Untermhäuser Forum

Sober-Wurm tarnt sich als Benachrichtung zur WM-Ticket-Auslosung

--------------------------------------------------------------------------------
Seit wenigen Minuten kursiert eine neue Version des Sober-Wurms, die unter anderem als eine in Deutsch verfasste Benachrichtigung über ein gewonnenes Ticket zur Fußball-WM 2006 daherkommt. Daneben tragen die Nachrichten auch Betreffzeilen wie: "Ich bin's, was zum Lachen", "Mail-Fehler", "Ihr Passwort" und "Ihre E-Mail wurde verweigert." Die Absenderadressen der Mails sind wie üblich gefälscht, unter anderem ist die FIFA als Absender eingetragen.

Bislang erkennen ihn nur wenige Virenscanner anhand einer generischen Signatur. Im Anhang der Mails befinden sich ZIP-Archive, in denen sich der Wurm (Winzipped-Text_Data, autoemail.txt und weitere) als PIF, EXE oder mit einer anderen Endung für ausführbare Dateien befindet. Ob der Schädling sich nur verbreitet oder auch eine Schadfunktion in sich trägt, konnte noch nicht festgestellt werden.

Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und welche Einstellungen vorgenommen werden sollten.


Die Hersteller von Antivirensoftware haben den neuen Schädling in ihre Signaturdatenbanken aufgenommen und erkennen ihn als Sober.O, .P, .N oder S. Eine Schadroutine trägt der Wurm nach bisherigen Erkenntnissen nicht in sich, er öffnet auch keine Hintertüren auf befallenen PCs.


Mittlerweile sieht sich auch das Organisationskomitee der Fußball-Weltmeisterschaft 2006 zu einer Reaktion auf den Wurm veranlasst, da er rasante Ausbreitung zumindest in Deutschland findet und das auf Grund des komplizierten und undurchsichtigen Karten-Vergabeverfahrens angekratze Image der Organisation weiter zu beschädigen droht. "Ticketkäufer, die bei der zweiten Verkaufsphase am 2. Mai 2005 erfolgreich waren, erhielten ihre erste Bestätigung direkt während des Bestellvorganges online", erklärte das Komitee in einer Warnung vor dem Wurm. Die per E-Mail versandten Bestätigungen des OK FIFA WM 2006 hätten zudem keinen Anhang enthalten. "Ticket-Besteller, die sich an der ersten Verkaufsphase der WM-Tickets beteiligt hatten, waren bereits am 22. April 2005 benachrichtigt worden." Spätere Benachrichtigungen seien ausgeschlossen.

http://www.sophos.com/virusinfo/analyses/w32sobern.html
Sophos über den Sober

gestern und auch heute bekam ich innerhalb einer minute 52 mails von der "fifa"... - also aufpassen...

Ich sag nur : KRANK

Apropos Spam, Wurm und Co:
Ich habe gestern 2 E-Mails von der Postbank (angeblich) bekommen. Aus Sicherheitsgründen soll ich in das angefügte Formular zwei TAN eingeben. Das ganze in schlechtem Deutsch und bei der Postbank bin ich sowieso nicht. Das "Formular" hatte mein Virenscanner schon vernichtet, das hab ich gar nicht erst bekommen.

Gefunden bei Yahoo
Donnerstag 23. Juni 2005, 10:04 Uhr
Wurm kann PC "fernsteuern"
Kaspersky warnt vor neuer Mytob-Migration
Moskau (pte) - Der russische Experte für die IT-Sicherheit Kaspersky Lab http://www.kaspersky.com warnt vor einer neuen Migration des Mytob-Wurms. "Win32.Mytob.U" verbreitet sich über eine Sicherheitslücke im lokalen Sicherheitsdienst Microsoft Windows "LSASS". Seine Funktionen sind praktisch identisch mit der Wurmvariante "Mytob.A".
Er unterscheidet sich laut Kaspersky nur durch einige unbedeutende Veränderungen: "Mytob.U" hat eine Größe von etwa 45 KB und ist mit "UPack" gepackt. Die Größe der entpackten Datei beträgt rund 233 KB. Anstelle der Datei "%System%"\msnmsgr.exe" erstellt der Wurm die Datei "%System%\rnathchk.exe. Der Wurm erstellt außerdem folgende Dateien im Wurzel-Directory der Festplatte: "my_picture.scr", "pic.scr" und "see_this!.pif". Alle diese Files sind Kopien des Wurms. Anschließend registriert er sich in den Schlüsseln für den Autostart des System-Registers, um sich bei jedem System-Start selbst zu aktivieren. Weiters erstellt "Mytob.U" den einzigartigen Identifikator "I_FUCK_DEAD_PPL" zur Bestimmung seiner Anwesenheit im System.
Zusätzlich öffnet der Schadcode auf der infizierten Maschine einen willkürlich gewählten TCP-Port für die Verbindung mit einem IRC-Server, um weitere Befehle zu empfangen. Dies ermöglicht dem Übeltäter laut Kaspersky den vollständigen Zugang über IRC-Kanäle zum System und zu Informationen des infizierten Computers. Dadurch kann er auf dem Wirtsystem beliebige Dateien starten, laden, entfernen und den Rechner quasi "fernsteuern".

Das wird ja immer verrückter ...