Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Sober.P
Entdeckt am:02/05/2005
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Mittel
Verbreitungspotenzial:Mittel
Schadenspotenzial:Mittel
Statische Datei:Nein
Dateigre:53.554 Bytes
VDF Version:6.30.00.151
Heuristik:Worm/Sober.gen

 Allgemein Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Sober.O@mm
   •  Mcafee: W32/Sober.p@MM
   •  Kaspersky: Email-Worm.Win32.Sober.p
   •  TrendMicro: WORM_SOBER.S
   •  Sophos: W32/Sober-N
   •  Panda: W32/Sober.V.worm!CME-456
   •  Grisoft: I-Worm/Sober.P
   •  Bitdefender: Win32.Sober.O@mm


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Ldt eine schdliche Dateien herunter
   • Erstellt Dateien
   • Verfgt ber eigene Email Engine
   • nderung an der Registry


Nach Aktivierung wird folgende Information angezeigt:


 Dateien Kopien seiner selbst werden hier erzeugt:
   • %WINDIR%\Connection Wizard\Status\csrss.exe
   • %WINDIR%\Connection Wizard\Status\smss.exe
   • %WINDIR%\Connection Wizard\Status\services.exe



Es werden folgende Dateien erstellt:

– MIME enkodierte Kopie seiner selbst:
   • %WINDIR%\Connection Wizard\Status\packed1.sbr
   • %WINDIR%\Connection Wizard\Status\packed2.sbr
   • %WINDIR%\Connection Wizard\Status\packed3.sbr

– Dateien welche gesammelte Email Adressen enthalten:
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\sacri1.ggg
   • %WINDIR%\Connection Wizard\Status\voner1.von
   • %WINDIR%\Connection Wizard\Status\voner2.von
   • %WINDIR%\Connection Wizard\Status\voner3.von

– Eine Datei fr temporren Gebrauch. Diese wird mglicherweise wieder gelscht.
   • %WINDIR%\Connection Wizard\Status\kjfdmcge.ano

%WINDIR%\Connection Wizard\Status\fastso.ber



Es wird versucht die folgenden Dateien herunterzuladen:

Die enthaltene Zeitsynchronisation, welche mittels des NTP Protokolls realisiert wurde lst bei folgendem Zeitpunkt aus:
Datum: 10/05/2005


Die URLs sind folgende:
   • http://free.pages.at/tllqjirbsi/**********
   • http://home.arcor.de/cqxecyrdhsi/**********
   • http://home.pages.at/vvhrcihcegtecf/**********
   • http://people.freenet.de/dscpxgtcufas/**********
   • http://people.freenet.de/hiigplbjat/**********
   • http://people.freenet.de/lqmjaveww/**********
   • http://people.freenet.de/xqzzvnnaxwiu/**********
   • http://people.freenet.de/ygdgyndzzbm/**********
   • http://scifi.pages.at/riwbagyixmzg/**********
Des Weiteren wird diese Datei ausgefhrt nachdem sie vollstndig heruntergeladen wurde. Weitere Untersuchungen haben ergeben, dass diese Datei auch Malware ist.

 Registry Die folgenden Registryschlssel werden hinzugefgt um die Prozesse nach einem Neustart des Systems erneut zu starten.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
   • "_WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • " WinStart"="c:\windows\\Connection Wizard\\Status\\services.exe"

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:
Die Sprache in der die Email verschickt wird ist Top-Level-Domain abhngig.


Von:
Die Absenderadresse wurde geflscht.
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist mglich, dass er nichts ber seine Infektion wei oder sogar nicht infiziert ist. Des Weiteren ist es mglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was mglicherweise auch nicht stimmt.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.


Betreff:
Der Betreff wird wie folgt zusammengesetzt:

    Manchmal beginnt er mit einem der folgenden:
   • FwD:

    Gefolgt von einer der folgenden:
   • Glueckwunsch: Ihr WM Ticket
   • Ich bin's, was zum lachen ;)
   • Ihr Passwort
   • Ihre E-Mail wurde verweigert
   • Mail-Fehler!
   • mailing error
   • Re:
   • Registration Confirmation
   • WM Ticket Verlosung
   • WM-Ticket-Auslosung
   • Your email was blocked
   • Your Password


Body:
Der Body der Email ist einer der folgenden:

   • Account and Password Information are attached!

   • Diese E-Mail wurde automatisch erzeugt
     Mehr Information finden Sie unter http://www.%Domain Name und Top Level Domain der Emailadresse des Absenders%
     
     ----------
     Folgende Fehler sind aufgetreten:
     
     Fehler konnte nicht Explicit ermittelt werden
     
     End Transmission
     ----------
     
     Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
     Wir bitten Sie, dieses zu beruecksichtigen.
     
     Auto ReMailer
      [%Domain Name der Emailadresse des Absenders%]

   • Nun sieh dir das mal an!
     Was ein Ferkel ....

   • ok ok ok,,,,, here is it

   • Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
     
     
     *-* http://www.%Domain Name und Top Level Domain der Emailadresse des Absenders%
     *-* MailTo: PasswordHelp@%Domain Name und Top Level Domain der Emailadresse des Absenders%

   • This is an automatically generated E-Mail Delivery Status Notification.
     
