Dedies-Board » Sicherheit » Sicherheitsnews » Sicherheitsnews-Archiv » Weiterer Schädling im Internet unterwegs

Weiterer Schädling im Internet unterwegs

dedie
Nachdem nun eine neue neue Sober-Variante aufgetaucht ist, kursiert seit kurzem eine weitere Mail mit dem Betreff "Ich habe Ihre Mail erhalten" und der Nachricht:


Danke für Ihre Mail .... Sie haben aber Ihre Mail wahrscheinlich falsch adressiert,,, nämlich an mich. Ich kenne sie aber nicht!

Oder Ihr Provider hat die Mail falsch weiter geleitet!?

Um mich zu entlasten, schicke ich Ihnen das (...) Foto wieder zurück.

MfG Sender

Im gezippten Anhang findet sich eine ausführbare Datei. Bei unseren Tests erkannte kein einziger Scanner einen Schädling. Die bislang erhaltenen Samples werden noch untersucht. Ob es sich um eine weitere Variante des Sober-Wurms, eine Backdoor oder einen Trojaner handelt, der weitere Dateien nachlädt, ist noch nicht klar. Des Weiteren ist noch nichts über die Verbreitung bekannt -- in der c't-Redaktion schlugen allerdings in wenigen Minuten Dutzende Exemplare auf.


QUELLE
deoroller
Zitat:
Um mich zu entlasten, schicke ich Ihnen das (...) Foto wieder zurück.
Per Brief oder wie? muhaha
DerBilk
Wenn ich mir so anschaue, welche E-Mail-Mengen da so an unseren Türen kratzen, scheint es mal wieder ein typischer Sober-Erfolg zu werden... dumm
DerBilk
... und weiter geht's...

Zitat:
Nachdem am 6. Oktober 2005 bereits zwei verschiedene Sober-Würmer durch das Internet gegeistert sind, gesellt sich seit den Abendstunden des gleichen Tages ein weiterer Sober-Ableger dazu, der sich ebenfalls sehr rasch verbreitet hat. Auch dieser Wurm versucht durch entsprechende E-Mail-Texte, seine Opfer dazu zu bringen, den angehängten Schadcode zu aktivieren.

Der jüngst entdeckte Wurm trägt den Schadcode in dem mit der E-Mail versendeten Anhang, der in den Golem.de vorliegenden Mustern Brief.zip heißt. Der deutsche Nachrichtentext gibt vor, dass der Absender fragwürdige Inhalte erhalten habe und mit einer Anzeige drohe. Mit diesem Trick will der Schädling Opfer dazu bringen, die angehängte Datei zu öffnen. In der ZIP-Datei steckt dann eine als Word-Datei getarnte Exe-Datei mit dem Namen "packedX_Word_Text-Document.exe", die den Wurm-Code enthält.

Die Wurm-E-Mail weist die Betreffzeile "Haben Sie diese Mail verschickt?" auf und wird so an alle deutschsprachigen Domains versendet. Sofern es stimmt, dass es sich hierbei um einen weiteren Sober-Ableger handelt, verschickt sich der Wurm in einer weiteren Variante mit englischsprachigem Betreff. Derzeit liegen aber noch keine Informationen aus den Labors der Anbieter von Antivirenlösungen vor, so dass genauere Angaben nicht gemacht werden können.

Der deutsche Nachrichtentext lautet

Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige gegen Sie zu
erstatten!

Sie spinnen ja wohl! Die Mail hat meine Tochter gelesen !!!!!!!!!!!!!!

Ich habe Ihnen "diese" Word-Text Datei zu meiner Entlastung
zurückgeschickt.

Es wäre von Vorteil, wenn Sie sich dazu äußern würden!!

Höchstwahrscheinlich trägt sich der Wurm auf infizierten Systemen so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Unhold vermutlich eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Für den Versand werden zudem sicherlich die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.

Noch liegen keine Details zu dem neuen Wurm von den Herstellern von Antiviren-Applikationen vor, so dass sich die gemachten Beobachtungen bislang nicht bestätigen lassen.


Quelle
deoroller
Zitat:
Ich habe Ihnen "diese" Word-Text Datei zu meiner Entlastung
Schon wieder. Haben die Rohrpost, oder wie geht das.
Ich schicke gleich auch mal dem Hersteller meines Antivirenprogramms die Signaturen zu meiner Entlastung zurück. großes Grinsen

edit:
Leute, es gibt bald wieder Arbeit. NIS 2006 kommt diesen Monat raus.
Vimes
Du wirst lachen, mir hat mal jemand auf eine E-Mail-Bewerbung hin neben einer rotzunfreundlichen Absage auch - zu seiner Entlastung [1] - meine Unterlagen (PDFs) zurückgeschickt... es gibt solche Idioten.

MfG
Vimes

[1] O-Ton.
Hertener
@ Vimes

BTW: Wäre doch nett, wenn er noch einen Screenshot beifügt der zeigt, dass die Originale im "Papierkorb" gelandet sind - an Mails werden bekanntlich nur Kopien der Originaldateien angehängt. großes Grinsen
MobyDuck
Übrigens: Falls mal jemand so eine Mail mit der neuen Sober-Variante bekommt, würde ich mich über eine PN freuen. Bei Heise schlagen die ja wohl im Minutentakt ein, nur ich kriege keine ab. motz

Möchte die mal über meinen VMWare-DAU schicken.

Danke.
Hertener
Zitat:
Möchte die mal über meinen VMWare-DAU schicken.

Was ist das? grübeln

EDIT: Habe die Mail auch noch nicht bekommen.
MobyDuck
Ein virtuelles XP. Ungepatcht. Aber dafür mit Norton Antivirus (bisher besser als ich dachte, Respekt) und ZA. Beides Trial-Versionen, aber wenn sie abgelaufen sind reicht ein Klick auf "Snapshot" in VMware. großes Grinsen
Hertener
aso - und warum ist Dein XP virtuell? grübeln
MobyDuck
VMware. Gab's für lau auf der letzten c't-CD und ist jetzt mein Lieblingsspielzeug. Habe jetzt ein virtuelles Up-to-Date-XP. Da kann man testen. Ein, ähmm, ungepatchtes XP mit Norton und ZA. Da kann man lernen. Und ein Ubuntu 5.10. Da kann man staunen.
dedie
@ Hertener

guckstdu

Und jetzt bitte mal wieder Back to Topic
Hertener
Danke, dedie. Habe den Thread bereits gefunden und lese noch... Petzauge

EDIT: Nun ist mir klar, woher die Virenschleudern im Netz stammen - es sind Eure Testsysteme... großes Grinsen Petzauge cool
DerBilk
Zitat:
Original von MobyDuck
Übrigens: Falls mal jemand so eine Mail mit der neuen Sober-Variante bekommt, würde ich mich über eine PN freuen.


Ich werde am Montag mal nachschauen... Petzauge
dedie
@ MobyDuck

Die Schweizer haben mich nicht enttäuscht ich hätte da einmal Photos vom Klassentreffen und einmal ein nettes Worddokument für dich, schick mal ne PN an welche Addy ich sie weiterleiten soll großes Grinsen