W32.Sober.B@mm - Sober der II. |
Willkommen, Gast ( Anmelden | Registrierung )
W32.Sober.B@mm - Sober der II. |
18.12.2003, 13:58
Beitrag
#1
|
|
Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
W32.Sober.B@mm is a mass mailing worm. Symantec Security Response is currently investigating this worm and will post more information as soon as it becomes available.
http://securityresponse.symantec.com/avcen...sober.b@mm.html Offensichtlich läßt man sich bei der Analyse jetzt mehr Zeit! Peter, wann kommt Sober-Killer II und was soll der kosten? -- AntiVir war schneller und hat schon eine Analyse erstellt! http://www.antivir.de/vireninfo/soberb.htm Der Beitrag wurde von Internetfan1971 bearbeitet: 18.12.2003, 14:04 -------------------- Gruß
Internetfan1971 |
|
|
Gast_Gladiator_* |
18.12.2003, 14:04
Beitrag
#2
|
Gäste |
Das wird er mit ziemlicher Sicherheit nicht schaffen
|
|
|
18.12.2003, 14:07
Beitrag
#3
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Was wird er nicht schaffen? Ein auf dem Markt zu bringen oder das der funktioniert?!
-------------------- Gruß
Internetfan1971 |
|
|
18.12.2003, 14:56
Beitrag
#4
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Was mir gerade mal so einfällt. Gibt es eigentlich eine Update-Berechtigung für ein Jahr?
Heißt ja schließlich Sober-Killer ohne A oder I, also müßtest Du ja updateberechtigt sein! -------------------- Gruß
Internetfan1971 |
|
|
18.12.2003, 17:24
Beitrag
#5
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 157 Mitglied seit: 02.07.2003 Mitglieds-Nr.: 123 |
hi @ all,
was mich jetzt doch nochmal abschließend interessieren würde, ist ob my channel den versprochenen fix kostenlos und ohne aufforderung an alle sober-killer-käufer verschickt hat. hier hatten sich doch einige das teil gekauft gehabt. ist da was angekommen? wenn ja, funktioniert der fix auch? grüße nico ps: antwort kann auch als pm erfolgen... |
|
|
18.12.2003, 17:59
Beitrag
#6
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Ich hab das Teil gekauft, bis jetzt aber kein Update bekommen. Auch keinen Hinweis darauf.
-------------------- (-- Roman --)
|
|
|
18.12.2003, 19:48
Beitrag
#7
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 157 Mitglied seit: 02.07.2003 Mitglieds-Nr.: 123 |
hi rokop,
ich hab mich schon gewundert, daß der fix gar nicht nachgetestet wird. wenn aber überhaupt nichts verschickt wurde, dann ist klar warum. wie dieser screenshot aber beweist, war der fix von my channel versprochen. ich vermute, daß mehrere user den fix (vorausgesetzt er existiert überhaupt) nicht bekommen haben. grüße nico |
|
|
19.12.2003, 11:26
Beitrag
#8
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 236 Mitglied seit: 18.06.2003 Mitglieds-Nr.: 106 |
ZITAT(Gladiator @ 18. December 2003, 14:03) Das wird er mit ziemlicher Sicherheit nicht schaffen Ja, zumindest nicht mit der gleichen "billigen" Methode... Sag mal, wie sähe es aus, wenn man die beiden Prozesse vor dem Terminieren suspendieren würde? Damit wäre doch der Schutz wirkungslos, oder? Gruß, Michael -------------------- Proxomitron - Der Universelle Webfilter - Deutsche Distribution und Support-Forum
|
|
|
Gast_rock_* |
19.12.2003, 12:10
Beitrag
#9
|
Gäste |
@ Mc Afee anwender:
es gibt eine extra dat und eine superdat für den sober b. es kann durchaus sein das die dat's nur erkennen und nichts ausrichten können. @ Mc Afee anwender + andere anwender: daher kann man alternativ den aktuallisierten MC Afee STINGER verwenden, der sollte das laut Mc Afee schon bereinigen. gruss rock edit: link und fehler korrigiert. Der Beitrag wurde von rock bearbeitet: 19.12.2003, 12:13 |
|
|
19.12.2003, 22:17
Beitrag
#10
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Ich habe gerade die Virenbeschreibung von Sophos gelesen und dort steht was von weiteren Infektionswegen die oben (AntiVir und Symantec) gar nicht beschreiben worden sind!
