse festgestellt, dass Sober sich am 16. und 17. November ein Update herunter laden soll. F-Secure meldet, Sober enthalte die Möglichkeit zum Ablegen eines Trojanischen Pferds und zum Öffnen einer Hintertür (Backdoor) zwecks Kontakt mit einem Server im Internet. Ferner stellten die Virenforscher fest, dass Sober eine Reihe von leeren Dateien anlegt, die zur Deaktivierung älterer Sober-Versionen dienen.

Zu den gestern gemeldeten drei Varianten sind mittlerweile noch mindestens zwei weitere hinzu gekommen. Sie treffen mit Mails dieser Art ein:

Betreff: "Betr: Passwort & Account Daten"
Anhang: auto-mail_Daten.zip (enthält: mail-packed_password.exe)

Betreff: "Password Confirmation"
Anhang: packed-password_text.zip (enthält: mail-packed_password.exe)

Betreff: "Wichtig: Meine neue Mail Adresse!"
Anhang: Mail-Datei.zip (enthält: accept_emailTextData.exe)

Betreff: "Your eMail Password"
Anhang: Accept_e-Text.zip (enthält: accept_emailtextdata.exe)

Jedes Mal, wenn der Wurm sich auf einem PC etabliert, fügt er belanglose Daten an das Ende seiner Programmdatei, bevor er sie weiter versendet. Dadurch entstehen zahllose Dateivarianten, die dazu führen, dass manche Antivirus-Programme nicht alle Varianten gleich erkennen und ein erneutes Update benötigen.

Hinzu kommen sehr viele Spam-artig verbreitete Varianten, die sich durch ihre Packformate zusätzlich unterscheiden. Sie werden an Spam-Listen verschickt und legen dann den Sober-Wurm auf infizierten PCs ab - daher werden sie als "Dropper" bezeichnet. Dieser verteilt sich dann mit einer eigenen Mail-Funktion weiter. Dazu benutzt er nicht nur den üblichen Port 25 sondern auch den Port 587, über den er Mail-Server von Yahoo benutzt.

Die Verbreitung der neuen Sober-Generation ist, gemessen an früheren Sober-Wellen, weiterhin nicht sonderlich hoch und findet vorwiegend in Deutschland statt. Aktualisieren Sie Ihre Antivirus-Software regelmäßig und bleiben Sie misstrauisch gegenüber unerwartet eingehenden Mails.

0 Kommentare zu diesem Artikel
163148