News
02.05.2005, 19:30 Uhr
W32/Sober.P
Diese neue Sober-Variante verspricht unter Anderem Tickets zur Fussball-WM 2006. Am Abend des 2. Mai 2005 hat sich dieser Wurm sehr schnell verbreitet.
Die psychologischen Tricks, mit denen der Sober-Wurm-Autor seine Opfer ködern will, werden immer dreister. Er passt die Mail-Texte, die seine Würmer zur Verbreitung verwenden, immer wieder neuen Gegebenheiten an. An Adressen aus dem deutschsprachigen Bereich mailt er sich mit Texten in Deutsch (siehe Beispiele), ansonsten in Englisch. Diesmal sollen offenbar die Fussballfans geködert werden.
Es sind Sober-Exemplare aufgetaucht, welche die Empfänger der Wurm-Mails glauben machen wollen, sie hätten Aussicht auf Eintrittstickets zur Fussball-WM 2006. Da gerade im deutschsprachigen Raum sehr viele Benutzer solche Tickets bestellt haben und sehnlichst auf Antwort warten, besteht die Gefahr, dass es Hunderttausende sein werden, die auf diese Mails hereinfallen werden.
Ein paar Beispiel-Betreffzeilen:
- "FwD: Glueckwunsch: Ihr WM Ticket"
- "FwD: WM Ticket Verlosung"
- "WM-Ticket-Auslosung"
Als Absender werden Adressen wie diese verwendet, egal von welchem PC aus sich der Wurm verschickt:
- Ticket@ok2006.de
- Gewinn@ok2006.de
- fifa@ok2006.de
- OK2006@ok2006.de
Beispiel-Namen der Beilage:
- okTicket-info.zip
- Fifa_Info-Text.zip
Mailtext, z.B.: "Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
Ihr "ok2006" Team
St. Rainer Gellhaus"
Die Tatsache, dass darunter auch eine echt wirkende FIFA-Adresse prangt, lässt die Mails noch offizieller erscheinen. Abgesehen davon wird auch eine gefälschte Signatur hinzugefügt, die behauptet, die Mail sei geprüft und als virenfrei befunden worden.
Die Beilage enthält natürlich keine Infos zum WM-Ticket sondern ein Exemplar des Wurms. Ein weitere Variante dieses Schädlings ist mit diesen Kennzeichen unterwegs:
Betreff: "Ich bin's, was zum lachen ;)"
Absender: gefälscht, d.h. nicht der wahre Absender
Name der Beilage: LOL.zip
Text: "Nun sieh dir das mal an!
Was ein Ferkel ...."
Da als Absender real existierende E-Mail-Adressen verwendet werden, besteht auch hier die Gefahr, dass viele Benutzer darauf hereinfallen.
Wer sich leichtfertigerweise dazu hinreissen lässt, die Beilage zu öffnen, erlaubt dem Wurm, sich wie folgt zu installieren:
Der Wurm erstellt laut Beschreibung von McAfee diese Registry-Einträge:
In diesem Zweig:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Name des Eintrags: "_WinStart"
Wert des Eintrags: C:\WINDOWS\Connection Wizard\Status\services.exe
In diesem Zweig:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Name des Eintrags: " WinStart"
Wert des Eintrags: C:\WINDOWS\Connection Wizard\Status\services.exe
Und dazu erzeugt er diese Dateien:
C:\WINDOWS\Connection Wizard\Status\fastso.ber
C:\WINDOWS\system32\adcmmmmq.hjg
C:\WINDOWS\system32\langeinf.lin
C:\WINDOWS\system32\nonrunso.ber
C:\WINDOWS\system32\seppelmx.smx
C:\WINDOWS\system32\xcvfpokd.tqa
C:\WINDOWS\Connection Wizard\Status\packed1.sbr
C:\WINDOWS\Connection Wizard\Status\packed2.sbr
C:\WINDOWS\Connection Wizard\Status\packed3.sbr
C:\WINDOWS\Connection Wizard\Status\sacri1.ggg
C:\WINDOWS\Connection Wizard\Status\sacri2.ggg
C:\WINDOWS\Connection Wizard\Status\sacri3.ggg
C:\WINDOWS\Connection Wizard\Status\voner1.von
C:\WINDOWS\Connection Wizard\Status\voner2.von
C:\WINDOWS\Connection Wizard\Status\voner3.von
C:\WINDOWS\Connection Wizard\Status\csrss.exe
C:\WINDOWS\Connection Wizard\Status\services.exe
C:\WINDOWS\Connection Wizard\Status\smss.exe
Nach erfolgter Infektion durchsucht der Wurm auf der Festplatte des neuen Opfers die Mail- und Textdateien nach brauchbaren Mailadressen. An diese verbreitet sich Sober.P mit den eingangs erwähnten Eigenschaften weiter.
WICHTIG: Öffnen Sie niemals irgendwelche unbekannten Mail-Beilagen, so verlockend Betreff, Mailtext und Beilagenname auch klingen mögen.
Kommentare
Es sind keine Kommentare vorhanden.