Infos zu w32.sobig.f |
Willkommen, Gast ( Anmelden | Registrierung )
Infos zu w32.sobig.f |
Gast_Bo Derek_* |
19.08.2003, 15:22
Beitrag
#1
|
Gäste |
Heute verbreitet sich dieser Wurm besonders stark. Deshalb diese kleine Zusammenfassung:
1. Infektion Der Wurm kommt als Anhang einer E-Mail. Dieser Anhang muss angeklickt werden, damit sich ein Computer infiziert. 2. Absender der Mail Auch Personen mit denen man Kontakt hat bzw. hatte, können Absender dieser Mail sein. 3. Betreff der Mail Folgende Wörter sind für gewöhnlich in der Betreffzeile enthalten: "Re: That movie", "Re: Wicked screensaver", "Re: Your application", "Re: Approved", "Re: Re: My details", "Re: Details", "Your details", "Thank you!" oder "Re: Thank you!" 4. Der Inhalt der Mail Im Textbereich der Mail steht meist "Please see the attached file for details." oder "See the attached file for details". 5. Der Anhang Der Anhang kann wie folgt benannte sein: “movie0045.pif", "wicked_scr.scr", "application.pif", "document_9446.pif", "details.pif", "your_details.pif", "thank_you.pif", "document_all.pif" oder "your_document.pif" 6. Wohin kopiert sich der Wurm? Er kopiert sich in das Windows Verzeichnis. Die kopierte Datei hat den Namen "winppr32.exe". Aufgerufen wird die Datei über die Registry: HKLM\Software\Microsoft\Windows\Run\CurrentVersion\TrayX with value: %WINDIR%\winppr32.exe /sinc HKCU\Software\Microsoft\Windows\Run\CurrentVersion\TrayX with value: %WINDIR%\winppr32.exe /sinc 7. Was macht der Wurm? Er sucht in allen erdenklichen Dokumenten, welche sich auf dem befallenen Computer befinden, nach E-Mail Adressen und verschickt sich darüber selbst. Auch Netzwerkfreigaben dienen ihm als Verbreitungswerkzeug. 8. Wie entfernt man den Wurm? Bisher gibt es nur ein rumänisches Tool, mit dem man PCs überprüfen kann. Dieses ist unter der Adresse http://www.bitdefender.com/html/free_tools.php zu finden. Die Datei "Antisobig-RO.exe" muss man nur doppelt anklicken. Danach startet das Programm und initialisiert sich selbst. Zum Start der Überprüfung muss nur der oberste Button gedrückt werden. Nach dem Scan sollte unter "Infectate" eine Null zu sehen sein. |
|
|
19.08.2003, 18:49
Beitrag
#2
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
„Bisher gibt es nur ein rumänisches Tool, mit dem man PCs überprüfen kann.“
Falsch! Norton AV 2002 kennt w32.sobig.f mit heutigem Update (19.08.03)! Und wo bitte bleibt KAV?? :o -------------------- Gruß
Internetfan1971 |
|
|
19.08.2003, 19:08
Beitrag
#3
|
|
Trojaner-Jäger Gruppe: Mitarbeiter Beiträge: 1.156 Mitglied seit: 15.04.2003 Wohnort: Düsseldorf Mitglieds-Nr.: 23 Betriebssystem: WinXP, MacOS 10.6, Vista |
ZITAT(Internetfan1971 @ 19. August 2003, 19:48) Und wo bitte bleibt KAV?? :o Wird von KAV erkannt. Wo ist das Problem? wizard -------------------- wizardRESEARCH - Malware Research & Analysis since 1989
|
|
|
19.08.2003, 19:10
Beitrag
#4
|
|
Virenreporter Gruppe: Freunde Beiträge: 4.077 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 6 Betriebssystem: Win XP Virenscanner: KAV |
ZITAT(Internetfan1971 @ 19. August 2003, 19:48) „Bisher gibt es nur ein rumänisches Tool, mit dem man PCs überprüfen kann.“ Falsch! Norton AV 2002 kennt w32.sobig.f mit heutigem Update (19.08.03)! Und wo bitte bleibt KAV?? :o Also KAV und sämtliche führenden AV Softwarehersteller erkennen den Wurm. (Schau dir die Links dieser Seite an) Wie es mit einer restlosen Beseitigung aller Komponenten ausschaut wenn das Teil erst mal gestartet ist sind zwei verschiedene paar Schuhe. Deswegen gibt es auch von Symantec ab und an ein Removal Tool. Bitdefender ist in dieser Beziehung mit 95%iger Sicherheit einer der Ersten, der mit solch einer Hilfe aufwarten kann. JFK -------------------- Statt zu klagen, dass wir nicht alles haben was wir wollen, sollten wir lieber dankbar sein, dass wir nicht alles bekommen, was wir verdienen
