Du brauchst Hilfe? Frage die Community oder wende dich an einen Experten.
Zu Avira Answers
Name:Worm/Sober.AB
Entdeckt am:29/04/2007
Art:Worm
In freier Wildbahn:Ja
Gemeldete Infektionen:Hoch
Verbreitungspotenzial:Hoch
Schadenspotenzial:Mittel
Statische Datei:Ja
Dateigre:89.274 Bytes
MD5 Prfsumme:b8c0c8f33f47c39794dff68489a706ce
VDF Version:6.38.01.89
IVDF Version:6.38.01.93 - Freitag, 4. Mai 2007
Engine Version:6.30.00.07

 General Verbreitungsmethode:
   • Email


Aliases:
   •  Symantec: W32.Sober.AA@MM
   •  Mcafee: W32/Sober.gen@MM
   •  Kaspersky: Email-Worm.Win32.Sober.aa
   •  F-Secure: Email-Worm.Win32.Sober.aa
   •  Sophos: W32/Sober-AD
   •  Bitdefender: Win32.Sober.Gen

Wurde zuvor wie folgt erkannt:
     Worm/Sober.GEN


Betriebsysteme:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Auswirkungen:
   • Terminierung von Sicherheitsprogrammen
   • Ldt schdliche Dateien herunter
   • Verfgt ber eigene Email Engine
   • nderung an der Registry




   - synchronizes time with several ntp servers (ntp.scx.ru, vega.cbk.poznan.pl)
   - event-/time-driven
   - contains encrypted strings

 Dateien  Es wird folgendes Verzeichnis erstellt:
   • %WINDIR%\PoolData\



Es erstellt Kopien seiner selbst mit Dateinamen von Listen:
An: %WINDIR%\PoolData\ Mit einem der folgenden Namen:
   • smss.exe
   • csrss.exe
   • services.exe




Eine Datei wird berschreiben.
%SYSDIR%\drivers\tcpip.sys



Es werden folgende Dateien erstellt:

– Eine Datei fr temporren Gebrauch. Diese wird mglicherweise wieder gelscht.
   • %WINDIR%\PoolData\xpsys.ddr




Es wird versucht die folgenden Dateien herunterzuladen:

Die enthaltene Zeitsynchronisation, welche mittels des NTP Protokolls realisiert wurde lst bei folgendem Zeitpunkt aus:
Datum: 05/05/2007


Die URLs sind folgende:
   • hometown.aol.com**********
   • .tripod.com**********
   • journals.aol.com**********
   • .blogspot.com**********
   • www.geocities.com**********
   • .blog.ca**********
   • .blogger.de**********
   • myblog.de**********
   • 20six.de**********
   • mitglied.lycos.de**********
   • myspace.com**********
   • forum.lycos.de**********
Zum Zeitpunkt der Analyse war diese Datei nicht verfgbar.

 Registry Der folgende Registryschlssel wird hinzugefgt um den Prozess nach einem Neustart des Systems erneut zu starten.

WinData
   • c:\windows\\PoolData\\services.exe

 Email Die Malware verfgt ber eine eigene SMTP engine um Emails zu versenden. Hierbei wird die Verbindung mit dem Zielserver direkt aufgebaut. Die Einzelheiten sind im Folgenden aufgefhrt:
Die Sprache in der die Email verschickt wird ist Top-Level-Domain abhngig.


Auslsebedingung:
Aufgrund der bekommenen Uhrzeit startet die Malware die Versandroutine. Der Zeitabgleich wird mittels des NTP Protokolls realisiert.


Von:
Generierte Adressen. Bitte vermuten Sie nicht, dass es des Absenders Absicht war diese Email zu schicken. Es ist mglich, dass er nichts ber seine Infektion wei oder sogar nicht infiziert ist. Des Weiteren ist es mglich, dass Sie Emails bekommen in denen die Rede davon ist, dass Sie infiziert sind was mglicherweise auch nicht stimmt.


An:
– Email Adressen welche in ausgewhlten Dateien auf dem System gefunden wurden.
Der Betreff wird wie folgt zusammengesetzt:

    Manchmal beginnt er mit einem der folgenden:
   • Ihr Passwort wurde geandert!

    Manchmal gefolgt von einer der folgenden:
   • Fehlerhafte Mailzustellung

    Manchmal gefolgt von einer der folgenden:
   • Ihr Account wurde eingerichtet!

    Manchmal gefolgt von einer der folgenden:
   • Your Updated Password!


Body:
–  Der Body enthlt zufllige Daten.


Der Body der Email ist einer der folgenden:
Manchmal beginnt er mit einem der folgenden:

   • Danke das Sie sich fuer uns entschieden haben.
     


Manchmal gefolgt von einer der folgenden:

   • Diese Nachricht wurde automatisch generiert


Dateianhang:

Der Dateianhang ist ein Archiv welches eine Kopie der Malware enthlt.

 Datei Einzelheiten Programmiersprache:
Das Malware-Programm wurde in Visual Basic geschrieben.


Laufzeitpacker:
Um eine Erkennung zu erschweren und die Gre der Datei zu reduzieren wurde sie mit folgendem Laufzeitpacker gepackt:
   • UPX

Die Beschreibung wurde erstellt von Dennis Elser am Freitag, 4. Mai 2007
Die Beschreibung wurde geändert von Dennis Elser am Montag, 7. Mai 2007

zurück . . . .