virus-informer.de: Der Vollständigkeit halber: BSI warnt vor Sober.G

25.05.04 19:49 Age: 6 yrs

Der Vollständigkeit halber: BSI warnt vor Sober.G

By: admin

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt aktuell vor der neuen Variante des Sober-Wurm.

Nachfolgend die Original-Warnung...

Name: W32.Sober.G@mm

Alias: Win32.Sober.G [Computer Associates]

I-Worm.Sober.g [Kaspersky]

Sober.G [F-Secure]

W32/Sober.g@MM [McAfee]

WORM_SOBER.G [Trend]

Art: Wurm

Größe des Anhangs: 49.661 Bytes

Betriebssystem: Microsoft Windows

Art der Verbreitung: Massenmailing

Verbreitung: mittel

Risiko: mittel

Schadensfunktion: Massenmailing

Spezielle Entfernung: Tool

bekannt seit: 13.05.2004

Beschreibung:

W32.Sober.G@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine versendet. Die Absender-Adresse wird dabei gefälscht!

Der Betreff ist in englisch oder in deutsch. Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen .bat, .com, .pif, .scr, oder .zip

Der Wurm verbindet sich über TCP-Port 37 mit Internetserver und lädt über HTTP ein Programm, welches er anschließend ausführt.

Sober.G infiziert das System, wenn der infizierte E-Mail-Anhang ausgeführt wird. Wenn die angehängte Datei eine .zip-Erweiterung hat, erscheint beim öffnen des Anhangs folgende Fehlermeldung.

Sober.G kopiert während der Infektion verschiedene Dateinen in das System.

%System%\bcegfds.lll

%System%\cvqaikxt.apk

%System%\datsobex.wwr

%System%\wincheck32.dats

%System%\winexpoder.dats

%System%\winzweier.dats

%System%\xdatxzap.zxp

%System%\zhcarxxi.vvx

%System%\NoSpam.readme

Hinweis:

%System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP.

Die eigentliche Wurmdatei hat einen zufälligen Namen

Beispiel:

discsmss32.exe

Diese wird durch die Registrierungs-Schlüssel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

beim Systemstart aktiviert.

Zur weiteren Verbreitung durchsucht Sober.G die Dateien des infizierten Computers nach E-Mail-Adressen.

Er generiert eine E-Mail und versendet diese an die gefundenen Adressen. Diese E-Mail-Nachricht hat folgende Charakteristik:

Von:

gefälschte Adresse

Betreff:

hi there

hey dude!

wazzup!!!

yeah dude :P

Details

Oh God it's

damn!

Registration confirmation

Confirmation

Your Password

Your mail account

Delivery failure notice

Faulty mail delivery

Mail delivery failed

Mailing Error

Illegal signs in E-Mail

Invalid mail length

Mail Delivery failure

mail delivery status

Warning!

error in dbase

DBase Error

ups, i've got your mail

Sorry, that's your mail

why do you do that?

Life's a *****

Smiling Like a Killer

lol,wat'nlosey?

Informationvon

FalscheMailzustellung

FehlerinIhrerE-Mail

IhreE-Mailwarfehlerhaft

ESMTPError

UngültigeVariableninihrerE-Mail

Verbindungwurdegetrennt

Mail_Fehler

IhrneuerAccount

NeueAccountDaten

Siehabennichtgezahlt

Rechnung

Hi,seivorsichtig!

Achtung!gefährlicherVirus!

Schongehört?

DieTools!

DeinZeug's!

Hierfürdich^^

BestellungsBestätigung

Lieferungs-Bestätigung

Ok,hieristmein

Ichhabemichindichv

Nachrichtentext:

yo wazzup :P

well here is ur stuff! good luck!

cya!

hey man! you'll not belive me what i've found on your computer!^^ ... thats funny dude!

well cya soon

nice pic u send me! here is mine!

I was surprised, too! :-(??

Who could suspect something like that? shit

hey dude!#

ive found a shity virus on my pc. yo must check your pc!

follow the steps in this article.

bye

###

Your password was changed successfully.

++++ User-Service: www.

++++ MailTo: postmaster@<sender's domain>

Protected message is attached.

++++ User-Service: www.

++++ MailTo: postmaster@<sender's domain>

This e-mail was generated automatically.

Information about -- - under: www.

-----

Errors:

End

-----

The full mail is attached.

Auto-ReMail.System#:

Anybody use your accounts and (or) passwords!

For further details see the attachment.

*** Partial message is available!

*** Error: llegal signs in Mail-Routing

*** Mail-Server: ESMTP V

i'm very very sorry, anybody have sent your mail to my account address.l

I've got your mail, but its came on my mail address???

i've read this mail ,,, sorry about that

excuse for my bad english, but I'm a Dutchman

(or, excuse for my bad english, but I'm a Swede!)

cya

???

+-+-+ X- Mail_Scanner: No Virus found

+-+-+ - AntiVirus Service

+-+-+ www.

Man hört und sieht nikkes mehr von Dir!

Haste D.e.i.n.e. Tage oder so?;) Wäre mal sehr nett von dir, wenn Du mal was von dir hören laaaasssssen tutest(tut tut)!

bis spaeeeter mal

Diese Information ist Passwort gesch

Da Sie uns Ihre Pers

Viel Spass mit unserem Angebot

--- Im I-Net unter: www..

Diese E-Mail wurde automatisch erzeugt.

Weitere Informationen erhalten Sie unte

-----

Folgende Fehler sind aufgetreten:

Ende der Mitteilung

-----

Das diese E-Mail automatisch generiert

Wir bitten dies zu ber

Auto-ReMail.System#:

Guten Tag!

Da unsere Datenbank von Hackern befallen wurde, mussten wir leider eineÄnderung bezüglich Ihrer Account Daten vornehmen.

Ihre neuen Account Daten finden Sie im beigefügten Dokument.

Vielen Dank für Ihr Verständnis.

--- GmbH & Co. KG

--- Mail-To: Service@<recipient's domain>.com

--- www.

Guten Tag,

Da Sie vor einiger Zeit ihren -Tarif bei uns gewechselt haben, müssen wir darauf hinweisen, dass Ihre Zahlung noch nicht bei uns eingegangen ist.

Leider müssen wir darauf hinweisen, das rechtliche Schritte gegen Sie eingeleitet werden können.

Alle Informationen bezüglich diesem Tarifes finden Sie im mitgesendetem Dokument.

Hochachtungsvoll

R. Peters

### Peters Multi- Media GmbH

### www.

Hi... ich wollte dir schnell mal mitteilen, dass sich ein gefährlicher Virus/Trojaner über Internet Seiten verbreitet.

Der ist wirklich gefährlich!

Achte auf die Infos im Anhang!!!

Ciao!

Hey alles klar? Hier sind die Tools die du haben wolltest!

Viel Spaßdamit ;)

Cu!

Weitere Informationen befinden sich im Anhang dieser Mail

Da Du mir dein Foto geschickt hast, hier nun ein Bild von mir!

Ja, leider kann ich es nichtändern aber es ist so.

Wenn Du genauso fühlst, dann schau dir bitte den Anhang an.

Wenn nicht, dann lösche ungeöffnet diese Mail! Es wäre mir sonst zu peinlich .....

Dem englischen Nachrichtentext kann eine der folgenden Textzeilen angehängt sein:

Mail-Attachment: No Virus found

X- Mail_Scaner: No Virus found

Anti-Virus: No Virus

Dem deutschen Nachrichtentext kann eine der folgenden Textzeilen angehängt sein:

X-MailScanner: Kein Virus gefunden

X-Attachment_Scanner: NO VIRUS

Anti-Virus Service: Es konnte kein Virus erkannt werden

Anhang:

stuff

your_docs

private

ohyeah

photo

shock

thatshard

oh_no

article

more_infos

ReMailer

EM.

mail

check_this

p_message

yourmail

idiot

painfulness

Jokers

Kundeninfo

ReMail

EM.

mail

Jokes

Kundeninfo

Benutzer-Daten

-tarif

Antitext

lese-das

Aufpassen

Tools

daten

Foto

bild

hallo

Die erste Erweiterung lautet:

.txt

.doc

.word

.xls

.eml

.TXT

.DOC

.EML

Die zweite Erweiterung lautet:

.bat

.com

.pif

.sc

.zip

Quelle: Sober @ BSI

<- Back to: virus-informer.de


	25.05.04 19:49 Age: 6 yrs Der Vollständigkeit halber: BSI warnt vor Sober.G By: admin Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt aktuell vor der neuen Variante des Sober-Wurm. Nachfolgend die Original-Warnung... Name: W32.Sober.G@mm Alias: Win32.Sober.G [Computer Associates] I-Worm.Sober.g [Kaspersky] Sober.G [F-Secure] W32/Sober.g@MM [McAfee] WORM_SOBER.G [Trend] Art: Wurm Größe des Anhangs: 49.661 Bytes Betriebssystem: Microsoft Windows Art der Verbreitung: Massenmailing Verbreitung: mittel Risiko: mittel Schadensfunktion: Massenmailing Spezielle Entfernung: Tool bekannt seit: 13.05.2004 Beschreibung: W32.Sober.G@mm ist ein Massenmailer-Wurm, der sich über seine eigene SMTP-Maschine versendet. Die Absender-Adresse wird dabei gefälscht! Der Betreff ist in englisch oder in deutsch. Der Name des Anhanges ist variabel und besitzt die Dateierweiterungen .bat, .com, .pif, .scr, oder .zip Der Wurm verbindet sich über TCP-Port 37 mit Internetserver und lädt über HTTP ein Programm, welches er anschließend ausführt. Sober.G infiziert das System, wenn der infizierte E-Mail-Anhang ausgeführt wird. Wenn die angehängte Datei eine .zip-Erweiterung hat, erscheint beim öffnen des Anhangs folgende Fehlermeldung. Sober.G kopiert während der Infektion verschiedene Dateinen in das System. %System%\bcegfds.lll %System%\cvqaikxt.apk %System%\datsobex.wwr %System%\wincheck32.dats %System%\winexpoder.dats %System%\winzweier.dats %System%\xdatxzap.zxp %System%\zhcarxxi.vvx %System%\NoSpam.readme Hinweis: %System% ist eine Systemvariable, die den tatsächlichen Dateipfad enthält. Dieser variiert bei den verschiedenen Windows-Versionen. Beispiel: %System% enthält C:\Windows\System bei Windows 95/98/Me, C:\Winnt\System32 bei Windows NT/2000, und C:\Windows\System32 bei Windows XP. Die eigentliche Wurmdatei hat einen zufälligen Namen Beispiel: discsmss32.exe Diese wird durch die Registrierungs-Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run beim Systemstart aktiviert. Zur weiteren Verbreitung durchsucht Sober.G die Dateien des infizierten Computers nach E-Mail-Adressen. Er generiert eine E-Mail und versendet diese an die gefundenen Adressen. Diese E-Mail-Nachricht hat folgende Charakteristik: Von: gefälschte Adresse Betreff: hi there hey dude! wazzup!!! yeah dude :P Details Oh God it's damn! # Registration confirmation Confirmation Your Password Your mail account Delivery failure notice Faulty mail delivery Mail delivery failed Mailing Error Illegal signs in E-Mail Invalid mail length Mail Delivery failure mail delivery status Warning! error in dbase DBase Error ups, i've got your mail Sorry, that's your mail why do you do that? Life's a *** Smiling Like a Killer lol,wat'nlosey? Informationvon FalscheMailzustellung FehlerinIhrerE-Mail IhreE-Mailwarfehlerhaft ESMTPError UngültigeVariableninihrerE-Mail Verbindungwurdegetrennt Mail_Fehler IhrneuerAccount NeueAccountDaten Siehabennichtgezahlt Rechnung Hi,seivorsichtig! Achtung!gefährlicherVirus! Schongehört? DieTools! DeinZeug's! Hierfürdich^^ BestellungsBestätigung Lieferungs-Bestätigung Ok,hieristmein Ichhabemichindichv Nachrichtentext: yo wazzup :P well here is ur stuff! good luck! cya! hey man! you'll not belive me what i've found on your computer!^^ ... thats funny dude! well cya soon nice pic u send me! here is mine! I was surprised, too! :-(?? Who could suspect something like that? shit hey dude!# ive found a shity virus on my pc. yo must check your pc! follow the steps in this article. bye ### Your password was changed successfully. ++++ User-Service: www. ++++ MailTo: postmaster@<sender's domain> Protected message is attached. ++++ User-Service: www. ++++ MailTo: postmaster@<sender's domain> This e-mail was generated automatically. Information about -- - under: www. ----- Errors: End ----- The full mail is attached. Auto-ReMail.System#: Anybody use your accounts and (or) passwords! For further details see the attachment. * Partial message is available! * Error: llegal signs in Mail-Routing * Mail-Server: ESMTP V i'm very very sorry, anybody have sent your mail to my account address.l I've got your mail, but its came on my mail address??? i've read this mail ,,, sorry about that excuse for my bad english, but I'm a Dutchman (or, excuse for my bad english, but I'm a Swede!) cya ??? +-+-+ X- Mail_Scanner: No Virus found +-+-+ - AntiVirus Service +-+-+ www. Man hört und sieht nikkes mehr von Dir! Haste D.e.i.n.e. Tage oder so?;) Wäre mal sehr nett von dir, wenn Du mal was von dir hören laaaasssssen tutest(tut tut)! bis spaeeeter mal Diese Information ist Passwort gesch Da Sie uns Ihre Pers Viel Spass mit unserem Angebot --- Im I-Net unter: www.. Diese E-Mail wurde automatisch erzeugt. Weitere Informationen erhalten Sie unte ----- Folgende Fehler sind aufgetreten: Ende der Mitteilung ----- Das diese E-Mail automatisch generiert Wir bitten dies zu ber Auto-ReMail.System#: Guten Tag! Da unsere Datenbank von Hackern befallen wurde, mussten wir leider eineÄnderung bezüglich Ihrer Account Daten vornehmen. Ihre neuen Account Daten finden Sie im beigefügten Dokument. Vielen Dank für Ihr Verständnis. --- GmbH & Co. KG --- Mail-To: Service@<recipient's domain>.com --- www. Guten Tag, Da Sie vor einiger Zeit ihren -Tarif bei uns gewechselt haben, müssen wir darauf hinweisen, dass Ihre Zahlung noch nicht bei uns eingegangen ist. Leider müssen wir darauf hinweisen, das rechtliche Schritte gegen Sie eingeleitet werden können. Alle Informationen bezüglich diesem Tarifes finden Sie im mitgesendetem Dokument. Hochachtungsvoll R. Peters ### Peters Multi- Media GmbH ### www. Hi... ich wollte dir schnell mal mitteilen, dass sich ein gefährlicher Virus/Trojaner über Internet Seiten verbreitet. Der ist wirklich gefährlich! Achte auf die Infos im Anhang!!! Ciao! Hey alles klar? Hier sind die Tools die du haben wolltest! Viel Spaßdamit ;) Cu! Weitere Informationen befinden sich im Anhang dieser Mail Da Du mir dein Foto geschickt hast, hier nun ein Bild von mir! Ja, leider kann ich es nichtändern aber es ist so. Wenn Du genauso fühlst, dann schau dir bitte den Anhang an. Wenn nicht, dann lösche ungeöffnet diese Mail! Es wäre mir sonst zu peinlich ..... Dem englischen Nachrichtentext kann eine der folgenden Textzeilen angehängt sein: Mail-Attachment: No Virus found X- Mail_Scaner: No Virus found Anti-Virus: No Virus Dem deutschen Nachrichtentext kann eine der folgenden Textzeilen angehängt sein: X-MailScanner: Kein Virus gefunden X-Attachment_Scanner: NO VIRUS Anti-Virus Service: Es konnte kein Virus erkannt werden Anhang: stuff your_docs private ohyeah photo shock thatshard oh_no article more_infos ReMailer EM. mail check_this p_message yourmail idiot painfulness Jokers Kundeninfo ReMail EM. mail Jokes Kundeninfo Benutzer-Daten -tarif Antitext lese-das Aufpassen Tools daten Foto bild hallo Die erste Erweiterung lautet: .txt .doc .word .xls .eml .TXT .DOC .EML Die zweite Erweiterung lautet: .bat .com .pif .sc .zip Quelle: Sober @ BSI <- Back to: virus-informer.de
home Impressum