ZITAT W32/Sober-B ist ein Wurm, der sich per E-Mail, über Netzwerkfreigaben und Dateiaustausch-Netzwerke verbreitet. Also nicht nur E-Mail sondern auch P2P und über Dateifreigaben? Stimmt das jetzt?? ZITAT Damit er sich über Dateiaustausch-Netzwerke verbreiten kann, ersetzt W32/Sober-B Dateien in den freigegebenen Ordnern von gängigen Peer-to-Peer-Netzwerken mit einer Kopie von sich. Er überschreibt also ausführbare Dateien in Share-Ordner wie der erste Sober? Wenn das jetzt alles so stimmt dann hat nur Sophos die richtige Analyse gemacht! http://www.sophos.de/virusinfo/analyses/w32soberb.html Jetzt darf man ja gespannt sein ob das nun wirklich stimmt und ob die neuen Cleaner Tools wieder versagen!? -------------------- Gruß
Internetfan1971 |
|
|
Gast_Gladiator_* |
19.12.2003, 22:25
Beitrag
#11
|
Gäste |
Der Wurm unterscheidet sich von .A insofern, dass er keine fixen Prozessnamen mehr verwendet, sondern zufaellig generierte erzeugt.
Ansonsten ist alles so wie beim .A mal abgesehen von anderen Texten und kleinerem Zirkus... Der Wurm holt sich ueber die System API die Folder Location fuer die Shared Folders - genau wie der .A |
|
|
19.12.2003, 22:36
Beitrag
#12
|
|
Threadersteller Wohnt schon fast hier Gruppe: Mitglieder Beiträge: 749 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 22 Betriebssystem: WindowsXP Home SP2 Firewall: AVM, SP2 FW |
Und warum steht davon in der Virenbeschreibung nichts davon drin?
Beim ersten Sober stand zumnindest noch folgendes ZITAT Infektion des "My Shared Folder": Beim ersten Start des Wurms infiziert dieser sämtliche Executables im "My Shared Folder" indem er sich generell an die erste Stelle im File setzt. Der Wurm agiert damit als sogenannter "Overwriter", der die entsprechenden Executables damit unreparierbar beschädigt. Sinn und Zweck dieser Vorgehensweise ist eine angestrebte zusätzliche Verbreitung über Filesharing Netzwerke welche ihre Austauschdateien in diesem Ordner gerne standardmäßig ablegen. Ist die Wirtsdatei kleiner als der Wurm selber, so wird sie mit dem kompletten Wurm überschrieben. Schaden: medium Und jetzt low!? Kein Wort von P2P und Netzwerkfreigaben! Von Overwriter! Ich dachte bisher Sober 2 wäre harmlos! -------------------- Gruß
Internetfan1971 |
|
|
Gast_Gladiator_* |
19.12.2003, 22:41
Beitrag
#13
|
Gäste |
Ja, das habe ich damals geschrieben - wer den Text zum Sober.b gemacht hat weiss ich nicht.
|
|
|
20.12.2003, 13:46
Beitrag
#14
|
|
War schon mal da Gruppe: Mitglieder Beiträge: 30 Mitglied seit: 08.09.2003 Wohnort: Hoelle-Saale, Germany Mitglieds-Nr.: 168 Betriebssystem: linux, win xp pro, win2k Virenscanner: brain 1.1 Firewall: brain 1.1 |
hmm, ich frage mich schon die ganze zeit wo man sich diese niedlichen tierchen (viren, trojaner, würmer) nur einfangen kann. mir ist in meiner ganzen laufbahn keine infektion untergekommen. wurm verseuchte mails machten maximal in letzter zeit 2 (alte) hotmail konten *platt* (überlauf binnen minuten ;o)).
liegt es vielleicht daran, das meine wenigkeit seit beginn 1999 (quasie eintritt in das netz der netzte) opera mein default browser ist, plus pegasus bis opera 4 mein mailer? och manno, isch will aber auch mal son virenverseuchten pc haben ;o). firewall hab ich auch nicht und der virenscanner (kav) war eigentlich auch eine fehlinvestition (nur on demand). aber trotzdem klappt es irgendwie nie mit ner infektion ;o). vielleicht sollte ich mehr mit root rechten arbeiten? was meint ihr? sapito -------------------- In Halle gibt es HALLenser, HALLoren und HALLunken.
