Sober.E im Umlauf

Dieses Thema im Forum "Sicherheit" wurde erstellt von Gast, 28. März 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Gast

    Gast Guest

    Sober.E kommt mit folgenden Eigenschaften:

    -eigene SMTP-Engine
    -UPX-gepackt (~30 KB)
    -kopiert sich als Datei mit Zufallsnamen in den System-Ordner
    -kopiert folgende weitere Dateien:
    bcegfds.dll (leer)
    zmndpgwf.kxx (leer)
    MsHelp32.dat (mime-codiertes ZIP-Archiv, 41 KB)
    msWord.wrd (mime-codiertes ZIP-Archiv, 41 KB)
    WinRun32.dll (Liste mit gesammelten Mailadressen)

    -der oben erwähnte Zufallsname wird aus folgenden Teilen zusammengesetzt:
    32, crypt, data, diag, dir, disc, explorer, host, log, run, service, smss32, spool, sys, win

    Betreff und vermeintlicher Absender erscheinen wie folgt:

    Von: Zufallsname@variableX.variableY
    An: Zufallsname@variableX.variableY

    variableX kann folgende Werte annehmen:
    ? aol
    ? gmx
    ? yahoo

    variableY kann folgende Werte annehmen:
    ? aero
    ? biz
    ? com
    ? coop
    ? edu
    ? gov
    ? museum
    ? name
    ? net
    ? org
    ? pro
    ? info

    Betreff:
    ? Hi
    ? HEY
    ? Hey!
    ? hey?
    ? hi
    ? Hi :-)
    ? OK :-)
    ? OK OK
    ? OK ok OK

    Inhalt der Mail:
    ? ;-)
    ? HA
    ? ha!
    ? lol
    ? LoL
    ? LOL
    ? THX
    ? Thx!
    ? thx
    ? yo!

    Anhang: %Name%Zufallsziffern.%Endung%

    %Name% ist eine Kombination aus folgenden Teilen:
    ? Text
    ? Read
    ? Graphic-doc
    ? document
    ? Word

    %Endung% ist eine der folgenden:
    ? .zip
    ? .pif

    [Edit: Beschreibg. aktualisiert]
     
  2. Gast

    Gast Guest

    Sorry, aber mehr als es noch zusätzlich grafisch belegen kann ich nicht. Beachte bitte auf meinem Screenshot die rote Umrandung. Sie zeigt, dass das LiveUpdate (zunächst) viel zu spät zur Verfügung gestellt wurde.
     
  3. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    was willst du mir damit nun sagen? das hier nichts geht? der 1.april ist aber heute noch nicht und an den weinachtsmann glaubsch ochnee :)
     
  4. Gast

    Gast Guest

    Du hast mein Posting gar nicht richtig gelesen. Hättest du es getan, hättest du nämlich bemerkt, dass ich nicht nur bereits auf diese Seite verlinkt hatte, sondern dass mein verlinkter Screenshot gar von selbiger stammt und mit rotem Rahmen auf den Problempunkt überdeutlich hinweist.

    Mit anderen Worten: wurde durch dich nicht explizit ein Update über den manuellen Download und die anschließende Installation des Intelligent Updaters durchgeführt, besteht gegenüber dem Sober.e noch kein Schutz seitens NAV. Nutzt du also ausschließlich das Live-Update, wird die Signatur für den Sober.e nach dem derzeitigen Stand erst am Mittwoch eingespielt.

    Es mag dir bekannt sein - was es bedeutet, hast du jedoch nicht verstanden:

    Falsch. Sie werden ja gerade laufzeitkomprimiert, da NAV etliche Laufzeitpacker nicht kennt, und derartig gepackte Malware daher nicht erkennen kann - selbst dann nicht, wenn diese Malware läuft.

    Nein - mit einer Ausnahme: du hättest explizit den Intelligent Updater genutzt, sprich: die über vier MB große Update-Datei geladen. Ansonsten besteht noch keine Erkennung. Und das hat in diesem Fall nichts mit der Laufzeitkomprimierung zu tun.
     
  5. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    hallo mmk

    folge bitte Diesem LINK
    das dürfte deine frage nach dem stand der aktualität beantworten.
    das mit den komprimierten exe-dateien (UPX) ist mir bekannt, jedoch ist spätestens dann der eigentliche schutz vor backdoor-trojaner-programmen immernoch existent, wenn man die komprimierte programmdatei ausführen will.
    das heisst, hätte ich die grafik.pif ausgeführt würde der W32.Sober.E@mm schädling seit 28.märz 2004 erkannt werden auf meinem system .
     
  6. Gast

    Gast Guest

    Mal abgesehen davon, dass gerade NAV Probleme mit dem Unpacking laufzeitkomprimierter Malware hat, ist in diesem Fall mal wieder ein anderer Problempunkt für die Nichterkennung des Wurmes verantwortlich: Symantec lässt sich mit dem Live-Update massig Zeit.

    Hier ein Screenshot mit dem entscheidenden Hinweis:

    http://home.arcor.de/mk-online/img/nav_sober_e.jpg [82 KB]

    Quelle: [29.03.04, 02:35 Uhr]
    http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.e@mm.html

    Dass dies kein Einzelfall, sondern "Normalität" ist, zeigt diese Auflistung:

    http://itmanagement.earthweb.com/columns/executive_tech/article.php/3316511
     
  7. Gast

    Gast Guest

    das weiss ich ja sogar ;) auch wenn ich kein spezi bin und mir noch kein solcher untergekommen ist.

    aber ich weiss, das im august endlich dsl her ankommt und dann kommt auch ein rooter mit ner hw firewall.... mal sehen was es da so gibt und was es da so kostet!
     
