Sober.E im Umlauf

Sober.E kommt mit folgenden Eigenschaften:

-eigene SMTP-Engine
-UPX-gepackt (~30 KB)
-kopiert sich als Datei mit Zufallsnamen in den System-Ordner
-kopiert folgende weitere Dateien:
bcegfds.dll (leer)
zmndpgwf.kxx (leer)
MsHelp32.dat (mime-codiertes ZIP-Archiv, 41 KB)
msWord.wrd (mime-codiertes ZIP-Archiv, 41 KB)
WinRun32.dll (Liste mit gesammelten Mailadressen)

-der oben erwähnte Zufallsname wird aus folgenden Teilen zusammengesetzt:
32, crypt, data, diag, dir, disc, explorer, host, log, run, service, smss32, spool, sys, win

Betreff und vermeintlicher Absender erscheinen wie folgt:

Von: Zufallsname@variableX.variableY
An: Zufallsname@variableX.variableY

variableX kann folgende Werte annehmen:
? aol
? gmx
? yahoo

variableY kann folgende Werte annehmen:
? aero
? biz
? com
? coop
? edu
? gov
? museum
? name
? net
? org
? pro
? info

Betreff:
? Hi
? HEY
? Hey!
? hey?
? hi
? Hi :-)
? OK :-)
? OK OK
? OK ok OK

Inhalt der Mail:
? ;-)
? HA
? ha!
? lol
? LoL
? LOL
? THX
? Thx!
? thx
? yo!

Anhang: %Name%Zufallsziffern.%Endung%

%Name% ist eine Kombination aus folgenden Teilen:
? Text
? Read
? Graphic-doc
? document
? Word

%Endung% ist eine der folgenden:
? .zip
? .pif

[Edit: Beschreibg. aktualisiert]

 

Sorry, aber mehr als es noch zusätzlich grafisch belegen kann ich nicht. Beachte bitte auf meinem Screenshot die rote Umrandung. Sie zeigt, dass das LiveUpdate (zunächst) viel zu spät zur Verfügung gestellt wurde.

 

was willst du mir damit nun sagen? das hier nichts geht? der 1.april ist aber heute noch nicht und an den weinachtsmann glaubsch ochnee

 

Du hast mein Posting gar nicht richtig gelesen. Hättest du es getan, hättest du nämlich bemerkt, dass ich nicht nur bereits auf diese Seite verlinkt hatte, sondern dass mein verlinkter Screenshot gar von selbiger stammt und mit rotem Rahmen auf den Problempunkt überdeutlich hinweist.

Mit anderen Worten: wurde durch dich nicht explizit ein Update über den manuellen Download und die anschließende Installation des Intelligent Updaters durchgeführt, besteht gegenüber dem Sober.e noch kein Schutz seitens NAV. Nutzt du also ausschließlich das Live-Update, wird die Signatur für den Sober.e nach dem derzeitigen Stand erst am Mittwoch eingespielt.

Es mag dir bekannt sein - was es bedeutet, hast du jedoch nicht verstanden:

Falsch. Sie werden ja gerade laufzeitkomprimiert, da NAV etliche Laufzeitpacker nicht kennt, und derartig gepackte Malware daher nicht erkennen kann - selbst dann nicht, wenn diese Malware läuft.

Nein - mit einer Ausnahme: du hättest explizit den Intelligent Updater genutzt, sprich: die über vier MB große Update-Datei geladen. Ansonsten besteht noch keine Erkennung. Und das hat in diesem Fall nichts mit der Laufzeitkomprimierung zu tun.

 

hallo mmk

folge bitte Diesem LINK
das dürfte deine frage nach dem stand der aktualität beantworten.
das mit den komprimierten exe-dateien (UPX) ist mir bekannt, jedoch ist spätestens dann der eigentliche schutz vor backdoor-trojaner-programmen immernoch existent, wenn man die komprimierte programmdatei ausführen will.
das heisst, hätte ich die grafik.pif ausgeführt würde der W32.Sober.E@mm schädling seit 28.märz 2004 erkannt werden auf meinem system .

 

Mal abgesehen davon, dass gerade NAV Probleme mit dem Unpacking laufzeitkomprimierter Malware hat, ist in diesem Fall mal wieder ein anderer Problempunkt für die Nichterkennung des Wurmes verantwortlich: Symantec lässt sich mit dem Live-Update massig Zeit.

Hier ein Screenshot mit dem entscheidenden Hinweis:

http://home.arcor.de/mk-online/img/nav_sober_e.jpg [82 KB]

Quelle: [29.03.04, 02:35 Uhr]
http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.e@mm.html

Dass dies kein Einzelfall, sondern "Normalität" ist, zeigt diese Auflistung:

http://itmanagement.earthweb.com/columns/executive_tech/article.php/3316511

 

das weiss ich ja sogar auch wenn ich kein spezi bin und mir noch kein solcher untergekommen ist.

aber ich weiss, das im august endlich dsl her ankommt und dann kommt auch ein rooter mit ner hw firewall.... mal sehen was es da so gibt und was es da so kostet!

