Die Vermutung über den Zusammenhang zwischen dem WM-Ticket-Wurm Sober.O und der Welle von Mails mit teilweise rechtsgerichtetem Inhalt hat sich bestätigt. So stoppte Sober.O Mitte der letzten Woche seine eigene Verbreitungsroutine, um infizierte Windows-PCs zu Spam-Bots umzufunktionieren. Dazu lud er von diversen Servern ein Programm nach, das die Hersteller von Antivirensoftware Sober.P getauft haben. Sober.P startete dann am vergangenen Samstag den Versand von Mails in großem Umfang mit gefälschter Absenderadresse.
Die Empfänger solcher Mails sollten also davon ausgehen, dass die Mails nicht wirklich vom eingetragenen Absender stammen. Bereits bei Sober.G sorgte dieser Umstand für reichlich Verwirrung bei Anwendern, die plötzlich an der Gesinnung von Freunden, Bekannten und Kollegen zweifelten.
Obwohl die neue Variante Sober.Q von einigen Hersteller von Antivirensoftware als Wurm bezeichnet wird, verfügt er nach bisherigen Erkenntnissen über keine Funktion, sich selbst zu verbreiten. Die Mails verfügen auch über keinen Dateianhang. Allerdings hat man schon die zeitgesteuerte Nachladefunktion in Sober.O übersehen. Zunächst hatte man dem WM-Wurm auch keine Schadfunktion zugeordnet. Nach weiteren Tests zeigte sich dann aber, dass er Virenscanner abschaltet und unter Windows XP die eingebaute Firewall und die Update-Funktion deaktiviert. Auch Sober.P trägt diese Funktionen in sich.
Kritik müssen sich die Hersteller auch wieder einmal für die uneinheitliche Namensgebung gefallen lassen. So sind derzeit Namenssuffixe von O bis U in Gebrauch, um die Abkömmlinge zu bezeichnen. Anwender haben dann unter Umständen Probleme zu beschreiben, womit ihr PC denn nun genau befallen ist.
Indes spekuliert man weiter über den Autor der Schädlinge und Urheber der Spam-Mails. Dass es sich um den gleichen Autor wie bei Sober.G und der anderen Varianten handelt, liegt allerdings nahe. Auch diesmal enthält der neue Schädling eine Mitteilung des Autors:"Ich bin kein Spammer, aber vielleicht sollte ich einer werden." Anders als bei der Nachricht in Sober.G trägt der Hinweis diesmal aber keinen Namen
Beschreibung Sober.P/Trojan.Ascetic.C vom BSI
Name:
W32.Sober.p@mm alias Trojan.Ascetic.C
Alias:
W32.Sober.P@mm, Win32.Sober.O [Computer Associates],
Email-Worm.Win32.Sober.q [Kaspersky Lab],
W32/Sober.q@MM [McAfee],
Troj/Sober-Q [Sophos],
WORM_SOBER.U [Trend Micro]
Art: Trojanisches Pferd
Größe
-
Betriebssystem: alle
Art der Verbreitung: keine
Verbreitung:
mittel
Risiko: gering
Schadensfunktion:
Verbreitung rechtsradikaler Texte
Spezielle Entfernung:
keine
bekannt seit:
15.05.2005
Beschreibung
Allgemeines
Sober.P ist ein Trojanisches Pferd, das E-Mail-Nachrichten mit rechtsradikalem Inhalt verbreitet. Der Text der E-Mails ist in deutscher oder in englischer Sprache verfasst.
Der Wurm löscht Dateien des AV-Herstellers Symantec. Weiterhin deaktiviert er Sicherheitssoftware, darunter die Windows XP-Firewall und das automatische Windows Update.
Infektion
Sober.P gelangt auf Computer, die mit dem Wurm Sober.O infiziert sind. Sober.O lädt eine Datei, die Sober.P beinhaltet, aus dem Internet und infiziert damit den Computer. Sober.P selbst ist ein Trojanisches Pferd, das sich nicht automatisch weiter verbreitet.
Es werden folgende Dateien erzeugt:
%Windir%\Help\Help\csrss.exe
%Windir%\Help\Help\smss.exe
%Windir%\Help\Help\services.exe
%Windir%\Help\Help\sacri1.ggg
%Windir%\Help\Help\sacri2.ggg
%Windir%\Help\Help\sacri3.ggg
%Windir%\Help\Help\voner1.von
%Windir%\Help\Help\voner2.von
%Windir%\Help\Help\voner3.von
%Windir%\Help\Help\sysonce.tst
%Windir%\Help\Help\fastso.ber
%System%\nonrunso.ber
%System%\langeinf.lin
%System%\gdfjgthv.cvq
%System%\seppelmx.smx
%System%\adcmmmmq.hjg
%System%\xcvfpokd.tqa
%System%\fastso.ber
%Program Files%\Symantec\Liveupdate\luall.exe
Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.