  8. Gast

    Gast Guest

    Explizit? Würmer? Ja weißt du nicht, dass es längst Würmer gibt, die Schutzsoftware deaktivieren?
     
  9. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    ich sprach über einen expliziten fall "würmer" (hintergrundprogramme, trojaner) , und bezog mich dabei auf das zitat.

    leute....erst lesen, dann posten....aber wem sag ich das?! hmm
     
  10. Gast

    Gast Guest

    das stimmt leider auch

    was nützt einem eine firewall, wenn man programme oder vermeindliche programme installiert, die auf dunklen kanälen daten über surfverhalten u.ä. verschicken. wenn das programm (z.b. ein dl manager) ein datenstrom verschickt, glaubt der user doch, das es um eine normale anfrage an eine datei o.ä. handelt und gibt diesen datenstrom frei, ohne zu wissen, das es sich um private daten, wie z.b. surfverhalten, passwörter, vertrauliche dokumente usw. handelt.
    das hier ein falsches sicherheitsgefühl vermittelt wird und das das spamaufkommen keineswegs gesunken ist, da muss ich steel zustimmen.

    weiss nicht, aber hab letztens noch nen testbericht über 2 firewalls gelesen, einmal über norton internet security und mcafee firewall. beide hatten einen miserablen selbstschutz.
    wenn man nun ein programm installiert, welches die fähigkeit hat, die firewalls zu deaktivieren, so nützt einem die sicherste sotwarewall nichts mehr, weil sie nicht aktiv ist oder weil diese programme sogenannte vollrechte bekommen!
     
  11. Gast

    Gast Guest

    Nein. Denn sowohl dieser Schlauberger wie auch du jetzt ignorierte, dass sich auch stolze Besitzer dieser Art Software Malware erfolgreich installierten und noch immer installieren, zum einen, weil sie sich dank der gefühlten Sicherheit noch unvorsichtiger verhalten, zum anderen, weil die Software als solche eben nicht zuverlässig ist.
     
  12. Gast

    Gast Guest

    stimmt.. ich gurke seit 8 jahren im inet rum! und denke mal das ich wohl als halbwegs erfahrender inet user eingestuft werden könnte, aber bestimmt net als erfahrender oder als crack oder ähnliches.
     
  13. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    wer auch immer dieser "micha_x" (ohne EL) ist.....mit seinem zitat "Und bin der Meinung, dass Firewall-Software, selbst Zonealarm die Spam-Welle von Wurm-Mails der letzten 6 Monate um mindestens 75% verringert hätte ;-)" auf der angegebenen
    URL hat er jedoch recht. ! wenn dem "DAU" ein dickes fettes fenster vor der nase erscheint mit einer virenmeldung aus einer applikation oder ähnliches, wird dieser wenigstens bei der arbeit am computer unterstützt .
    das problem ist ja gerade das viele nutzer des INET nicht gleich alles in 5min. (oder auch 5 monate) verstehen können und bilden dann gemeinsam mit anderen die schönen befallenen subnetze, die hinterher für Dos-attacken auf URL?s missbraucht werden können.
    das ist meine meinung des PRO für schutzsoftware-lösungen.
     
  14. Gast

    Gast Guest

    ne dat bin ich net, aba entschuldigung angenommen :)
     
  15. Gast

    Gast Guest

    Jo, kann sein. Guckst du hier ;)
    Wenn du nicht derjenige bist, dann entschuldige die Verwechslung.
     
  16. Gast

    Gast Guest

    ausnahmsweise mal!
    normalweise verschwindet sowas ungeöffnet ins datennirvana.

    hätt mein scanner auch nicht angesprochen, hät ich bestimmt nicht sagen können, was für virus das is.

    kann es sein das du mich mit jemand verwechselst?
    ansonsten danke fürs lob, auch wenn ich keine chatlösungen entwickel und auch nicht programmiere (mal abgesehen von html & co., was ja sogut wie jeder kann)
     
  17. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    @whisky

    geöffnet ja war ja nur nee zip, aber PIF (was ja nee EXE war)nicht ausgeführt...das ist der springende punkt .:)
    du fragst dich aber woher ich weiss, das das der "sober.e" war wenn symantec nicht anspringt solange mann die UPX-gepackte sache nicht anklickt ....HIER kam das ergebnis raus, was ich aber schon erwartet hatte.:D
     
  18. Gast

    Gast Guest

    Naja...michael_x als Programmentwickler von Chatlösungen wird schon wissen, was er tut. ;)
     
  19. Gast

    Gast Guest

    Den Sober hab ich noch nicht gehabt, aber den NetSky.C

    1.
    mail: info@arcitool.de
    btrf: Status
    txt: is that your account?
    anhang: found.zip <- found.src

    2.
    mail: fredericmaurer@bluewin.ch
    btrf: <Mail failed>
    txt: gonna?
    anhang: regid_schock.zip <- regid_schock.exe

    Find ich ein bischen einfallslos! :D
    ....
    Thunderbird schiebt die eh als Spam weg und wenn ich die doch dummerweise öffne, kreischt kaspersky!
    ....
     
  20. bond7

    bond7 Megabyte

    Registriert seit:
    27. Februar 2004
    Beiträge:
    1.074
    hab eben auch den sober.e erhalten über Susan.Ewing@gmx.net mit einer angehängten words.zip (ca. 30kb) , darin war nee grafik.pif (sober.e-worm) .
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen