Infos zu w32.sobig.f Einstellungen

[Gast_Bo Derek_*]

Heute verbreitet sich dieser Wurm besonders stark. Deshalb diese kleine Zusammenfassung:

1. Infektion

Der Wurm kommt als Anhang einer E-Mail. Dieser Anhang muss angeklickt werden, damit sich ein Computer infiziert.

2. Absender der Mail

Auch Personen mit denen man Kontakt hat bzw. hatte, können Absender dieser Mail sein.

3. Betreff der Mail

Folgende Wörter sind für gewöhnlich in der Betreffzeile enthalten:

"Re: That movie",
"Re: Wicked screensaver",
"Re: Your application",
"Re: Approved",
"Re: Re: My details",
"Re: Details",
"Your details",
"Thank you!" oder
"Re: Thank you!"

4. Der Inhalt der Mail

Im Textbereich der Mail steht meist "Please see the attached file for details." oder
"See the attached file for details".

5. Der Anhang

Der Anhang kann wie folgt benannte sein:

“movie0045.pif",
"wicked_scr.scr",
"application.pif",
"document_9446.pif",
"details.pif",
"your_details.pif",
"thank_you.pif",
"document_all.pif" oder
"your_document.pif"

6. Wohin kopiert sich der Wurm?

Er kopiert sich in das Windows Verzeichnis. Die kopierte Datei hat den Namen "winppr32.exe". Aufgerufen wird die Datei über die Registry:

HKLM\Software\Microsoft\Windows\Run\CurrentVersion\TrayX with value:
%WINDIR%\winppr32.exe /sinc

HKCU\Software\Microsoft\Windows\Run\CurrentVersion\TrayX with value:
%WINDIR%\winppr32.exe /sinc

7. Was macht der Wurm?

Er sucht in allen erdenklichen Dokumenten, welche sich auf dem befallenen Computer befinden, nach E-Mail Adressen und verschickt sich darüber selbst. Auch Netzwerkfreigaben dienen ihm als Verbreitungswerkzeug.

8. Wie entfernt man den Wurm?

Bisher gibt es nur ein rumänisches Tool, mit dem man PCs überprüfen kann. Dieses ist unter der Adresse http://www.bitdefender.com/html/free_tools.php zu finden. Die Datei "Antisobig-RO.exe" muss man nur doppelt anklicken. Danach startet das Programm und initialisiert sich selbst. Zum Start der Überprüfung muss nur der oberste Button gedrückt werden. Nach dem Scan sollte unter "Infectate" eine Null zu sehen sein.

[Internetfan1971]

„Bisher gibt es nur ein rumänisches Tool, mit dem man PCs überprüfen kann.“

Falsch! Norton AV 2002 kennt w32.sobig.f mit heutigem Update (19.08.03)!

Und wo bitte bleibt KAV?? :o

[wizard]

Und wo bitte bleibt KAV?? :o

Wird von KAV erkannt. Wo ist das Problem?

wizard

[JFK]

„Bisher gibt es nur ein rumänisches Tool, mit dem man PCs überprüfen kann.“

Falsch! Norton AV 2002 kennt w32.sobig.f mit heutigem Update (19.08.03)!

Und wo bitte bleibt KAV?? :o

Also KAV und sämtliche führenden AV Softwarehersteller erkennen den Wurm. (Schau dir die Links dieser Seite an)
Wie es mit einer restlosen Beseitigung aller Komponenten ausschaut wenn das Teil erst mal gestartet ist sind zwei verschiedene paar Schuhe.

Deswegen gibt es auch von Symantec ab und an ein Removal Tool.

Bitdefender ist in dieser Beziehung mit 95%iger Sicherheit einer der Ersten, der mit solch einer Hilfe aufwarten kann.

JFK

[Gast_Bo Derek_*]

Nachdem ich den Wurm heute morgen an alle möglichen Hersteller von Virenscannern geschickt habe, wird dieser auch ab spätestens morgen erkannt. Hier nur ein Beispiel einer Reaktion die zeigt, dass zwar viele Hersteller den Wurm listen, nicht aber erkennen und entfernen können:

AVERT Labs - Beaverton

Current Scan Engine Version:4.2.60

Current DAT Version:4286

Thank you for your submission.

Analysis ID: 281456

File Name            Findings                    Detection
Type      Extra
--------------------|------------------------------|--------------------
--------------------|------------------------------|----
----|------------|-----
your_det.pif        |new detection              |w32/sobig.f@mm
|Virus    |yes 

Attached is a file for extra detection, which will be included in a future DAT set. We
have detected a virus or trojan that can only be detected and removed with the attached EXTRA.DAT and current scan engine. It is highly recommend that you
update your scan engine and DAT files. If you are not seeing this with the product
you are using, please speak with technical support so that they can help you
determine the cause of this discrepancy.

new detection [your_det.pif]

The file received contains a new virus or trojan, it is recommended that
you update your DAT and engine files and scan your computer again.