     Mail-Header, Mail-Body and Error Description are attached

   • Herzlichen Glueckwunsch,
     
     beim Run auf die begehrten Tickets fr die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
     
     Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
     
     Ihr "ok2006" Team
     St. Rainer Gellhaus
     
     
     --- FIFA-Pressekontakt:
     --- Pressesprecher Jens Grittner und Gerd Graus
     --- FIFA Fussball-Weltmeisterschaft 2006
     --- Organisationskomitee Deutschland
     --- Tel. 069 / 2006 - 2600
     --- Jens.Grittner@ok2006.de
     --- Gerd.Graus@ok2006.de


Manchmal gefolgt von einer der folgenden:

   • Visit: http://www.%Domain Name und Top Level Domain der Emailadresse des Absenders%


Manchmal gefolgt von einer der folgenden:

   • **** AntiVirus-System: Kein Virus erkannt
     **** "%Domain Name der Emailadresse des Empfngers%" AntiVirus Service
     **** WebSite: http://www.%Domain Name und Top Level Domain der Emailadresse des Empfngers%

   • *** AntiVirus: No Virus found
     *** "%Domain Name der Emailadresse des Empfngers%" Anti-Virus
     *** http://www.%Domain Name und Top Level Domain der Emailadresse des Empfngers%

   • *** Server-AntiVirus: No Virus (Clean)
     *** "%Domain Name der Emailadresse des Empfngers%" Anti-Virus
     *** http://www.%Domain Name und Top Level Domain der Emailadresse des Empfngers%

   • *** Attachment-Scanner: Status OK
     *** "%Domain Name der Emailadresse des Empfngers%" Anti-Virus
     *** http://www.%Domain Name und Top Level Domain der Emailadresse des Empfngers%

   • **** AntiVirus: Kein Virus gefunden
     **** "%Domain Name der Emailadresse des Empfngers%" AntiVirus Service
     **** WebSite: http://www.%Domain Name und Top Level Domain der Emailadresse des Empfngers%

   • **** Mail-Scanner: Es wurde kein Virus festgestellt
     **** "%Domain Name der Emailadresse des Empfngers%" AntiVirus Service
     **** WebSite: http://www.%Domain Name und Top Level Domain der Emailadresse des Empfngers%


Dateianhang:
Der Dateiname des Anhangs ist einer der folgenden:
   • account_info.zip
   • account_info-text.zip
   • autoemail-text.zip
   • error-mail_info.zip
   • Fifa_Info-Text.zip
   • LOL.zip
   • mail_info.zip
   • okTicket-info.zip
   • our_secret.zip
   • %Domain Name der Emailadresse des Absenders%_PassWort-Info.zip

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthlt.

 Versand Suche nach Adressen:
Es durchsucht folgende Dateien nach Emailadressen:
   • .abc; .abd; .abx; .adb; .ade; .adp; .adr; .asp; .bak; .bas; .cfg;
      .cgi; .cls; .cms; .csv; .ctl; .dbx; .dhtm; .doc; .dsp; .dsw; .eml;
      .fdb; .frm; .hlp; .imb; .imh; .imm; .inbox; .ini; .jsp; .ldb; .ldif;
      .log; .mbx; .mda; .mdb; .mde; .mdw; .mdx; .mht; .mmf; .msg; .nab;
      .nch; .nfo; .nsf; .nws; .ods; .oft; .php; .phtm; .pl; .pmr; .pp; .ppt;
      .pst; .rtf; .shtml; .slk; .sln; .stm; .tbb; .txt; .uin; .vap; .vbs;
      .vcf; .wab; .wsh; .xhtml; .xls; .xml


Erzeugen von Adressen fr den Absender:
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • FIFA
   • Gewinn
   • fifa
   • WM-Ticket
   • OK2006
   • Ticket
   • Verlosung
   • Administrator

Es wird die gleiche Liste der Domainnamen verwendet wie schon zuvor erwhnt.

Der Domain Name ist einer der folgenden:
   • ok2006.de
   • fifa.de
Um Adressen zu generieren werden folgende Zeichenketten verwendet:
   • service
   • webmaster
   • register
   • hostmaster
   • postmaster
   • Admin
   • info



Vermeidet Adressen:
Es werden keine Emails an Adressen verschickt, die eine der folgenden Zeichenketten enthalten:
   • -dav; .dial.; .kundenserver.; .ppp.; .qmail@; .sul.t-; @arin; @avp;
      @ca.; @example.; @foo.; @from.; @gmetref; @iana; @ikarus.; @kaspers;
      @messagelab; @nai.; @panda; @smtp.; @sophos; @www; abuse; announce;
      antivir; anyone; anywhere; bellcore.; bitdefender; clock; detection;
      domain.; emsisoft; ewido.; free-av; freeav; ftp.; gold-certs; google;
      host.; icrosoft.; ipt.aol; law2; linux; mailer-daemon; mozilla;
      mustermann@; nlpmail01.; noreply; nothing; ntp-; ntp.; ntp@; office;
      password; postmas; reciver@; secure; service; smtp-; somebody;
      someone; spybot; sql.; subscribe; support; t-dialin; t-ipconnect;
      test@; time; user@; variabel; verizon.; viren; virus; whatever@;
      whoever@; winrar; winzip; you@; yourname

 Diverses Zeit Synchronisation:
Um die lokale Systemzeit zu synchronisieren werden ber Port 37 folgende NTP Server kontaktiert:
   • ntp.massayonet.com.br
   • ntp.metas.ch
   • ntp.pads.ufrj.br
   • ntp1.arnes.si
   • ntp-2.ece.cmu.edu
   • ntp3.fau.de
   • ntp-sop.inria.fr
   • Rolex.PeachNet.edu
   • rolex.usg.edu
   • sundial.columbia.edu
   • time.nist.gov
   • time.xmission.com
   • time-a.timefreq.bldrdoc.gov

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Andrei Ivanes am Freitag, 7. April 2006
Die Beschreibung wurde geändert von Andrei Ivanes am Mittwoch, 12. April 2006

zurück . . . .