Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen alle Anwender der Betriebssysteme Windows 9x, ME, NT, 2000 und XP sowie Windows Server 2003 vor der neuen Variante des Internet-Wurms Sober.M. Wie seine Vorgänger verbreitet sich der Schädling mit sehr hoher Geschwindigkeit über den massenhaften Email-Versand.
Worm/Sober.M hat eine Größe von 51.688 Bytes. Er versendet sich mit Hilfe einer eigenen SMTP-Engine an Emailadressen, die er auf dem betroffenen System in Dateien mit bestimmen Dateierweiterungen sammelt. Die Emailtexte werden je nach Domainnamen mit deutsch- oder englischsprachigem Inhalt verfasst.
Dateierweiterungen sind: pmr, phtm, stm, slk, inbox, imb, csv, bak, imh,
xhtml , imm, imh, cms, nws, vcf , ctl , dhtm, cgi, pp, ppt, msg, jsp, oft, vbs, uin, ldb, abc, pst, cfg, mdw, mbx, mdx, mda, adp, nab, fdb, vap, dsp, ade,
sln, dsw, mde, frm, bas, adr, cls, ini, ldif, log, mdb, xml, wsh, tbb, abx, abd, adb, pl, rtf, mmf, doc, ods, nch, xls, nsf, txt, wab, eml, hlp, mht, nfo, php, asp, shtml, dbx
Wird diese neue Variante des Worm/Sober ausgeführt, so erstellt er folgende Dateien:
\%WinDIR%\msagent\win32\smss.exe
\%WinDIR%\msagent\win32\csrss.exe
\%WinDIR%\msagent\win32\winlogon.exe
\%WinDIR%\msagent\win32\zipedso1.ber (MIME)
\%WinDIR%\msagent\win32\zipedso2.ber (MIME)
\%WinDIR%\msagent\win32\zipedso3.ber (MIME)
\%WinDIR%\msagent\win32\datamx1.dat
\%WinDIR%\msagent\win32\datamx2.dat
\%WinDIR%\msagent\win32\datamx3.dat
\%WinDIR%\msagent\win32\GoTo1.dat
\%WinDIR%\msagent\win32\GoTo2.dat
\%WinDIR%\msagent\win32\GoTo3.dat
\%WinDIR%\msagent\win32\runnowso.ber (Dateigröße: 0 Bytes)
\%SysDIR%\read.me (TextFile)
und erstellt folgende Registry Einträge:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
" winsystem.sys"="C:\\%WinDIR%\\msagent\\win32\\smss.exe"
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"_winsystem.sys"="C:\\%WinDIR%\\msagent\\win32\\smss. exe"
Die Datei READ.ME im Windows Systemverzeichnis ist eine Textdatei und enthält folgenden Text:
Ist eine weitere Test-Version. Läuft nur ein paar Tage!
In diesem Sinne:
Odin alias Anon
H+BEDV empfiehlt, Emails mit entsprechender Betreffzeile, die den Wurm transportieren, nicht zu öffnen, sondern sofort zu löschen.
H+BEDV hat bereits reagiert und seit heute, Montag, 21. Februar 2005, 8:00 Uhr, ein entsprechendes Update für alle Kunden zur Verfügung gestellt. Die aktuelle Version der Virenschutzsoftware sowie eine ausführliche Virenbeschreibung stehen unter www.antivir.de zum Download bereit. Privatanwender können sich mit der aktuellen Version der kostenfreien „AntiVir Personal Edition“ gegen den ungebetenen Besucher über www.free-av.de schützen.
Worm/Sober.M hat eine Größe von 51.688 Bytes. Er versendet sich mit Hilfe einer eigenen SMTP-Engine an Emailadressen, die er auf dem betroffenen System in Dateien mit bestimmen Dateierweiterungen sammelt. Die Emailtexte werden je nach Domainnamen mit deutsch- oder englischsprachigem Inhalt verfasst.
Dateierweiterungen sind: pmr, phtm, stm, slk, inbox, imb, csv, bak, imh,
xhtml , imm, imh, cms, nws, vcf , ctl , dhtm, cgi, pp, ppt, msg, jsp, oft, vbs, uin, ldb, abc, pst, cfg, mdw, mbx, mdx, mda, adp, nab, fdb, vap, dsp, ade,
sln, dsw, mde, frm, bas, adr, cls, ini, ldif, log, mdb, xml, wsh, tbb, abx, abd, adb, pl, rtf, mmf, doc, ods, nch, xls, nsf, txt, wab, eml, hlp, mht, nfo, php, asp, shtml, dbx
Wird diese neue Variante des Worm/Sober ausgeführt, so erstellt er folgende Dateien:
\%WinDIR%\msagent\win32\smss.exe
\%WinDIR%\msagent\win32\csrss.exe
\%WinDIR%\msagent\win32\winlogon.exe
\%WinDIR%\msagent\win32\zipedso1.ber (MIME)
\%WinDIR%\msagent\win32\zipedso2.ber (MIME)
\%WinDIR%\msagent\win32\zipedso3.ber (MIME)
\%WinDIR%\msagent\win32\datamx1.dat
\%WinDIR%\msagent\win32\datamx2.dat
\%WinDIR%\msagent\win32\datamx3.dat
\%WinDIR%\msagent\win32\GoTo1.dat
\%WinDIR%\msagent\win32\GoTo2.dat
\%WinDIR%\msagent\win32\GoTo3.dat
\%WinDIR%\msagent\win32\runnowso.ber (Dateigröße: 0 Bytes)
\%SysDIR%\read.me (TextFile)
und erstellt folgende Registry Einträge:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft \Windows\CurrentVersion\Run]
" winsystem.sys"="C:\\%WinDIR%\\msagent\\win32\\smss.exe"
[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run]
"_winsystem.sys"="C:\\%WinDIR%\\msagent\\win32\\smss. exe"
Die Datei READ.ME im Windows Systemverzeichnis ist eine Textdatei und enthält folgenden Text:
Ist eine weitere Test-Version. Läuft nur ein paar Tage!
In diesem Sinne:
Odin alias Anon
H+BEDV empfiehlt, Emails mit entsprechender Betreffzeile, die den Wurm transportieren, nicht zu öffnen, sondern sofort zu löschen.
H+BEDV hat bereits reagiert und seit heute, Montag, 21. Februar 2005, 8:00 Uhr, ein entsprechendes Update für alle Kunden zur Verfügung gestellt. Die aktuelle Version der Virenschutzsoftware sowie eine ausführliche Virenbeschreibung stehen unter www.antivir.de zum Download bereit. Privatanwender können sich mit der aktuellen Version der kostenfreien „AntiVir Personal Edition“ gegen den ungebetenen Besucher über www.free-av.de schützen.
