SOBER - The real danger comes now (II), The new topic Einstellungen

[Rokop]

Liebe Forumsbesucher !


Zu meinem Bedauern muß ich einmal Folgendes loswerden: Leider haben wir es geschafft, eine rein fachliche Sache derart mit perönlichen Dingen zu vermischen, daß hinterher nur noch ein Häufchen Schutt und Asche übriggeblieben ist.
Da ich gestern nicht in der Lage war aktiv in die Sache einzugreifen, möchte ich nun heute noch etwas dazu loswerden. Mir liegt es fern, nach den Gründen oder Verantwortlichen dieser Sache zu suchen, ich möchte jedoch an Euch alle appelieren, persönliche Anfeindungen zugunsten fachlichlicher Diskussionen zurückzustellen. Wir alle sind doch erwachsene Menschen, die in der Lage sein sollten, sich nicht wie pubertierende Teenager zu verhalten.
Ich möchte daher die Gelegenheit beim Schopfe packen und Michael bitten, den Ursprungsbeitrag wieder neu zu posten um eine sachliche Diskussion weiterzuführen. Schließlich sind schon erste Reaktionen bezüglich der Sober Analyse aus der AV Branche sichtbar und ich fände es schade wenn dieses Thema sang- und klanglos in der Versenkung verschwände.
Für alle anderen Dinge bitte ich die PM oder Mailfunktion zu verwenden, da es sich hier um ein reines Fachforum handelt.

Vielen Dank für Euer Verständnis

[Gast_Gladiator_*]

Zur Grundlage liegt folgendes (richtiges) Virus Tech Paper:
http://www.antivir.de/vireninfo/sober.htm

Und meine Feststellung, dass fast alle Virenscanner und Cleaner den Wurm nicht finden bzw. nicht entfernen koennen wenn dieser bereits aktiv im System laeuft.

Ferner steht zur Debatte, das fast alle Online Virus Tech Papers falsch sind. Falsch insofern, dass davon berichtet wird wie man den Wurm via Taskmanager aus dem System bekommt was ueberhaupt nicht moeglich ist.
Falsch ausserdem, dass keinerlei Informationen ueber Infektionen anderer Files auf der Festplatte verfuegbar sind. Falsch ausserdem der Verbreitungsweg - der ist nicht nur ueber Email Attachments. Falsch ausserdem die Prozessnamen als welche der Wurm sich startet - es gibt wesentlich mehr Prozessnamen als nur 2 Stueck. Diese Prozessnamen stehen uebrigens verschluesselt im VB Executable in der Stringtable.
Falsch ist auch wie Ikarus (seit kurzem.... ) berichtet dass der Worm mehr als 2 Instancen erzeugen kann. Das ist nicht richtig, denn auch wenn es 3 oder mehr Files von dem Wurm im Systemfolder gibt sind immer nur 2 davon aktiv - der Rest schlummert nur auf Platte.
Bestes Beispiel dafuer die Similar.EXE - eine Datei die *immer* beim Starten des Wurms angelegt wird (und der Wurm selber ist) aber niemals selbst aktiv startet.

Ikarus schreibt beispielsweise auf der Homepage:
Wurde der Wurm aktiviert kommt eine Fehlermeldung:
File not complete!
Diese Meldung kommt aber nicht bei jeder Variante !!

Achso ?
Richtig sollte es so sein:

Wird der Wurm als "original Wurm" gestartet, dann kommt die Meldung "File not complete!" - wird hingegen ein infiziertes Sample (beispielsweise aus dem Shared Folder) gestartet dann kommt "File Header is missing or not complete".
Und liebe Ikarus Freunde, es handelt sich dabei nicht um eine Variante, auch wenn die Datei einiges an Groessenunterschied haben kann, denn der Sober ist ein Overwritter Wurm. Im Klartext heisst es dass der Wurm sich bei Executables immer beim Ersten Start des Wurm - also auch bei jedem Neustart des Systems *immer* an erste Stelle setzt. Er ueberschreibt den alten PE Header mit seinem eigenen Code und kuemmert sich nicht drum ob das Executable noch laeuft. ABER: Da der Wurm sich auch ueber bsw. Kazaa verbeitet (EBEN GENAU DESHALB WEIL ER FILES IM SHARED FOLDER INFIZIERT) kommt es natuerlich faelschlicherweise zu "Varianten" wie viele AV Firmen meinen. Pustekuchen - das sind keine Varianten, die schleppen nur alten Code von anderen infizierten Exe Dateien aus dem Shared Folder mit sich rum.