MSI Endanwender-Forum

News und Sonderforen => Foruminformationen => Thema gestartet von: Xela am 30. Oktober 2003, 00:31:55

Titel: Neuer E-Mail-Wurm
Beitrag von: Xela am 30. Oktober 2003, 00:31:55
> [MS/Generic] E-Mail-Wurm gibt sich unter anderem als
> Virenentfernungswerkzeug oder Spambeschwerde aus
> (2003-10-28 19:22:27.764276+01)
> Quelle: http://www.symantec.com/avcenter/venc/data/w32.sober@mm.html
>
> Derzeit verbreitet sich ein neuer E-Mail-Wurm, der z.T. deutsche
> Betreffzeilen und Textkörper in die Nachrichten schreibt, mittels
> denen er sich verbreitet. Im Anhang befindet sich der eigentliche
> Wurm, der ein System infiziert, wenn der Benutzer das Attachment
> öffnet.
>
> Betroffene Systeme
> * Microsoft Windows (praktisch alle Versionen)
>
> Einfallstor
> E-Mail Attachment
>
> Auswirkung
> * massive Weiterverbreitung des Wurmes
> * Derzeit in Umlauf befindliche Versionen haben keine wirklich
> gefährliche Schadfunktion.
> * Der Wurm kopiert sich in das Systemverzeichnis
> + C:\\Windows\\System32 (Windows 95, 98, Me, XP, Server 2003)
> + C:\\Winnt\\System32 (Windows NT, 2000)
> des beherbergendnen Rechnersystems unter einem der folgenden
> Namen:
> + drv.exe
> + similare.exe
> + systemchk.exe
> + systemini.exe
> + winreg.exe
> + filexe.exe
> + sysrunll.exe
> * Außerdem erzeugt er entsprechende Einträge in den Registry-Keys
> + HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
> Run
> + HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\R
> un
> um sicherzustellen, bei jedem Systemboot getartet zu werden.
> * Der Wurm erzeugt eine Datei mit dem Namen
> + C:\\Windows\\System32\\Macromed\\Help\\Media.dll (Windows 95, 98,
> Me, XP, Server 2003)
> + C:\\Winnt\\System32\\Macromed\\Help\\Media.dll (Windows NT, 2000)
>
> Typ der Verwundbarkeit
> E-Mail-Wurm
>
> Gefahrenpotential
> mittel
> (Hinweise zur [1]Einstufung des Gefahrenpotentials.)
>
> Infektion
> * Ausführung/Öffnen des E-Mail-Anhangs
>
> Weiterverbreitung
> * Versenden von E-Mail-Nachrichten mit Attachment, in dem sich der
> Wurm befindet mittels eigener SMTP-Engine
>
> Beschreibung
> Der Wurm W32.Sober@mm verbreitet sich via E-Mail. Er sendet sich
> selbst im Anhang einer Nachricht, die eine deutsch- oder
> englischsprachige Betreffzeile und Nachrichtenkörper enthalten kann.
> Durch Ausführung (bei standardmäßig konfigurierten Systemen genügt
> i.A. das Öffnen) des in Visual Basic geschriebenen und mit UPX
> komprimierten Wurmcodes im Anhang durch den Benutzer installiert sich
> der Wurm auf dem beherbergenden Rechnersystem und durchsucht es nach
> E-Mail-Adressen. Der Wurm besitzt seine eigene SMTP-Engine, die zum
> Verschicken der Nachrichten an die gefundenen Adressen verwandt wird.
> Der Wurm fälscht die Absenderadresse dieser Nachrichten.
>
> Gegenmaßnahmen
> Entfernung des Wurmes:
> 1. Deaktivieren Sie die Wiederherstellung systemkritischer Dateien
> unter Mirosoft Me und Windows XP, da sie bei der erfolgreichen
> Entfernung des Wurmes stören kann.
> Information zu diesem Schritt finden sich unter:
> + [2]How to Enable and Disable System Restore (Windows Me)
> + [3]Frequently Asked Questions Regarding System Restore in
> Windows XP
> 2. Fahren Sie das System herunter und starten Sie es erneut im Safe
> Mode oder VGA Mode
> 3. Entfernen Sie die o.g. Dateien aus dem Systemverzeichnis
> 4. Entfernen Sie die o.b. Einträge aus den Registry-Keys
> + HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\
> Run
> + HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\R
> un
> 5. Starten Sie das System neu.
>
> Sobald Updates für die verschiedenen Antivirusprogramme verfügbar
> sind, sollten folgende Schritte durchgeführt werden:
> 1. Aktualisieren Sie die Datenbank Ihres Antivirusprogrammes
> 2. Untersuchen Sie das System mit Ihrem Antivirusprogramm
> 3. Entfernen Sie alle als infiziert markierten Dateien
> Generelle Empfehlung (Wh)
> * Führen Sie keinerlei Attachments aus, die sie per Email erhalten
> haben, egal woher! Auch Hinweise in den Nachrichten, wie \'Virus
> Checked\' oder Ähnliches, bieten keinerlei Schutz vor Viren,
> Würmern und trojanischen Pferden. Der beste Schutz ist nach wie
> vor ein gesundes Mißtrauen des Benutzers.
> * Kein ernstzunehmender Hersteller von System- oder
> Antivirussoftware verschickt Werkzeuge zur Entfernung
> irgendwelcher Malware, Updates oder Patches per E-Mail. Auch das
> RUS-CERT tut dergleichen nicht. Sollten Sie also eine solche
> Nachricht erhalten, können Sie davon ausgehen, daß es sich um eine
> gefälschte Nachricht handelt.
> * Aktualisieren Sie Ihren Virenscanner sooft wie möglich, nehmen sie
> automatisierte Update-Dienste in Anpruch, wenn möglich.
>
> Aliases
> Der Wurm ist unter folgenden Namen bekannt:
> * W32/Sober@MM [McAfee]
> * I-Worm.Sober [Kaspersky]
> * W32/Sober-A [Sophos]
> * WORM_SOBER.A [Trend]. Sober [F-Secure]
> * W32/Sober.A@mm [Frisk]
> * W32.Sober@mm [Symantec]
> * W32/Sober.A [Norman]
> * Win32/Sober.A [Eset]
> * Win32.Sober.A [Computer Associates]
>
> Charakteristika
> Eine Zusammenstellung der Charakteristika des W32.Sober@mm-Wurmes ist
> in der Web-Version dieses Artikels zu finden:
> * [5]RUS-CERT-Meldung#1157: [MS/Generic] E-Mail-Wurm gibt sich unter
> anderem als Virenentfernungswerkzeug oder Spambeschwerde aus
>
> Beschrieben sind die derzeit bekannten Betreffzeilen (Subject),
> Anhänge (Attachments) und Textkörper (Mail Bodies) sowie weitere
> Eigenschaften der Nachrichten, mit denen sich der Wurm verbreitet.
>
> Weitere Information zu diesem Thema
> * [6]Wurm W32.Sober tarnt sich als Antiviren-Tool [Update]
> * [7]Informationen aus dem BSI: W32.Sober@mm
> * [8]McAfee Virus Profile W32/Sober@MM


Sollte neues kommen, werde ich rechtzeitig Infos rübergeben...

Xela