Sober.P eingetrudelt Einstellungen

[Remover]

Bei mir ist heute um 20.16 Uhr ein neuer Sober eingetrudelt:

Betreff: Ihr Passwort



Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.


*-* http://www.allhell.com
*-* MailTo: PasswordHelp@allhell.com



**** AntiVirus-System: Kein Virus erkannt
**** "XXX" AntiVirus Service
**** WebSite: http://www.XXX.de


Dateianhang: allHell_PassWort-info.zip


Edit: (Heise berichtet bereits darueber, weil er WM Tickets als Koeder benutzt!!!)
http://www.heise.de/security/news/meldung/59225


Der Beitrag wurde von Remover bearbeitet: 02.05.2005, 20:02

[Joerg]

Momentan erkennen noch nicht alle AV-Programme den Wurm. Symantec hat den Wurm auf Stufe 3 der 5-stufigen "Warnskala" eingestuft, TrendMicro hat YellowAlert (die nennen den Sober.S) ausgerufen.

[Yopie]

Hier ist er auch schon aufgeschlagen, kam von Received: from p5494B991.dip.t-dialin.net (HELO rajsdauko.com) [84.148.185.145]

Die IP lässt sich anpingen. Ob das noch der gleiche Rechner ist?

[Gast_Faith_*]

Momentan erkennen noch nicht alle AV-Programme den Wurm. Symantec hat den Wurm auf Stufe 3 der 5-stufigen "Warnskala" eingestuft
[right][snapback]91256[/snapback][/right]

Symantec bietet aber weder über LiveUpdate noch über den manuellen ein Update an, steht zwar auf deren Site, ist aber nichts da, verwundert mich eigentlich

[Gast_Faith_*]

selbst Panda sagt, dass alles in Ordnung sei ....

mir scheint, dass einige AV-Hersteller ein Update nicht für nötig halten

[Joerg]

Eventuell sind momentan nur Beta-Signaturen verfügbar? Laut der entsprechenden Security-Response-Seite sollten aber auch über LiveUpdate bereits Signaturen verfügbar sein

[Gast_Faith_*]

Eventuell sind momentan nur Beta-Signaturen verfügbar? Laut der entsprechenden Security-Response-Seite sollten aber auch über LiveUpdate bereits Signaturen verfügbar sein 
[right][snapback]91262[/snapback][/right]

der Downloadstatus liegt bei Symantec immer noch beim 01.05.05 ( ... ) und laut NAV ist der Schutz vollständig und es gebe nichts neues ( 01.05.05 )

mal schauen, wie die Reaktionszeiten wieder aussehen, ich vermute diemals nicht sehr gut

Der Beitrag wurde von Faith bearbeitet: 02.05.2005, 20:28

[Yopie]

AVPE hats generisch erkannt.

[Gast_Faith_*]

bis jetzt noch kein Update von Symantec .... unverantwortlich sowas !!!!

[wizard]

bis jetzt noch kein Update von Symantec ....  unverantwortlich sowas !!!! 

Definitiv einer der unzähligen Gründe warum ich eigentlich nie NAV empfohlen habe und auch sonst der Tenor über die Qualität von NAV seit Jahren in einschlägigen Foren/Newsgroups eher negativ ist.

BTW NOD32 erkennt das ganze übrigens als Sober.O

wizard

[Remover]

Habe gerade gesehen das er auf meinen Lycos Account bereits seit 18:10 Uhr zahlreich eingeschlagen ist, hier ein paar Texte:

Betreff: Glueckwunsch: Ihr WM Ticket

Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
Ihr "ok2006" Team
St. Rainer Gellhaus
--- FIFA-Pressekontakt:
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
**** AntiVirus-System: Kein Virus erkannt
**** "LYCOS" AntiVirus Service
**** WebSite: http://www.lycos.de


-------------------------------------------
Betreff: WM-Ticket-Auslosung

Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets für die 64 Spiele der Weltmeisterschaft 2006 in Deutschland sind Sie dabei.
Weitere Details ihrer Daten entnehmen Sie bitte dem Anhang.
Ihr "ok2006" Team
St. Rainer Gellhaus
--- FIFA-Pressekontakt:
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de
---------------------------------------------------
Betreff: Ich bin's, was zum lachen

Nun sieh dir das mal an!
Was ein Ferkel ....