|
|
|
Gast_Bo Derek_* |
19.08.2003, 20:03
Beitrag
#5
|
Threadersteller Gäste |
Nachdem ich den Wurm heute morgen an alle möglichen Hersteller von Virenscannern geschickt habe, wird dieser auch ab spätestens morgen erkannt. Hier nur ein Beispiel einer Reaktion die zeigt, dass zwar viele Hersteller den Wurm listen, nicht aber erkennen und entfernen können:
ZITAT AVERT Labs - Beaverton Current Scan Engine Version:4.2.60 Current DAT Version:4286 Thank you for your submission. Analysis ID: 281456 File Name Findings Detection Type Extra --------------------|------------------------------|-------------------- --------------------|------------------------------|---- ----|------------|----- your_det.pif |new detection |w32/sobig.f@mm |Virus |yes Attached is a file for extra detection, which will be included in a future DAT set. We have detected a virus or trojan that can only be detected and removed with the attached EXTRA.DAT and current scan engine. It is highly recommend that you update your scan engine and DAT files. If you are not seeing this with the product you are using, please speak with technical support so that they can help you determine the cause of this discrepancy. new detection [your_det.pif] The file received contains a new virus or trojan, it is recommended that you update your DAT and engine files and scan your computer again. Entgegen dieser Information listeten die McAfee Labs den Wurm bereits seit gestern als identifiziert und in die Dats aufgenommen. Dies ist also schlichtweg falsch gewesen. |
|
|
Gast_Bo Derek_* |
19.08.2003, 22:14
Beitrag
#6
|
Threadersteller Gäste |
Okay, McAfee hat reagiert. Seit einer Stunde gibt es die neuen, auf Sobig F aktualisierten Datfiles.
|
|
|
20.08.2003, 08:54
Beitrag
#7
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Hätte mich auch gewundert. In letzter Zeit hat bei mir McAfee immer wieder brandneue Malware auch ohne eindeutige Signaturten erkannt. Ein Indiz für die sehr hute Heuristik bzw. generische Erkennung.
-------------------- (-- Roman --)
|
|
|
20.08.2003, 11:46
Beitrag
#8
|
|
"Macro"- Master Gruppe: Virenexperten Beiträge: 567 Mitglied seit: 29.06.2003 Mitglieds-Nr.: 119 Virenscanner: Avira Internal Betas |
Also ich habe gerade mal for fun eine 2 Monate alte Version von McAfee 7 installiert, da hat die Heuristik nix zum Sobig.F gesagt.
-------------------- Defining winds
The siren sings A shift within New discipline A second skin An origin that marks the point of no return |
|
|
Gast_Bo Derek_* |
20.08.2003, 11:50
Beitrag
#9
|
Threadersteller Gäste |
Da hast Du recht. Die Heuristik hat bei Sobig F nicht angeschlagen. Allerdings muss man wahrscheinlich den Wurm aktivieren, denn die Heuristik kann unbekannte Malware wahrscheinlich besser daran erkennen, wie sie sich "verhält".
|
|
|
20.08.2003, 11:57
Beitrag
#10
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Ja, in diesem Falle nicht, aber in letzter Zeit schon auffallend oft. Viel öfter als bei anderen Programmen (die advanced heuristic von NOD32 2 mal außer Acht gelassen)
-------------------- (-- Roman --)
|
|
|
20.08.2003, 12:03
Beitrag
#11
|
|
"Macro"- Master Gruppe: Virenexperten Beiträge: 567 Mitglied seit: 29.06.2003 Mitglieds-Nr.: 119 Virenscanner: Avira Internal Betas |
Bo Derek, ja, die Email-Überwachung würde das Massmailing melden. Gleich mal sehen ob ich noch irgendwelche älteren Versionen diverser AV-Programme rumliegen habe um die Heuristik zu testen. KAV, GAV, AVG und F-PROT haben jedenfalls die Variante nicht erkannt.
