virus-informer.de: Neue Virus Variante Sober.I verbreitet sich rasend schnell

19.11.04 14:39 Age: 6 yrs

Neue Virus Variante Sober.I verbreitet sich rasend schnell

By: admin

Seit heute gibt es eine neue Variante des Sober-Wurms und er verbreitet sich rasend schnell.

Sämtliche Anti-Viren-Hersteller warnen eingehend auf die Gefahren des Sober.I (aka Sober.J) hin.

Hier die Details...

Name:Sober.IAlias:W32/Sober.I@mm, I-Worm.Sober.i, W32/Sober.j@MM, W32/Sober.H@mm, W32.Sober.I@mm, WORM_SOBER.IMerkmale:Versendet sich selber als E-Mail-Anhang in E-Mails mit verschiedenen Subjects und Inhalten. Diese sind entweder in deutsch oder englisch. Es kann passieren, dass er sich selber als gefakte Mitteilung einer aufgehaltenen, mit Viren-verseuchten Mail ausgibt, um dem User zu vermitteln, dass man hier sicher ist.

Sober.I ist ein Visual-Basic-Wurm, der als ausführbare PE-Datei erscheint, die mit UPX gepackt wurde.

Wenn der Wurm aktiviert wird erscheint eine Win-Zip-Messagebox mit der Meldung:

WinZip_Data_Module is missing ^~Error:{2A0DCCF6}

Dann installiert der Wurm sich selber auf das System, wobei er zwei Kopien von sich in den Windows-Systemordner als .exe kopiert. Die hierfür in Frage kommenden Namen sind:

sys

host

dir

expoler

win

run

log

disc

crypt

data

diag

spool

service

smss32

Anschließend erstellt Sober.I Startup-Schlüssel in der Registry, wobei diese teils zufallsgenerierte namen haben, die sich ebenfalls aus der obigen liste erstellen. Folgende Schlüssel werden erstellt:

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"" = "%WinSysDir%\.exe"

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

"" = "%WinSysDir%\.exe %srun%"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"" = "%WinSysDir%\.exe"

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]

"" = "%WinSysDir%\.exe %srun%"

Während seiner Installationsroutine erstellt der Wurm folgende Dateien im Windows System-Ordner:

dgssxy.yoi

ysmms32.lla

vqaikxt.apk

din-Anon.Ge

Diese Dateien bewirken es ältere Varianten, insofern sie auf dem infizierten Rechner vorhanden sind, zu aktivieren.

Zusätzlich erstellt Sober.I folgende Dateien:

clonzips.ssc

clsobern.isc

nonzipsr.noz

zippedsr.piz

Dies sind MIME-Kopien der Wurm-Exe und ein Zip-Archiv mit der Sober.I-Datei. Diese Dateien sind später für das Versenden per E-Mail zuständig.

Versandt per E-Mail:Sober.I versendet sich selber als deutsch oder englisch-sprachige E-Mail mit sich selber als Anhang. der Anhang ist entweder eine .exe oder eine Zip-Datei. Die Nachrichten veriieren, ebenso deren Inhalt.

Bevor der Wurm sich verbreitet scant er alle Hard-Disc-Drives nach bestimmten Dateierweiterungen, um hieraus E-Mail-Adressen zu generieren. Nach folgenden Dateierweiterungen scant er:pmrstmslkinboximbcsvbakimhxhtmlimmimhcmsnwsvcfctldhtmcgipppptmsgjspoftvbsuinldbabcpstcfgmdwmbxmdxmdaadpnabfdbvapdspadeslndswmdefrmbasadrclsinildiflogmdbxmlwshtbbabxabdadbplrtfmmfdocodsnchxlsnsftxtwabemlhlpmhtnfophpaspshtmldbx

Die gefundenen E-Mail-Adressen werden in folgenden zwei Dateien gespeichert, die der Wurm im Windows-Systemordner angelegt hat:winroot64.dalwinsend32.dal

Wenn der Wurm aktiv ist blockiert er diese Dateien. Ebenso seine MIME-Dateien und seine .exe-Dateien.

Sober.I ignoriert E-Mail-Adressen mit folgendem Inhalt:

1-000000-000000

tps@ hubak@ ruiv@ farbugs@ ron@ info@ sales@ press@ ventes@ rar.dutch@ rar@ vmlich@ jimaz@ RAR.regsite@ provision@ alex@ webmaster@ rod@ selwyn_arrow@ admin@ inftec@ eugene@ jwpark@ sam@ sites.far@ whatsnew.far@ helpdesk@ fararcbugs@ mark@ cogswell@ licensing@ apply@ Ollydbg@ snaker@ mail@ qwaci@ g-rom@ lorian@ stone@ GOD@ tac_2000@ tac_cracking@ mackt@ christoph@ -

