W32.Sober.B@mm - Sober der II. Einstellungen

[Internetfan1971]

W32.Sober.B@mm is a mass mailing worm. Symantec Security Response is currently investigating this worm and will post more information as soon as it becomes available.

http://securityresponse.symantec.com/avcen...sober.b@mm.html

Offensichtlich läßt man sich bei der Analyse jetzt mehr Zeit!

Peter, wann kommt Sober-Killer II und was soll der kosten?

--

AntiVir war schneller und hat schon eine Analyse erstellt!

http://www.antivir.de/vireninfo/soberb.htm

Der Beitrag wurde von Internetfan1971 bearbeitet: 18.12.2003, 14:04

[Gast_Gladiator_*]

Das wird er mit ziemlicher Sicherheit nicht schaffen

[Internetfan1971]

Was wird er nicht schaffen? Ein auf dem Markt zu bringen oder das der funktioniert?!

[Internetfan1971]

Was mir gerade mal so einfällt. Gibt es eigentlich eine Update-Berechtigung für ein Jahr?

Heißt ja schließlich Sober-Killer ohne A oder I, also müßtest Du ja updateberechtigt sein!

[nico4u]

hi @ all,

was mich jetzt doch nochmal abschließend interessieren würde, ist ob my channel den versprochenen fix kostenlos und ohne aufforderung an alle sober-killer-käufer verschickt hat.

hier hatten sich doch einige das teil gekauft gehabt. ist da was angekommen? wenn ja, funktioniert der fix auch?

grüße nico

ps: antwort kann auch als pm erfolgen...

[Rokop]

Ich hab das Teil gekauft, bis jetzt aber kein Update bekommen. Auch keinen Hinweis darauf.

[nico4u]

hi rokop,

ich hab mich schon gewundert, daß der fix gar nicht nachgetestet wird. wenn aber überhaupt nichts verschickt wurde, dann ist klar warum.

wie dieser screenshot aber beweist, war der fix von my channel versprochen.

ich vermute, daß mehrere user den fix (vorausgesetzt er existiert überhaupt) nicht bekommen haben.

grüße nico

[Michael]

Das wird er mit ziemlicher Sicherheit nicht schaffen 

Ja, zumindest nicht mit der gleichen "billigen" Methode...

Sag mal, wie sähe es aus, wenn man die beiden Prozesse vor dem Terminieren suspendieren würde?
Damit wäre doch der Schutz wirkungslos, oder?



Gruß,
Michael

[Gast_rock_*]

@ Mc Afee anwender:
es gibt eine extra dat und eine superdat für den sober b.
es kann durchaus sein das die dat's nur erkennen und nichts ausrichten können.

@ Mc Afee anwender + andere anwender:
daher kann man alternativ den aktuallisierten MC Afee STINGER verwenden, der sollte das laut Mc Afee schon bereinigen.

gruss
rock

edit: link und fehler korrigiert.

Der Beitrag wurde von rock bearbeitet: 19.12.2003, 12:13

[Internetfan1971]

Ich habe gerade die Virenbeschreibung von Sophos gelesen und dort steht was von weiteren Infektionswegen die oben (AntiVir und Symantec) gar nicht beschreiben worden sind!

W32/Sober-B ist ein Wurm, der sich per E-Mail, über Netzwerkfreigaben und Dateiaustausch-Netzwerke verbreitet.

Also nicht nur E-Mail sondern auch P2P und über Dateifreigaben? Stimmt das jetzt??

Damit er sich über Dateiaustausch-Netzwerke verbreiten kann, ersetzt W32/Sober-B Dateien in den freigegebenen Ordnern von gängigen Peer-to-Peer-Netzwerken mit einer Kopie von sich.

Er überschreibt also ausführbare Dateien in Share-Ordner wie der erste Sober?


Wenn das jetzt alles so stimmt dann hat nur Sophos die richtige Analyse gemacht!

http://www.sophos.de/virusinfo/analyses/w32soberb.html

Jetzt darf man ja gespannt sein ob das nun wirklich stimmt und ob die neuen Cleaner Tools wieder versagen!?

[Gast_Gladiator_*]

Der Wurm unterscheidet sich von .A insofern, dass er keine fixen Prozessnamen mehr verwendet, sondern zufaellig generierte erzeugt.
Ansonsten ist alles so wie beim .A mal abgesehen von anderen Texten und kleinerem Zirkus...

Der Wurm holt sich ueber die System API die Folder Location fuer die Shared Folders - genau wie der .A

[Internetfan1971]

Und warum steht davon in der Virenbeschreibung nichts davon drin?

Beim ersten Sober stand zumnindest noch folgendes

Infektion des "My Shared Folder": Beim ersten Start des Wurms infiziert dieser sämtliche Executables im "My Shared Folder" indem er sich generell an die erste Stelle im File setzt.

Der Wurm agiert damit als sogenannter "Overwriter", der die entsprechenden Executables damit unreparierbar beschädigt. Sinn und Zweck dieser Vorgehensweise ist eine angestrebte zusätzliche Verbreitung über Filesharing Netzwerke welche ihre Austauschdateien in diesem Ordner gerne standardmäßig ablegen. Ist die Wirtsdatei kleiner als der Wurm selber, so wird sie mit dem kompletten Wurm überschrieben.

Schaden: medium

Und jetzt low!?

Kein Wort von P2P und Netzwerkfreigaben! Von Overwriter!


Ich dachte bisher Sober 2 wäre harmlos!

[Gast_Gladiator_*]

Ja, das habe ich damals geschrieben - wer den Text zum Sober.b gemacht hat weiss ich nicht.

[sapito]

hmm, ich frage mich schon die ganze zeit wo man sich diese niedlichen tierchen (viren, trojaner, würmer) nur einfangen kann. mir ist in meiner ganzen laufbahn keine infektion untergekommen. wurm verseuchte mails machten maximal in letzter zeit 2 (alte) hotmail konten *platt* (überlauf binnen minuten ;o)).
liegt es vielleicht daran, das meine wenigkeit seit beginn 1999 (quasie eintritt in das netz der netzte) opera mein default browser ist, plus pegasus bis opera 4 mein mailer?
och manno, isch will aber auch mal son virenverseuchten pc haben ;o).
firewall hab ich auch nicht und der virenscanner (kav) war eigentlich auch eine fehlinvestition (nur on demand). aber trotzdem klappt es irgendwie nie mit ner infektion ;o). vielleicht sollte ich mehr mit root rechten arbeiten? was meint ihr?



sapito

[Rokop]

Auf jeden Fall solltest Du niemals zu Linux wechseln, dann klappte es vermutlich erst recht nicht mehr mit einer Infektion

Aber mal ein Tip:

Nimm einen ungepatchten IE 5 oder noch älter mit dem entsprechenden Outlook Express. Außerdem solltest Du niemals auf Windowsupdate.com gehen. Du wirst sehen, es wird vermutlich ruckzuck mit ein paar Würmchen klappen

[nico4u]

Nimm einen ungepatchten IE 5 oder noch älter mit dem entsprechenden Outlook Express. Außerdem solltest Du niemals auf Windowsupdate.com gehen. Du wirst sehen, es wird vermutlich ruckzuck mit ein paar Würmchen klappen 

*lol*

aber nen paar eintragungen bei nem porno newsletter mit deiner richtigen e-mail adresse sowie besuch in hacker, warez und crack newsgroups und auf deren websites hat einem infektionswilligen pc auch noch nie geschadet...

wenn's gar nicht klappen sollte, dann kannst ja auch die aktuellste software bei kazaa suchen und nur die 90 kb großen dateien downloaden *lol* --> daß immer noch welche ernsthaft denken, daß adobe photoshop nur 89 kb groß ist und sich dann wundern, warum bei der installation nur ne fehlermeldung auftaucht

alle wege führen nach rom, man muß sie nur gehen

grüße nico

[Rokop]

Jo, so gehts auch

[nico4u]

hi @ all,

sober.c - dritte variante verbreitet sich schnell

white paper by f-secure

white paper by bitdefender

grüße nico

Der Beitrag wurde von nico4u bearbeitet: 20.12.2003, 19:17

[JFK]

Siehe auch hier

JFK

[nico4u]

Siehe auch hier? 

JFK

ups

grade gefunden: andreas ist jetzt schon das zweite mal hintereinander verdächtig schnell...

um 13.33 uhr (!!!) hat er bereits eine erste analyse gepostet!!!



grüße nico

edit: andreas hat ihn sogar um 12.20 uhr schon gemeldet und die signatur hochgeladen!!!
--> hier klicken

Der Beitrag wurde von nico4u bearbeitet: 20.12.2003, 19:50