-------------------- Defining winds
The siren sings A shift within New discipline A second skin An origin that marks the point of no return |
|
|
Gast_SHAKAL_* |
20.08.2003, 12:08
Beitrag
#12
|
Gäste |
TrendMicro war da am schnellsten, Mailaccessclient / Servervariante hatte schon die Erkennung drin
Bei einem Kunden von mir habe ich Inter-mailscann drauf, das rauscht ab wie Schmitz Katze |
|
|
21.08.2003, 15:35
Beitrag
#13
|
|
Virenreporter Gruppe: Freunde Beiträge: 4.077 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 6 Betriebssystem: Win XP Virenscanner: KAV |
-------------------- Statt zu klagen, dass wir nicht alles haben was wir wollen, sollten wir lieber dankbar sein, dass wir nicht alles bekommen, was wir verdienen
|
|
|
Gast_skep_* |
21.08.2003, 15:39
Beitrag
#14
|
Gäste |
Bei solchen Meldungen, frag ich mich jedesmal was eigentlich passieren würde, wenn zur selben Zeit 2 oder 3 verschiedene Viren/Würmer aus dieser "Klasse" im Netz unterwegs sind...das wäre doch mal was....
|
|
|
Gast_Bo Derek_* |
21.08.2003, 15:47
Beitrag
#15
|
Threadersteller Gäste |
Deshalb habe ich ja auch so einen Wind gemacht. Der gestrige Tag war für mich extrem Supportintensiv. So viele Useranfragen hatte ich noch nie. Nach einem Tag mit dutzenden von Supportanrufen und -E-Mails, hunderten Sobig.f Mails in den POP3 Briefkästen der User und zum Glück keiner einzigen Infektion war es ja eine richtige Abwechslung, am Ende des Tages noch einen Sobig.C und einen Mimail zu bekommen :P
|
|
|
21.08.2003, 17:43
Beitrag
#16
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Norman musste sogar teilweise ihren Mailserver offline schalten wegen Sobig.:')
---cut--- We have been under a massive onslaught here; our mailservers receive approx 100 times normal mailtraffic from Sobig.F infections. This pretty much amounts to a DDOS attack on us, and even our ISP has been forced to take systems offline. Expect bounces from analysis for a while, until we can sort out our problems. ---cut--- Ich habe gerade eine Mail von T-online bekommen (wie jeder T-nutzer?) und die bieten neben einer Hilfe zum entfernen auch gleicht ihr 4,95€/Monat Norton-Sicherheitspacket an!;) -------------------- MfG Ralf
|
|
|
21.08.2003, 17:55
Beitrag
#17
|
|
"Macro"- Master Gruppe: Virenexperten Beiträge: 567 Mitglied seit: 29.06.2003 Mitglieds-Nr.: 119 Virenscanner: Avira Internal Betas |
Ich hab Sobig.F mal entpackt (tELock 0.98) - interessanterweise erkennt bis auf KAV kein Virenscanner mehr das Teil danach. Wie schoen, das alle Signaturen auf die gepackte Daten benutzen. ;-)
-------------------- Defining winds
The siren sings A shift within New discipline A second skin An origin that marks the point of no return |
|
|
Gast_Bo Derek_* |
21.08.2003, 18:31
Beitrag
#18
|
Threadersteller Gäste |
Wenn Sobig.F im entpackten Zustand den Computer infiziert, ist er entweder schon beim Eintreffen im gepackten Zustand oder hernach durch die Heuristik identifiziert worden.
|
|
|
21.08.2003, 18:48
Beitrag
#19
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.934 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
ZITAT(SkeeveDCD @ 21. August 2003, 18:54) Wie schoen, das alle Signaturen auf die gepackte Daten benutzen. ;-) Was erwartest du? Die wenigsten koennen TE-lock entpacken. Warum also die ungepackte Version hinzufuegen? Wenn ihn danach jemand wieder mit UPX packt, koennen sie mit der Signatur fuer den entpackten Sobig auch nichts anfangen!:) -------------------- MfG Ralf
|
|
|
21.08.2003, 19:16
Beitrag
#20
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Wenn ich AV Hersteller wäre, würde ich tunlichst alle laufzeitkomprimierte Malware auch ungepackt hinzufügen. Um in Zukunft im "Showgeschäft" mitmischen zu können, ist eine Unpackingfunktion unerlässlich. Je früher man anfängt ungepackte Signaturen einzupflegen, umso früher wird man im Geschäft sein.
-------------------- (-- Roman --)
|
|
|
Vereinfachte Darstellung | Aktuelles Datum: 19.04.2024, 20:36 |