<- Back to: virus-informer.de


	19.11.04 14:39 Age: 6 yrs Neue Virus Variante Sober.I verbreitet sich rasend schnell By: admin Seit heute gibt es eine neue Variante des Sober-Wurms und er verbreitet sich rasend schnell. Sämtliche Anti-Viren-Hersteller warnen eingehend auf die Gefahren des Sober.I (aka Sober.J) hin. Hier die Details... Name:Sober.IAlias:W32/Sober.I@mm, I-Worm.Sober.i, W32/Sober.j@MM, W32/Sober.H@mm, W32.Sober.I@mm, WORM_SOBER.IMerkmale:Versendet sich selber als E-Mail-Anhang in E-Mails mit verschiedenen Subjects und Inhalten. Diese sind entweder in deutsch oder englisch. Es kann passieren, dass er sich selber als gefakte Mitteilung einer aufgehaltenen, mit Viren-verseuchten Mail ausgibt, um dem User zu vermitteln, dass man hier sicher ist. Sober.I ist ein Visual-Basic-Wurm, der als ausführbare PE-Datei erscheint, die mit UPX gepackt wurde. Wenn der Wurm aktiviert wird erscheint eine Win-Zip-Messagebox mit der Meldung: WinZip_Data_Module is missing ^~Error:{2A0DCCF6} Dann installiert der Wurm sich selber auf das System, wobei er zwei Kopien von sich in den Windows-Systemordner als .exe kopiert. Die hierfür in Frage kommenden Namen sind: sys host dir expoler win run log 32 disc crypt data diag spool service smss32 Anschließend erstellt Sober.I Startup-Schlüssel in der Registry, wobei diese teils zufallsgenerierte namen haben, die sich ebenfalls aus der obigen liste erstellen. Folgende Schlüssel werden erstellt: [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "" = "%WinSysDir%\.exe" [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "" = "%WinSysDir%\.exe %srun%" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "" = "%WinSysDir%\.exe" [HKLM\Software\Microsoft\Windows\CurrentVersion\Run] "" = "%WinSysDir%\.exe %srun%" Während seiner Installationsroutine erstellt der Wurm folgende Dateien im Windows System-Ordner: dgssxy.yoi ysmms32.lla vqaikxt.apk din-Anon.Ge Diese Dateien bewirken es ältere Varianten, insofern sie auf dem infizierten Rechner vorhanden sind, zu aktivieren. Zusätzlich erstellt Sober.I folgende Dateien: clonzips.ssc clsobern.isc nonzipsr.noz zippedsr.piz Dies sind MIME-Kopien der Wurm-Exe und ein Zip-Archiv mit der Sober.I-Datei. Diese Dateien sind später für das Versenden per E-Mail zuständig. Versandt per E-Mail:Sober.I versendet sich selber als deutsch oder englisch-sprachige E-Mail mit sich selber als Anhang. der Anhang ist entweder eine .exe oder eine Zip-Datei. Die Nachrichten veriieren, ebenso deren Inhalt. Bevor der Wurm sich verbreitet scant er alle Hard-Disc-Drives nach bestimmten Dateierweiterungen, um hieraus E-Mail-Adressen zu generieren. Nach folgenden Dateierweiterungen scant er:pmrstmslkinboximbcsvbakimhxhtmlimmimhcmsnwsvcfctldhtmcgipppptmsgjspoftvbsuinldbabcpstcfgmdwmbxmdxmdaadpnabfdbvapdspadeslndswmdefrmbasadrclsinildiflogmdbxmlwshtbbabxabdadbplrtfmmfdocodsnchxlsnsftxtwabemlhlpmhtnfophpaspshtmldbx Die gefundenen E-Mail-Adressen werden in folgenden zwei Dateien gespeichert, die der Wurm im Windows-Systemordner angelegt hat:winroot64.dalwinsend32.dal Wenn der Wurm aktiv ist blockiert er diese Dateien. Ebenso seine MIME-Dateien und seine .exe-Dateien. Sober.I ignoriert E-Mail-Adressen mit folgendem Inhalt: 1-000000-000000 tps@<BR>hubak@<BR>ruiv@<BR>farbugs@<BR>ron@<BR>info@<BR>sales@<BR>press@<BR>ventes@<BR>rar.dutch@<BR>rar@<BR>vmlich@<BR>jimaz@<BR>RAR.regsite@<BR>provision@<BR>alex@<BR>webmaster@<BR>rod@<BR>selwyn_arrow@<BR>admin@<BR>inftec@<BR>eugene@<BR>jwpark@<BR>sam@<BR>sites.far@<BR>whatsnew.far@<BR>helpdesk@<BR>fararcbugs@<BR>mark@<BR>cogswell@<BR>licensing@<BR>apply@<BR>Ollydbg@<BR>snaker@<BR>mail@<BR>qwaci@<BR>g-rom@<BR>lorian@<BR>stone@<BR>GOD@<BR>tac_2000@<BR>tac_cracking@<BR>mackt@<BR>christoph@<BR>- <- Back to: virus-informer.de
home Impressum