 

Explizit? Würmer? Ja weißt du nicht, dass es längst Würmer gibt, die Schutzsoftware deaktivieren?

 

ich sprach über einen expliziten fall "würmer" (hintergrundprogramme, trojaner) , und bezog mich dabei auf das zitat.

leute....erst lesen, dann posten....aber wem sag ich das?! hmm

 

das stimmt leider auch

was nützt einem eine firewall, wenn man programme oder vermeindliche programme installiert, die auf dunklen kanälen daten über surfverhalten u.ä. verschicken. wenn das programm (z.b. ein dl manager) ein datenstrom verschickt, glaubt der user doch, das es um eine normale anfrage an eine datei o.ä. handelt und gibt diesen datenstrom frei, ohne zu wissen, das es sich um private daten, wie z.b. surfverhalten, passwörter, vertrauliche dokumente usw. handelt.
das hier ein falsches sicherheitsgefühl vermittelt wird und das das spamaufkommen keineswegs gesunken ist, da muss ich steel zustimmen.

weiss nicht, aber hab letztens noch nen testbericht über 2 firewalls gelesen, einmal über norton internet security und mcafee firewall. beide hatten einen miserablen selbstschutz.
wenn man nun ein programm installiert, welches die fähigkeit hat, die firewalls zu deaktivieren, so nützt einem die sicherste sotwarewall nichts mehr, weil sie nicht aktiv ist oder weil diese programme sogenannte vollrechte bekommen!

 

Nein. Denn sowohl dieser Schlauberger wie auch du jetzt ignorierte, dass sich auch stolze Besitzer dieser Art Software Malware erfolgreich installierten und noch immer installieren, zum einen, weil sie sich dank der gefühlten Sicherheit noch unvorsichtiger verhalten, zum anderen, weil die Software als solche eben nicht zuverlässig ist.

 

stimmt.. ich gurke seit 8 jahren im inet rum! und denke mal das ich wohl als halbwegs erfahrender inet user eingestuft werden könnte, aber bestimmt net als erfahrender oder als crack oder ähnliches.

 

wer auch immer dieser "micha_x" (ohne EL) ist.....mit seinem zitat "Und bin der Meinung, dass Firewall-Software, selbst Zonealarm die Spam-Welle von Wurm-Mails der letzten 6 Monate um mindestens 75% verringert hätte ;-)" auf der angegebenen
URL hat er jedoch recht. ! wenn dem "DAU" ein dickes fettes fenster vor der nase erscheint mit einer virenmeldung aus einer applikation oder ähnliches, wird dieser wenigstens bei der arbeit am computer unterstützt .
das problem ist ja gerade das viele nutzer des INET nicht gleich alles in 5min. (oder auch 5 monate) verstehen können und bilden dann gemeinsam mit anderen die schönen befallenen subnetze, die hinterher für Dos-attacken auf URL?s missbraucht werden können.
das ist meine meinung des PRO für schutzsoftware-lösungen.

 

ne dat bin ich net, aba entschuldigung angenommen

 

Jo, kann sein. Guckst du hier
Wenn du nicht derjenige bist, dann entschuldige die Verwechslung.

 

ausnahmsweise mal!
normalweise verschwindet sowas ungeöffnet ins datennirvana.

hätt mein scanner auch nicht angesprochen, hät ich bestimmt nicht sagen können, was für virus das is.

kann es sein das du mich mit jemand verwechselst?
ansonsten danke fürs lob, auch wenn ich keine chatlösungen entwickel und auch nicht programmiere (mal abgesehen von html & co., was ja sogut wie jeder kann)

 

@whisky

geöffnet ja war ja nur nee zip, aber PIF (was ja nee EXE war)nicht ausgeführt...das ist der springende punkt .
du fragst dich aber woher ich weiss, das das der "sober.e" war wenn symantec nicht anspringt solange mann die UPX-gepackte sache nicht anklickt ....HIER kam das ergebnis raus, was ich aber schon erwartet hatte.

 

Naja...michael_x als Programmentwickler von Chatlösungen wird schon wissen, was er tut.

 

Den Sober hab ich noch nicht gehabt, aber den NetSky.C

1.
mail: info@arcitool.de
btrf: Status
txt: is that your account?
anhang: found.zip <- found.src

2.
mail: fredericmaurer@bluewin.ch
btrf: <Mail failed>
txt: gonna?
anhang: regid_schock.zip <- regid_schock.exe

Find ich ein bischen einfallslos!
....
Thunderbird schiebt die eh als Spam weg und wenn ich die doch dummerweise öffne, kreischt kaspersky!
....

 

hab eben auch den sober.e erhalten über Susan.Ewing@gmx.net mit einer angehängten words.zip (ca. 30kb) , darin war nee grafik.pif (sober.e-worm) .