Es werden folgende Registrierungsschlüssel erzeugt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SystemBoot" = "%Windir%\Help\Help\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"SystemBoot" = "%Windir%\Help\Help\services.exe"
Mit Hilfe dieser beiden Schlüssel in der Windows-Registrierung wird der Wurm bei jedem Systemstart aktiviert.
Sober untersucht den infizierten Computer nach E-Mail-Adressen und versendet sich mit gefälschtem Absender an diese gefundenen Adressen.
Verbreitungsart
Sober.P hat keine eigene Verbreitung. Er verbreitet jedoch E-Mail-Nachrichten mit rechtsradikalen Inhalten. Die Absenderadresse ist mit den gefundenen Adressen gefälscht (Mehr Informationen zu gefälschten Absendern). Sober.P versendet Text sowohl in deutsch, als auch in englisch.
Von: <Absender gefälscht>
Betreff:
4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
Auf Streife durch den Berliner Wedding
Auslaender bevorzugt
Deutsche Buerger trauen sich nicht ...
Auslaenderpolitik
Blutige Selbstjustiz
Deutsche werden kuenftig beim Arzt abgezockt
Paranoider Deutschenmoerder kommt in Psychiatrie
Du wirst zum Sklaven gemacht!!!
Dresden 1945
Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
Gegen das Vergessen
Tuerkei in die EU
Hier sind wir Lehrer die einzigen Auslaender
Multi-Kulturell = Multi-Kriminell
Verbrechen der deutschen Frau
S.O.S. Kiez! Polizei schlaegt Alarm
Transparenz ist das Mindeste
Trotz Stellenabbau
Vorbildliche Aktion
Augen auf
Du wirst ausspioniert ....!
Volk wird nur zum zahlen gebraucht!
60 Jahre Befreiung: Wer feiert mit?
Graeberschaendung auf bundesdeutsche Anordnung
Schily ueber Deutschland
The Whore Lived Like a German
Turkish Tabloid Enrages Germany with Nazi Comparisons
Dresden Bombing Is To Be Regretted Enormously
Armenian Genocide Plagues Ankara 90 Years On
Nachrichtentext:
Der Nachrichtenbereich enthält rechtsradikaler Text mit Internet-Links zu Seiten mit entsprechendem Inhalt.
Schadensfunktion
Massenmailing
Sober.P löscht nach einem Neustart des infizierten Computers bestimmte Dateien aus dem Verzeichnis
%ProgramFiles%\Symantec\Liveupdate
LiveUpdate muß anschließend neu installiert werden.
Deaktivieren der Windows XP-Firewall
Nach dem Neustart des infizierten Computers ist die Windows XP-Firewall deaktiviert.
Dazu wird dem Registrierungs-Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
der Wert EnableFirewall=0 zugewiesen.
Ebenso dem Schlüssel
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
der Wert EnableFirewall=0
Ein Einschalten wirkt nur bis zum nächsten Neustart.
Deaktivieren der Windowsfunktion "Automatische Updates"
Bei jedem Systemstart wird die Funktion ausser Kraft gesetzt.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update wird der Wert AUOptions=1 zugewiesen.
Deaktivieren von Viren-Schutzprogrammen
Sober.O und Sober.P schalten einige Viren-Schutzprogramms ab. Dabei können Meldefenster unterdrückt werden.
Verhindert den Start spezieller Entfernungstools.
Entfernung
Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:
der laufende Prozess blockiert die Datei
Windows schützt das Verzeichnis, in dem sich das Programm befindet
Vorgehensweise der Entfernung
Systemwiederherstellung von Windows Me/XP deaktivieren
Start des Computers in den abgesicherten Modus
Durchsuchen Sie mit Ihrem aktuellen Viren-Schutzprogramm den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen.
Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
infizierte Dateien löschen
Einträge aus der Windows-Registrierung entfernen
normaler Systemstart
Systemwiederherstellung (Me/XP) aktivieren
Besondere Hinweise:
Änderung in der Windows-Registrierung können weitreichende Folgen haben. Manuelle Veränderungen sollten nur im Ausnahmefall von Anwendern mit ausreichenden Kenntnissen durchgeführt werden.
Quelle:http://www.heise.de