SOBER - The real danger comes now (II), The new topic Einstellungen

[Rokop]

Liebe Forumsbesucher !


Zu meinem Bedauern muß ich einmal Folgendes loswerden: Leider haben wir es geschafft, eine rein fachliche Sache derart mit perönlichen Dingen zu vermischen, daß hinterher nur noch ein Häufchen Schutt und Asche übriggeblieben ist.
Da ich gestern nicht in der Lage war aktiv in die Sache einzugreifen, möchte ich nun heute noch etwas dazu loswerden. Mir liegt es fern, nach den Gründen oder Verantwortlichen dieser Sache zu suchen, ich möchte jedoch an Euch alle appelieren, persönliche Anfeindungen zugunsten fachlichlicher Diskussionen zurückzustellen. Wir alle sind doch erwachsene Menschen, die in der Lage sein sollten, sich nicht wie pubertierende Teenager zu verhalten.
Ich möchte daher die Gelegenheit beim Schopfe packen und Michael bitten, den Ursprungsbeitrag wieder neu zu posten um eine sachliche Diskussion weiterzuführen. Schließlich sind schon erste Reaktionen bezüglich der Sober Analyse aus der AV Branche sichtbar und ich fände es schade wenn dieses Thema sang- und klanglos in der Versenkung verschwände.
Für alle anderen Dinge bitte ich die PM oder Mailfunktion zu verwenden, da es sich hier um ein reines Fachforum handelt.

Vielen Dank für Euer Verständnis

[Gast_Gladiator_*]

Zur Grundlage liegt folgendes (richtiges) Virus Tech Paper:
http://www.antivir.de/vireninfo/sober.htm

Und meine Feststellung, dass fast alle Virenscanner und Cleaner den Wurm nicht finden bzw. nicht entfernen koennen wenn dieser bereits aktiv im System laeuft.

Ferner steht zur Debatte, das fast alle Online Virus Tech Papers falsch sind. Falsch insofern, dass davon berichtet wird wie man den Wurm via Taskmanager aus dem System bekommt was ueberhaupt nicht moeglich ist.
Falsch ausserdem, dass keinerlei Informationen ueber Infektionen anderer Files auf der Festplatte verfuegbar sind. Falsch ausserdem der Verbreitungsweg - der ist nicht nur ueber Email Attachments. Falsch ausserdem die Prozessnamen als welche der Wurm sich startet - es gibt wesentlich mehr Prozessnamen als nur 2 Stueck. Diese Prozessnamen stehen uebrigens verschluesselt im VB Executable in der Stringtable.
Falsch ist auch wie Ikarus (seit kurzem.... ) berichtet dass der Worm mehr als 2 Instancen erzeugen kann. Das ist nicht richtig, denn auch wenn es 3 oder mehr Files von dem Wurm im Systemfolder gibt sind immer nur 2 davon aktiv - der Rest schlummert nur auf Platte.
Bestes Beispiel dafuer die Similar.EXE - eine Datei die *immer* beim Starten des Wurms angelegt wird (und der Wurm selber ist) aber niemals selbst aktiv startet.

Ikarus schreibt beispielsweise auf der Homepage:
Wurde der Wurm aktiviert kommt eine Fehlermeldung:
File not complete!
Diese Meldung kommt aber nicht bei jeder Variante !!

Achso ?
Richtig sollte es so sein:

Wird der Wurm als "original Wurm" gestartet, dann kommt die Meldung "File not complete!" - wird hingegen ein infiziertes Sample (beispielsweise aus dem Shared Folder) gestartet dann kommt "File Header is missing or not complete".
Und liebe Ikarus Freunde, es handelt sich dabei nicht um eine Variante, auch wenn die Datei einiges an Groessenunterschied haben kann, denn der Sober ist ein Overwritter Wurm. Im Klartext heisst es dass der Wurm sich bei Executables immer beim Ersten Start des Wurm - also auch bei jedem Neustart des Systems *immer* an erste Stelle setzt. Er ueberschreibt den alten PE Header mit seinem eigenen Code und kuemmert sich nicht drum ob das Executable noch laeuft. ABER: Da der Wurm sich auch ueber bsw. Kazaa verbeitet (EBEN GENAU DESHALB WEIL ER FILES IM SHARED FOLDER INFIZIERT) kommt es natuerlich faelschlicherweise zu "Varianten" wie viele AV Firmen meinen. Pustekuchen - das sind keine Varianten, die schleppen nur alten Code von anderen infizierten Exe Dateien aus dem Shared Folder mit sich rum.

[Name Game]

Excellent write up, analysis and presentation.

Thanks for your work and your patience.

[Gast_Gladiator_*]

If you want you can translate it into english and sharing it with other forums - it is really important to know.

[Name Game]

I would think that a very good idea..you know many variants will now be popping up since Sober has gained a foothold over there in Europe ...and we know that you and others will be keeping an eye out for any of those manipulation so that it does not spread in any new form.

[Gast_Gladiator_*]

The "variants" are not really new variants. They are infected files with sober in the shared folder and spreading via peer2peer network The worm overwrites files in the shared folder with his own code. nobody knows this so far. This happens with the first run of the worm.

[Name Game]

How did your testing go with the Stinger Tool ?

W32/Sober@MM

NOTE: The virus has been known to send the contents of the harvested address file (MEDIA.DLL) as an attachment, with one of the aforementioned attachment names, rather than the worm itself. Such files would not be detected and are not viral.

The AVERT stand-alone removal tool Stinger has been updated to detect and remove this threat.


