| digganigga | 23.05.2004 17:03 |
hier noch ein paar informationen zu dem Wurm: Zitat:
I-Worm.Sober.G ist sehr variabel im infizieren von PC-Systemen und deshalb kann die nachfolgende Beschreibung nur als Anhaltspunkt genommen werden.
Alias: W32/Sober-G, I-Worm.Sober.g
Removal Tool ((C) by Symantec)
[1]
Worm.Sober.G, verbreitet sich per E-Mail indem er die eigene SMTP Engine verwendet. Er verbindet sich mit port 37/TCP und kopiert sich über HTTP selbst in das Windows-Systemverzeichnis und setzt den folgenden Registrier-Eintrag, um sich wieder starten zu können:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnce
"<variabel>" = "<Pfad zum Wurm> %1"
Der Name der Datei wird von der folgenden Liste gebildet:
sys, host, dir, expolrer, win, run, log, 32, disc, crypt, data, diag, spool, service, smss32
Weiters wird der Registry folgender Eintrag hinzugefügt:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVe rsionRun
"<variabel>"="<varabel>.exe"
hinzu.
Besteht keine Verbindung zum Internet, wird das File C:WinsockError.log gelöscht und folgende Meldung am Bildschirm angezeigt:
STOP: 0x10020A2F (Unknown_blocking)
Possible Reason:
Your "Firewall" is blocking one or more System files
Check the "Winsock Error Log File" on
Winsock Error Log File
I-Worm.Sober.G versucht sich mit folgenden DNS Servern zu verbinden:
195.185.185.195
145.253.2.139
131.243.64.3
195.182.96.29
61.8.0.113
212.71.97.156
61.95.134.168
217.237.151.33
200.74.214.246
211.167.97.67
194.25.2.129
193.193.158.10
212.7.128.165
212.7.128.162
193.193.144.12
217.5.97.137
194.209.114.1
195.112.195.34
203.162.0.11
210.66.241.1
217.237.150.225
217.237.151.161
217.237.150.33
145.253.2.171
151.201.0.39
204.70.128.1
209.253.113.2
192.35.232.34
166.60.12.11
207.69.188.186
209.235.107.14
207.217.120.43
212.5.86.163
129.187.10.25
129.187.16.1
141.40.10.35
82.195.234.2
64.41.72.138
212.242.88.2
131.174.8.14
217.116.224.253
die IP-Adresse sucht er von:
microsoft.com
bigfoot.com
yahoo.com
t-online.de
google.com
hotmail.com
Folgende Dateien werden angelegt, um Informationen zu speichern:
%System%�cegfds.lll
%System%cvqaikxt.apk
%System%datsobex.wwr, ist ein MIME-encoded Wurm.
%System%wincheck32.dats, enthält eine Liste der E-Mail-Adressen, die I-Worm.Sober.G auf dem infizierten Computer findet.
%System%winexpoder.dats, enthält eine Liste der übernommenen E-Mail-Adressen
%System%winzweier.dats, enthält eine Liste der E-Mail-Adressen, die der Wurm generiert hat.
%System%xdatxzap.zxp, ist der MIME-encoded gezippte Wurm.
%System%zhcarxxi.vvx
%System%NoSpam.readme, enthält nur deutschen Text.
%System% ist eine Variable - I-Worm.Sober.G orientiert sich an der Windows-Installation
(Zum Beispiel C:WindowsSystem or C:WinntSystem32
Weiters versucht der Wurm auf Port 37/TCP folgende Verbindungen aufzubauen:
ntps1-1.cs.tu-berlin.de
ntp2.fau.de
Rolex.PeachNet.edu
ptbtime2.ptb.de
time.nrc.ca
ntp.metas.ch
ntps1-0.cs.tu-berlin.de
ntp0.fau.de
timelord.uregina.ca
ntp-1.ece.cmu.edu
ptbtime1.ptb.de
time.ien.it
ntp3.fau.de
time.chu.nrc.ca
clock.psu.edu
ntp1.fau.de
Von folgenden HTTP-Servern versucht er eine Datei herunterzuladen:
scifi.pages.at
free.pages.at
home.pages.at
people.freenet.de
home.arcor.de
welche als %System%doerkggg.exe gespeichert und ausgeführt wird.
Die E-Mail-Adressen sucht sich I-Worm.Sober.G in Dateien mit folgenden Endungen:
.PMR,.STM,.SLK,.INBOX,.IMB,.CSV,.BAK,.IMH,.XHTML,. IMM,.IMH,.CMS,.NWS,.VCF,.CTL,.DHTM,.CGI, .PP,.PPT,.MSG,.JSP,.OFT,.VBS,.UIN,.LDB,.ABC,.PST,. CFG,.MDW,.MBX,.MDX,.MDA,.ADP,.NAB,.FDB, .VAP,.DSP,.ADE,.SLN,.DSW,.MDE,.FRM,.BAS,.ADR,.CLS, .INI,.LDIF,.LOG,.MDB,.XML,.WSH,.TBB,.ABX, .ABD,.PL,.RTF,.MMF,.DOC,.ODS,.NCH,.XLS,.NSF,.TXT,. WAB,.EML,.HLP,.MHT,.NFO,.PHP,.ASP,.SHTML,.DBX
Der Absender wird verfälscht indem er z.B. Information, System, FehlerMail, oder Vornamen aufscheinen lässt.
Betreff und Inhalt sind je nach eMail Endung (.com, .net, .de) verschieden. Der Inhalt passt sich der Endung an (englische oder deutsche Sprache)
| Quelle: Webmasterpro.de |
