net-board.net Archiv
Braune Post per Huckepack (Sober-Wurm) - Druckversion

+- net-board.net Archiv (https://net-board.net)
+-- Forum: Deine eigene Homepage (https://net-board.net/forumdisplay.php?fid=26)
+--- Forum: Grundlagen (https://net-board.net/forumdisplay.php?fid=13)
+--- Thema: Braune Post per Huckepack (Sober-Wurm) (/showthread.php?tid=4389)



Braune Post per Huckepack (Sober-Wurm) - cHAp - 14.07.2004

Der Juni bescherte E-Mail-Empfängern in ganz Deutschland eine wahre Welle von Spam-Mails mit ausländerfeindlichen Inhalten. Nicht allein die rassistische Propaganda war erschreckend, sondern noch weitaus größer war der Schock tausender Unschuldiger, die ohne ihr Wissen als Absender fungierten.
Völlig unbescholtene Menschen wurden zu vermeintlichen Absendern, die all ihre persönlichen Mail-Kontakte mit den Hetz-Botschaften überschütteten. So wurden die nichtsahnenden Absender auf perfide Weise in den braunen Sumpf hineingesogen und waren damit die eigentlichen Opfer.

Eine intensive Suche nach dem Urheber von Spam und Virus wird unternommen. Schon jetzt kann man feststellen: Er oder sie kommen aus Deutschland. Die braune Versandaktion war offenbar von langer Hand geplant. Das Kapern der Absender- und Empfängeradressen, die zur Abwicklung der Mail-Schwemme herhalten mussten, wurde mit Hilfe des Sober-Wurms vorbereitet.


Variante-G der Sober-Familie

Der Sober-Wurm wurde Ende letzten Jahres zum ersten Mal ausgestreut. Seitdem folgten mehrere Varianten, die – wie mittlerweile üblich – fortlaufend nach dem Alphabet gekennzeichnet wurden. Im Mai 2004 war man schließlich beim Buchstaben „G" angelangt. Bei der Sober-G-Variante glaubten viele Sicherheitsexperten an ein geringes Risiko, was nach jetziger Kenntnislage ein Fehler war.

Trotz der hohen Verbreitung der Sober-Familie waren tatsächlich zunächst keine echten Schäden registriert worden. Manche Experten hatten diesem Schädling aber ein hohes Schadenspotenzial bescheinigt.

Die Sober-Viren sind nämlich mit Funktionen ausgerüstet, die das Nachladen von Updates oder weiteren Programmen aus dem Internet ermöglichen. Derartig infizierte Rechner können dann von außen zu jedem beliebigen Zeitpunkt scharf gemacht werden. Eine daraus entstehende Aktion sind beispielsweise Massenmailings, wie sie jetzt im Juni veranstaltet wurden.



Sober-H wird zum Nazi-Wurm


Mit der Europa-Wahl war offensichtlich der Zeitpunkt gekommen, auf den die Sober-Macher hingearbeitet hatten. Sie starteten via Sober-H eine mit rechtsradikalen Parolen versehene Spam-Flut, die Organisationen und Parteien des rechten Spektrums Wählerstimmen zuführen sollte.

Experten erinnerten sich daraufhin an versteckte Botschaften in der Vorgängervariante Sober-G. Diese wiesen zwar keinerlei politische Anspielungen auf, aber der Name des Unterzeichners „Odin“ erschien jetzt in einem neuen Licht.

Dass hinter Massenmailings, die über gekaperte Computeradressen verschickt werden, knallharte kommerzielle Interessen von Virenautoren und Werbemüll-Versendern stehen, ist seit längerem bekannt. Besonders intime Szenekenner haben aber ebenfalls seit geraumer Zeit auf die vielfältigen Verbindungen zwischen Neonazi- und Wurmvandalen-Szene hingewiesen.

Der kommerzielle Effekt für die in Parteien organisierten Nutznießer der rechtsradikalen Spamflut: Wählerstimmen bedeuten Bares, denn nach dem Verteilungsschlüssel schlägt bei Wahlen jede Einzelstimme bis zu einer Gesamtzahl von vier Millionen Wählerstimmen mit satten 85 Cent zu Buche. Bei Bundes- und Landtagswahlen sind noch Ausschüttungen aus Landesmitteln und sonstige Zuwendungen drin.


Wie arbeiten die Sober-Brüder im Rechner?

Das aktuelle Verhalten der perfiden Sober-Brüder ähnelt in der Vorgehensweise den vorangegangenen Schädlingswellen Mydoom, Beagle oder Netsky. Im Gegensatz zu diesen Virenrotten handelt es sich aber bei Sober allem Augenschein nach um ein „rein deutsches Produkt“.