Hölle an der Saale, das ist die hässlichste Stadt in Deutschland |
|
|
20.12.2003, 14:46
Beitrag
#15
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Auf jeden Fall solltest Du niemals zu Linux wechseln, dann klappte es vermutlich erst recht nicht mehr mit einer Infektion
Aber mal ein Tip: Nimm einen ungepatchten IE 5 oder noch älter mit dem entsprechenden Outlook Express. Außerdem solltest Du niemals auf Windowsupdate.com gehen. Du wirst sehen, es wird vermutlich ruckzuck mit ein paar Würmchen klappen -------------------- (-- Roman --)
|
|
|
20.12.2003, 17:24
Beitrag
#16
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 157 Mitglied seit: 02.07.2003 Mitglieds-Nr.: 123 |
ZITAT(Rokop @ 20. December 2003, 14:45) Nimm einen ungepatchten IE 5 oder noch älter mit dem entsprechenden Outlook Express. Außerdem solltest Du niemals auf Windowsupdate.com gehen. Du wirst sehen, es wird vermutlich ruckzuck mit ein paar Würmchen klappen *lol* aber nen paar eintragungen bei nem porno newsletter mit deiner richtigen e-mail adresse sowie besuch in hacker, warez und crack newsgroups und auf deren websites hat einem infektionswilligen pc auch noch nie geschadet... wenn's gar nicht klappen sollte, dann kannst ja auch die aktuellste software bei kazaa suchen und nur die 90 kb großen dateien downloaden *lol* --> daß immer noch welche ernsthaft denken, daß adobe photoshop nur 89 kb groß ist und sich dann wundern, warum bei der installation nur ne fehlermeldung auftaucht alle wege führen nach rom, man muß sie nur gehen grüße nico |
|
|
20.12.2003, 17:40
Beitrag
#17
|
|
Leader of the Pack & Mr. Shishandis Gruppe: Administratoren Beiträge: 4.412 Mitglied seit: 19.04.2003 Wohnort: Kaufungen Mitglieds-Nr.: 43 Betriebssystem: Mac OS 10.5 Leopard Virenscanner: keinen Firewall: keine |
Jo, so gehts auch
-------------------- (-- Roman --)
|
|
|
20.12.2003, 19:17
Beitrag
#18
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 157 Mitglied seit: 02.07.2003 Mitglieds-Nr.: 123 |
hi @ all,
sober.c - dritte variante verbreitet sich schnell white paper by f-secure white paper by bitdefender grüße nico Der Beitrag wurde von nico4u bearbeitet: 20.12.2003, 19:17 |
|
|
20.12.2003, 19:39
Beitrag
#19
|
|
Virenreporter Gruppe: Freunde Beiträge: 4.077 Mitglied seit: 15.04.2003 Mitglieds-Nr.: 6 Betriebssystem: Win XP Virenscanner: KAV |
-------------------- Statt zu klagen, dass wir nicht alles haben was wir wollen, sollten wir lieber dankbar sein, dass wir nicht alles bekommen, was wir verdienen
|
|
|
20.12.2003, 19:43
Beitrag
#20
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 157 Mitglied seit: 02.07.2003 Mitglieds-Nr.: 123 |
ZITAT(JFK @ 20. December 2003, 19:38) ups grade gefunden: andreas ist jetzt schon das zweite mal hintereinander verdächtig schnell... um 13.33 uhr (!!!) hat er bereits eine erste analyse gepostet!!! grüße nico edit: andreas hat ihn sogar um 12.20 uhr schon gemeldet und die signatur hochgeladen!!! --> hier klicken Der Beitrag wurde von nico4u bearbeitet: 20.12.2003, 19:50 |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 16.05.2024, 00:43 |