Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: Neuer E-Mail-Wurm  (Gelesen 4549 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.523
Neuer E-Mail-Wurm
« am: 30. Oktober 2003, 00:31:55 »

> [MS/Generic] E-Mail-Wurm gibt sich unter anderem als
> Virenentfernungswerkzeug oder Spambeschwerde aus
> (2003-10-28 19:22:27.764276+01)
> Quelle: http://www.symantec.com/avcenter/venc/data/w32.sober@mm.html
>
> Derzeit verbreitet sich ein neuer E-Mail-Wurm, der z.T. deutsche
> Betreffzeilen und Textkörper in die Nachrichten schreibt, mittels
> denen er sich verbreitet. Im Anhang befindet sich der eigentliche
> Wurm, der ein System infiziert, wenn der Benutzer das Attachment
> öffnet.
>
> Betroffene Systeme
> * Microsoft Windows (praktisch alle Versionen)
>
> Einfallstor
> E-Mail Attachment
>
> Auswirkung
> * massive Weiterverbreitung des Wurmes
> * Derzeit in Umlauf befindliche Versionen haben keine wirklich
> gefährliche Schadfunktion.
> * Der Wurm kopiert sich in das Systemverzeichnis
> + C:\\Windows\\System32 (Windows 95, 98, Me, XP, Server 2003)
> + C:\\Winnt\\System32 (Windows NT, 2000)
> des beherbergendnen Rechnersystems unter einem der folgenden
> Namen:
> + drv.exe
> + similare.exe
> + systemchk.exe
> + systemini.exe
> + winreg.exe
> + filexe.exe
> + sysrunll.exe
> * Außerdem erzeugt er entsprechende Einträge in den Registry-Keys
> + HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
> Run
> + HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\R
> un
> um sicherzustellen, bei jedem Systemboot getartet zu werden.
> * Der Wurm erzeugt eine Datei mit dem Namen
> + C:\\Windows\\System32\\Macromed\\Help\\Media.dll (Windows 95, 98,
> Me, XP, Server 2003)
> + C:\\Winnt\\System32\\Macromed\\Help\\Media.dll (Windows NT, 2000)
>
> Typ der Verwundbarkeit
> E-Mail-Wurm
>
> Gefahrenpotential
> mittel
> (Hinweise zur [1]Einstufung des Gefahrenpotentials.)
>
> Infektion
> * Ausführung/Öffnen des E-Mail-Anhangs
>
> Weiterverbreitung
> * Versenden von E-Mail-Nachrichten mit Attachment, in dem sich der
> Wurm befindet mittels eigener SMTP-Engine
>
> Beschreibung
> Der Wurm W32.Sober@mm verbreitet sich via E-Mail. Er sendet sich
> selbst im Anhang einer Nachricht, die eine deutsch- oder
> englischsprachige Betreffzeile und Nachrichtenkörper enthalten kann.
> Durch Ausführung (bei standardmäßig konfigurierten Systemen genügt
> i.A. das Öffnen) des in Visual Basic geschriebenen und mit UPX
> komprimierten Wurmcodes im Anhang durch den Benutzer installiert sich
> der Wurm auf dem beherbergenden Rechnersystem und durchsucht es nach
> E-Mail-Adressen. Der Wurm besitzt seine eigene SMTP-Engine, die zum
> Verschicken der Nachrichten an die gefundenen Adressen verwandt wird.
> Der Wurm fälscht die Absenderadresse dieser Nachrichten.
>
> Gegenmaßnahmen
> Entfernung des Wurmes:
> 1. Deaktivieren Sie die Wiederherstellung systemkritischer Dateien
> unter Mirosoft Me und Windows XP, da sie bei der erfolgreichen
> Entfernung des Wurmes stören kann.
> Information zu diesem Schritt finden sich unter:
> + [2]How to Enable and Disable System Restore (Windows Me)
> + [3]Frequently Asked Questions Regarding System Restore in
> Windows XP
> 2. Fahren Sie das System herunter und starten Sie es erneut im Safe
> Mode oder VGA Mode
> 3. Entfernen Sie die o.g. Dateien aus dem Systemverzeichnis
> 4. Entfernen Sie die o.b. Einträge aus den Registry-Keys
> + HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
> Run
> + HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\R
> un
> 5. Starten Sie das System neu.
>
> Sobald Updates für die verschiedenen Antivirusprogramme verfügbar
> sind, sollten folgende Schritte durchgeführt werden:
> 1. Aktualisieren Sie die Datenbank Ihres Antivirusprogrammes
> 2. Untersuchen Sie das System mit Ihrem Antivirusprogramm
> 3. Entfernen Sie alle als infiziert markierten Dateien
> Generelle Empfehlung (Wh)
> * Führen Sie keinerlei Attachments aus, die sie per Email erhalten
> haben, egal woher! Auch Hinweise in den Nachrichten, wie \'Virus
> Checked\' oder Ähnliches, bieten keinerlei Schutz vor Viren,
> Würmern und trojanischen Pferden. Der beste Schutz ist nach wie
> vor ein gesundes Mißtrauen des Benutzers.
> * Kein ernstzunehmender Hersteller von System- oder
> Antivirussoftware verschickt Werkzeuge zur Entfernung
> irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das
> RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche
> Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine
> gefälschte Nachricht handelt.
> * Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie
> automatisierte Update-Dienste in Anpruch, wenn möglich.
>
> Aliases
> Der Wurm ist unter folgenden Namen bekannt:
> * W32/Sober@MM [McAfee]
> * I-Worm.Sober [Kaspersky]
> * W32/Sober-A [Sophos]
> * WORM_SOBER.A [Trend]. Sober [F-Secure]
> * W32/Sober.A@mm [Frisk]
> * W32.Sober@mm [Symantec]
> * W32/Sober.A [Norman]
> * Win32/Sober.A [Eset]
> * Win32.Sober.A [Computer Associates]
>
> Charakteristika
> Eine Zusammenstellung der Charakteristika des W32.Sober@mm-Wurmes ist
> in der Web-Version dieses Artikels zu finden:
> * [5]RUS-CERT-Meldung#1157: [MS/Generic] E-Mail-Wurm gibt sich unter
> anderem als Virenentfernungswerkzeug oder Spambeschwerde aus
>
> Beschrieben sind die derzeit bekannten Betreffzeilen (Subject),
> Anhänge (Attachments) und Textkörper (Mail Bodies) sowie weitere
> Eigenschaften der Nachrichten, mit denen sich der Wurm verbreitet.
>
> Weitere Information zu diesem Thema
> * [6]Wurm W32.Sober tarnt sich als Antiviren-Tool [Update]
> * [7]Informationen aus dem BSI: W32.Sober@mm
> * [8]McAfee Virus Profile W32/Sober@MM


Sollte neues kommen, werde ich rechtzeitig Infos rübergeben...

Xela
Gespeichert