Alle identifizierten Varianten nutzen zur Verbreitung die Vorarbeit ihrer Vorgänger. Sie kommen als Mail-Anhang, der den betroffenen Rechner beim Öffnen des Mail-Anhangs infiziert. Dann verschicken sie entweder Mails oder öffnen heimlich Ports, die die Steuerung von außen ermöglichen. Die nachfolgende Virenverwandschaft findet somit freien Zugang, um ihrerseits eigene Massenmailings abzusetzen.

Sober-G kopiert sich in den Windows-Systemordner und erstellt einen Registrierungseintrag, so dass er bei der Benutzeranmeldung automatisch gestartet wird. Wenn er erstmals ausgeführt wird, erstellt der Wurm eine TXT-Datei im Temp-Ordner und kopiert sich dann als EXE-Datei in einen Windows-Systemordner mit einer Vielzahl möglicher Dateikennungen. Sober-G spürt darüber hinaus E-Mail-Adressen auf und speichert diese ebenfalls.

Sober-H, der eigentlich als Trojaner zu bezeichnen ist und daher auch als „Trojan.Ascetic.A“ firmiert, bringt die zur Mailverschickung benötigten Textinhalte mit. Er ist ausschließlich auf solchen Rechnern zu finden, die durch Sober-G infiziert sind. Die feine Verwandschaft Sober-H versendet nun mit eigener SMTP-Maschine E-Mails in deutscher Sprache an Adressen, die in obengenannten Dateien auf der Festplatte gefunden wurden.

Der Trojaner durchsucht die Dateien nach E-Mail-Adressen, deren Namen bestimmte Zeichenfolgen enthalten müssen. Die verschickten Mails enthalten ihrerseits keinen infizierten Anhang. Die sie aber mit Hetzparolen unter dem Namen des Computerbesitzers an seinen Bekanntenkreis versendet werden, ist allerdings der Ansehensverlust der vermeintlichen Absender immens.



Konkrete Hilfe: Säubern nach Sober-Befall


Um Sober-G auf Ihrem Rechner aufzuspüren, müssen Sie im Windows-Systemverzeichnis die Datei „NoSpam.readme“ suchen. Diese enthält die bereits erwähnte und zunächst noch nicht allzu verdächtig klingende Botschaft des Autors Odin alias Anon.
Haben Sie die Datei gefunden, lassen sich über die Webseite Sicherheitsnews.info Werkzeuge zum Entfernen des Wurms herunterladen. Wer Sober-G auf seinem Rechner entdeckt, muss allerdings auch davon ausgehen, dass sich dort ebenfalls der Nazi-Kollege Sober-H befindet. Zum Entfernen von Sober-H, müssen Sie eine Datei mit Namen „sysmms32.lla“ erzeugen und ins Systemverzeichnis kopieren. Dann deinstalliert sich Sober-H von selbst.

Laut Aussagen von Antivirenprogramm-Hersteller F-Secure installiert sich der Wurm auf Rechnern, auf denen die Datei „odin-anon.ger“ vorhanden ist, gar nicht erst oder deinstalliert sich im nachhinein. Die Kennzeichnungen „Odin“ und „.ger“ könnten ein Verweis auf germanische Mythologie sein und gestatten so den Mitgliedern der rechsradikalen Szene, den Wurm von sich fernzuhalten und so auch nicht zum ungewollten Spammer zu werden. Schlagen Sie die rechten Gesellen doch einfach mit deren eigenen Mitteln und nutzen Sie diese Möglichkeit, um sich vor Sober-G zu schützen.


Vorsorge: Maßnahmen für die Zukunft

Wenn Sie in Zukunft verhindern wollen, dass Sie Opfer eines Wurmangriffes per E-Mail werden, dann sollten Sie zum täglichen Arbeiten auf Ihrem XP-Rechner einen weiteren Benutzer einrichten, der nicht über die Rechte eines Admininstrators verfügt.
Bei E-Mail auch von vermeintlich bekannten bzw. vertrauenswürdigen Absendern prüfen, ob der Text der Nachricht auch zum Absender passt (englischer Text von deutschem Partner, zweifelhafter Text oder fehlender Bezug zu konkreten Vorgängen etc.) und ob die Anlage (Attachment) auch erwartet wurde.

Sicherheitsexperten empfehlen außerdem, den Versand bzw. den Empfang von ausführbaren Programmen (Extend .COM, .EXE, .BAT, ...) oder anderer Dateien, die Programmcode enthalten können (Extend .DO*; XL*, PPT, VBS...) vorher telefonisch abzustimmen. Dadurch wird abgesichert, dass die Datei vom angegebenen Absender geschickt und nicht von einem Virus verbreitet wird.

Quelle: AOL