Aliases
Name
I-Worm.Sober (AVP)
W32.Sober@mm (Symantec)
Win32.HLLM.Odin (Dialogue Science)
Win32/Sober.A (Eset)


http://vil.nai.com/vil/content/v_100778.htm


Sober worm may be slow, but don't be complacent

McAfee classified the virus as "low-profile" yesterday. Less than 20 corporate customers had been affected and most copies of the virus received by McAfee had been sent by the virus itself directly to a McAfee e-mail address for reporting of viruses. They had not been sent in by customers who had been hit by it. The spread had so far been fairly restricted to Germany.

The worm is designed to propagate itself by e-mailing itself to addresses extracted from the victim's machine. It does this using its own SMTP (Simple Mail Transfer Protocol) engine and uses a variety of subject lines, messages and attachment names in the messages. To foil users who try to remove it by hand, the worm creates two copies of itself.
http://www.computerweekly.com/Article126031.htm

Love that P2P

[Gast_Gladiator_*]

Stinger doesn't clean the worm in the first run. He still misses files out from system directory.

[Name Game]

Is there a reason why your cleaning tool is no longer available for download ???
ht tp://www.antivir.de/dateien/antivir/beta/avrptool.exe

I see the write up is now changed

Der Beitrag wurde von Name Game bearbeitet: 11.11.2003, 16:46

[Gast_Gladiator_*]

yes there was only a small spelling mistake in the writeup.
Hm.... no download ? maybe something is wrong with the url link, i check that ASAP.

[Name Game]

Had wondered if there was another spelling error in this last part of the URL


/beta/avrptool.exe

[Gast_Kary_*]

hallo

ich habe diese hitzige diskussion um den €Sober Wurm€ mit Spannung mitverfolgt
habe auch gerade disbezueglich den folgenden link von heise ,andreas marx gelesen.
http://www.heise.de/security/artikel/41908

das erste was ich sagen muß ist, daß kein einziges tool "AM ANFANG <26.10.2003 - <> 02.11.2003" funktioniert hat.

zweitens ist, andreas marx sagt das der Sober Wurm wieder zurück geht
ist ja auch kein wunder, weil der wurm hat sich selbst am wochenende deaktiviert??. meine ganzen verwandten und bekannten und kollegen und ich, haben (((ungefähr INGESAMT))) 3000 - 5000 Sober mails pro tag erhalten.
aber seit dem wochende ist bei niemanden mehr eine Sober mail eingegangen.
natuerlich habe ich das auch getestet. einfach den Sober starten und die platte auslesen lassen und ihn verbinden lassen. keine mail wird mehr abgeschickt. habe ich mit norton antivirus getestet. weil norton hat eine funktion die anzeigt ob mails ausgehen.
hatte keine zeit mehr gehabt und mußte meinen computer runterfahren. als ich spaeter wieder den PC hochgefahren habe, lief Sober nicht mehr obwohl alle sober dateien noch auf dem rechner waren.

ein weiterer wichtiger punkt ist: (diesen link habe ich aus diesem forum)
http://board.protecus.de/showtopic.php?thr...t_start=0&time=
der thread von ShangriLa

der wurm hat die faehigkeit durch jede firewall zu brechen und zwar auf die psychologische tour. (ERSTAUNLICH)
habe ich natuerlich auch testen muessen. wenn man den wurm nicht senden/verbinden laeßt, trennt er dir einfach die verbindung zum internet mit einer bluescreen fake fehlermeldung.


das teil ist bis jetzt das haerteste aber auch intelligenteste miststueck was ich so erlebt habe

ich hoffe euch "weitergehelft" zu haben

schonen gruß

[Gast_Gladiator_*]

Der Fake Error-Text mit dem Firewallunsinn ist uebrigens hard gecodet im Executable. Ich hatte auch schon ueberlegt ob ich das damals mit ins Techpaper reinnehmen soll, habe es aber rausgelassen da es eigentlich keine WICHTIGE technische Information ist. Viel wichtiger habe ich es beispielsweise gehalten dass er auch andere Files auf der localen Platte infiziert indem er sich einfach reinschreibt oder dass er unter NT basierenden Systemen die Files im EXCLUSIV LOCK sperrt, so dass man die Files nicht zum lesen (also auch zum Scannen) oeffnen kann.

[Internetfan1971]

Nun ist Sober schon eine neue Klasse der IT-Schädlinge!

http://winfuture.de/news,11952.html

Aber mal im Ernst. Solche Würmer (und Viren und Trojaner) mit zwei Instanzen die sich schützen hat es doch schon früher gegeben oder haben wir jetzt wirklich eine neue Klasse von Schädlingen?

[Gast_Gladiator_*]

Lass es mich so erklaeren, dass es auch Leute ohne Virenkenntnisse verstehen:

Wenn 1945 zwei Staatswagen einen Airbag hatten dann war das kaum der Rede wert - wenn allerdings tausende Volkswagen damit ausgestattet werden, also Autos die jeder zu Hause hat - dann spricht man schon von einer "neuen" Art des Schutzes.

Und fuer alle die zu spaeter Stunde schon Bier getrunken haben - selbst wenn es schon verschiedene Testprototypen eines solchen Wurms gegeben hat - es war bisher noch keiner in so starkem Maße vertreten (zumindest in Europa insbesondere Deutschland) wie der SOBER Wurm.

Und der Soberwurm war mal wirklich zur Abwechslung was halbwegs interessantes. Insbesondere dass hier viele Funktionen ueber sogenannte System API's stattgefunden haben und nicht alles im Klartext im Wurm drin stand. Wer also beispielsweise nach "My shared Folder" sucht der wird enttaeuscht - das steht so im Klartext nicht drin - dort muss man schon richtig debuggen und reversen