Entgegen dieser Information listeten die McAfee Labs den Wurm bereits seit gestern als identifiziert und in die Dats aufgenommen. Dies ist also schlichtweg falsch gewesen.

[Gast_Bo Derek_*]

Okay, McAfee hat reagiert. Seit einer Stunde gibt es die neuen, auf Sobig F aktualisierten Datfiles.

[Rokop]

Hätte mich auch gewundert. In letzter Zeit hat bei mir McAfee immer wieder brandneue Malware auch ohne eindeutige Signaturten erkannt. Ein Indiz für die sehr hute Heuristik bzw. generische Erkennung.

[SkeeveDCD]

Also ich habe gerade mal for fun eine 2 Monate alte Version von McAfee 7 installiert, da hat die Heuristik nix zum Sobig.F gesagt.

[Gast_Bo Derek_*]

Da hast Du recht. Die Heuristik hat bei Sobig F nicht angeschlagen. Allerdings muss man wahrscheinlich den Wurm aktivieren, denn die Heuristik kann unbekannte Malware wahrscheinlich besser daran erkennen, wie sie sich "verhält".

[Rokop]

Ja, in diesem Falle nicht, aber in letzter Zeit schon auffallend oft. Viel öfter als bei anderen Programmen (die advanced heuristic von NOD32 2 mal außer Acht gelassen)

[SkeeveDCD]

Bo Derek, ja, die Email-Überwachung würde das Massmailing melden. Gleich mal sehen ob ich noch irgendwelche älteren Versionen diverser AV-Programme rumliegen habe um die Heuristik zu testen. KAV, GAV, AVG und F-PROT haben jedenfalls die Variante nicht erkannt.

[Gast_SHAKAL_*]

TrendMicro war da am schnellsten, Mailaccessclient / Servervariante hatte schon die Erkennung drin
Bei einem Kunden von mir habe ich Inter-mailscann drauf, das rauscht ab wie Schmitz Katze

[JFK]

Übrigens wird Sobig.F mit dem Titel Schnellster Wurm aller Zeiten gekrönt

JFK

[Gast_skep_*]

Bei solchen Meldungen, frag ich mich jedesmal was eigentlich passieren würde, wenn zur selben Zeit 2 oder 3 verschiedene Viren/Würmer aus dieser "Klasse" im Netz unterwegs sind...das wäre doch mal was....

[Gast_Bo Derek_*]

Deshalb habe ich ja auch so einen Wind gemacht. Der gestrige Tag war für mich extrem Supportintensiv. So viele Useranfragen hatte ich noch nie. Nach einem Tag mit dutzenden von Supportanrufen und -E-Mails, hunderten Sobig.f Mails in den POP3 Briefkästen der User und zum Glück keiner einzigen Infektion war es ja eine richtige Abwechslung, am Ende des Tages noch einen Sobig.C und einen Mimail zu bekommen :P

[raman]

Norman musste sogar teilweise ihren Mailserver offline schalten wegen Sobig.:')
---cut---
We have been under a massive onslaught here; our mailservers receive approx
100 times normal mailtraffic from Sobig.F infections.
This pretty much amounts to a DDOS attack on us, and even our ISP has been
forced to take systems offline. Expect bounces from analysis for a while,
until we can sort out our problems.
---cut---

Ich habe gerade eine Mail von T-online bekommen (wie jeder T-nutzer?) und die bieten neben einer Hilfe zum entfernen auch gleicht ihr 4,95€/Monat Norton-Sicherheitspacket an!;)

[SkeeveDCD]

Ich hab Sobig.F mal entpackt (tELock 0.98) - interessanterweise erkennt bis auf KAV kein Virenscanner mehr das Teil danach. Wie schoen, das alle Signaturen auf die gepackte Daten benutzen. ;-)

[Gast_Bo Derek_*]

Wenn Sobig.F im entpackten Zustand den Computer infiziert, ist er entweder schon beim Eintreffen im gepackten Zustand oder hernach durch die Heuristik identifiziert worden.

[raman]

Wie schoen, das alle Signaturen auf die gepackte Daten benutzen. ;-)

Was erwartest du? Die wenigsten koennen TE-lock entpacken. Warum also die ungepackte Version hinzufuegen? Wenn ihn danach jemand wieder mit UPX packt, koennen sie mit der Signatur fuer den entpackten Sobig auch nichts anfangen!:)

[Rokop]

Wenn ich AV Hersteller wäre, würde ich tunlichst alle laufzeitkomprimierte Malware auch ungepackt hinzufügen. Um in Zukunft im "Showgeschäft" mitmischen zu können, ist eine Unpackingfunktion unerlässlich. Je früher man anfängt ungepackte Signaturen einzupflegen, umso früher wird man im Geschäft sein.