Anhang: Lol.zip

-------------------------------------------------------
Betreff: Ihre E-Mail wurde verweigert

Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http://www.misitio.ch----------
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
End Transmission
----------
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer# [misitio]
**** AntiVirus-System: Kein Virus erkannt
**** "LYCOS" AntiVirus Service
**** WebSite: http://www.lycos.de
-----------------------------------------------------
Betreff: Ihr Passwort
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
*-* http://www.isuisse.com*-* MailTo: PasswordHelp@isuisse.com
**** Mail-Scanner: Es wurde kein Virus festgestellt
**** "LYCOS" AntiVirus Service
**** WebSite: http://www.lycos.de



14 Sober Mails bis jetzt....dabei meiden mich die Dinger sonst so gut wie es nur geht, hehe ;-) Ach ja, Kaspersky hat ihn um 20.16 Uhr (wahrscheinlich auch schon frueher) einwandfrei als Sober.P erkannt!


Der Beitrag wurde von Remover bearbeitet: 02.05.2005, 21:06

[Internetfan1971]

Hallo,

Symantec erkennt Sober als W32.Sober.O@mm, auch über LiveUpdate!

Bedrohung Category 3. TrendMicro hat YELLOW ALERT ausgerufen und erkennt ihn als WORM_SOBER.S

[Remover]

Eines weiss ich schon jetzt, wenn das Teil dermassen haeufig auf meiner Lycos Adresse
einschlaegt, ist er diesmal massiv verbreitet!!!
Das Thema WM Tickets scheint bei den Leuten zu ziehen.

Gibt es in Englisch eigentlich auch die WM Texte?
Habe leider kein .com Account oder so.....

[DerBilk]

Gibt es in Englisch eigentlich auch die WM Texte?
Habe leider kein .com Account oder so.....
[right][snapback]91271[/snapback][/right]

Lt. Sophos -> http://www.sophos.com/virusinfo/analyses/w32sobern.html
Trend -> http://www.trendmicro.com/vinfo/virusencyc...BER%2ES&VSect=T
und Symantec -> http://securityresponse.symantec.com/avcen...sober.o@mm.html

gibt es die WM-Texte nur in deutsch. Begann nicht heute die 2. Runde der Ticketverlosung? 'Cleverer' Zeitpunkt...

Und das Ding verbreitet sich scheinbar echt 'wie Sau' im Moment....

[Gast_R2D2_*]

Die Beschreibungen sind natuerlich wieder unter aller Sau.
Man merkt ganz deutlich das bei trend micro nicht nur das QA Senior Team gekuendigt hat...
Die uebersehen tatsaechlich gleich mal files welche der wurm anleget, uebersehen registry keys, haben keinen blassen Schimmer was sonst so abgeht - gleiches trifft auf symantec zu.

Der Wurm reisst einen eigenen Thread hoch der dauernd die registry eintraege nachbessert falls sie geloescht werden. Der Wurm schuetzt sich durch Exclusivlock vor dem Scannen und ist in der Lage files via URLMON.DLL runterzuladen.

[Gast_R2D2_*]

Nachtrag: Grade hat Trend nachgebessert

Der 2. Registry Eintrag ist trotzdem falsch und der Rest fehlt auch noch

Weil bei HKCU Key haben die letzen sober varianten schon immer einen "_" vor dem Key gehabt.... Das sollten sie eigentlich wissen... Jetzt euch mal nicht so an!

[Gast_Faith_*]

so Symantec hat selber geupdatet.

Der Beitrag wurde von Faith bearbeitet: 02.05.2005, 22:52

[Voyager]

@faith

du solltest mal etwas besser lesen , bei symantec hies das teil nur anders aber war in den gestrigen signaturen "vor der outbreakwarnung" schon dabei ...oder meinst du die schicken die warnungen an jede NAV/NIS-programme raus und haben keine AV-signaturen dafür parat ?
wenn dir zwecks deiner daumen-down aktion irgendwas nicht passt kannst ja was anderes nehmen.

[Manu]

wenn dir zwecks deiner daumen-down aktion irgendwas nicht passt kannst ja was anderes nehmen.
[right][snapback]91283[/snapback][/right]

Du bist zu gnädig...

[Internetfan1971]

Hallo R2D2!

Die uebersehen tatsaechlich gleich mal files welche der wurm anleget, uebersehen registry keys, haben keinen blassen Schimmer was sonst so abgeht - gleiches trifft auf symantec zu.

Und wer liefert korrekte Virenbeschreibungen?