Virus lockt mit Schock-Video des „Kannibalen von Rotenburg“

Sober.B: Miese Masche mit Menschenfleisch

„Bush plant einen neuen Krieg“ – mit dieser Nachricht versucht ein neuer Virus, weltweit Schaden anzurichen. Der Hersteller von „Antivir“, H+BEDV Datentechnik, hat jetzt vor dem neuen digitalen Übeltäter namens „Worm/Sober.B“ gewarnt. Der neue Wurm verwendet unter anderem die Betreffzeile: „Re: George W. Bush plans new wars“, um so den Anwender zum Öffnen des Dateianhangs zu bewegen. Betroffen sind die Betriebssysteme Windows 9x/NT/2000/XP. Deutsche User versucht der Wurm nicht mit Kriegsängsten, sondern mittels Sensationsgelüsten zu ködern: Gelockt wird mit einem Schocker-Video des so genannten „Kannibalen von Rotenburg“.

Der eigentliche Wurm versteckt sich im Attachment hinter dem angeblichen Link „www.gwbush-new-wars.com“. Wie einige Vorgänger machen sich die Virenautoren also zunutze, dass unbedarfte Surfer bei der Endung .com an eine URL, nicht aber an eine COM-Datei denken. H+BEDV rechnet deshalb mit „einer großen Verbreitung“.

Worm/Sober.B ist in Visual Basic 6 programmiert und hat eine Dateigröße von 54.784 Bytes. Er versendet sich über seine eigene SMTP Engine an alle Emailadressen, die er auf dem lokalen Datenträger findet. Nach dem Ausführen der Datei erscheint eine gefakte Fehlermeldung mit dem Inhalt „Header is missing“.

Beim Versand setzt der Wurm am Dateiende eine zufällig gewählte Zeichenkette ein. So kann die Dateigröße im Bereich von 54 bis 60 KBytes liegen. Beim Ausführen kopiert sich der Wurm im Hintergrund kopiert nach

  • C:WindowsSystem%variabler Dateiname1%.exe
    (54.784 Bytes)
  • C:WindowsSystem%variabler Dateiname2%.exe
    (54.784 Bytes)
  • C:WindowsSystemspooler.exe
    (54.784 Bytes)
  • C:WindowsSystemmscolmon.ocx

Das Hauptgefahrenpotenzial ergibt sich durch die zusätzliche Selbstschutzfunktion des Wurms. Dies bedeutet, dass sich Sober.B zweimal im System gleichzeitig startet. Ist der Wurm einmal aktiv, können die virulenten Dateien von den meisten Antivirenscannern nicht mehr erkannt werden. Der Zugriff des Virenscanners auf das System wird verweigert.

Der Text der Wurm-Email lautet: „Bush plans new wars again China, Cuba and Iran. Please visit our website and vote against this very crazy war(s). More information:“. Das Mail-Attachment hat die Bezeichnung „gwbush-new-wars.com“ und suggeriert einen direkten Link zu der angeblichen Voting-Website.

Der in Visual Basic 6 entwickelte Wurm entpackt sich nach dem Öffnen mit der Fehlermeldung „Header is missing“, erstellt eine Datei mit den Email Adressen, die auf den lokalen Laufwerken gespeichert sind und versendet sich mit eigener SMTP-Engine weiter.

Die Datei ‚mscolmon.ocx‘ enthält die gesammelten Emailadressen. Mit Hilfe seiner eigenen STMP Engine versendet sich der Wurm an diese Adressen. Er durchsucht hierzu auf den lokalen Laufwerken Dateien mit folgenden Extensions:

.htt
.rtf
.doc
.xls
.ini
.mdb
.txt
.htm
.html
.wab
.pst
.fdb
.cfg
.ldb
.eml
.abc
.ldif
.nab
.adp
.mdw
.mda
.mde
.ade
.sln
.dsw
.dsp
.vap
.php
.asp
.shtml
.shtm

Wer den Run Eintrag in der Windows Registry entfernt, während der Wurm aktiv ist, ist dennoch nicht geschützt: Er schreibt sich automatisch wieder in die Registry. Dies wurde mit einem Visual-Basic-Timer-Objekt gelöst, der in Intervallen die Registry den Run Eintrags abfragt.

Besonders gefährlich: Der Virus adressiert nicht nur englischsprachige Surfer mit seiner angeblichen Warnung vor einem Krieg gegen Iran, Kuba und China, sondern auch Deutsche: Hier wird versucht, mit dem so genannten „Kannibalen von Rotenburg“ zum Klick zu verleiten. In der Betreffzeile steht geschrieben: „Fwd: Der Kannibale von Rotenburg“. Im Body ist folgender Text zu lesen:


Entschuldigen Sie bitte diese überaus deutliche Betreffzeile!
Aber ein neuer
Dialer macht mit dieser Überschrift unzählige User zu
Opfern.
Die User
werden mit dem versprechen gelockt, sich das äusserts abscheuliche Tat- Video
anzuschauen zu dürfen. Stattdessen aber, installiert sich ein sehr teurer Dialer
und ein Virus
auf dem PC.
Da aber unzählige User auf diese Finte
hereinfallen, haben wir mit
Zustimmung des Bundeskriminalamtes BKA, eine
Web-Seite erstellt, wo einige dieser äusserts brisanten Fotos und Videos
einzusehen sind, um den Leuten die Neugier zu nehmen.
Natürlich sind diese
Videos und Fotos leicht zensiert worden.
Um auf diesen Web-Server zu
gelangen, müssen Sie zuerst bestätigen, dass

Sie das 18 Lebensjahr
bereits vollendet haben.
Wir bitten sie ausdrücklichst, keine Kinder diese
Seite einsehen zu
lassen.
I.A.: Dieter BXXXXn
—– MultiMedia AG
München ia. BKA (ORG. Rund-Mail V6.02)
—– Geschäftsführer: Michael
LXXXXXXxn (xxxxxxx) FAX: xxxxxx

Der Anhang hat hier den Namen Server.com

Themenseiten: Telekommunikation

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

9 Kommentare zu Virus lockt mit Schock-Video des „Kannibalen von Rotenburg“

Kommentar hinzufügen
  • Am 18. Dezember 2003 um 20:27 von Hermann Hemelt

    Virus
    Sehr guter und nützlicher Bericht über diesen Virus. Danke, macht weiter so.

    • Am 18. Dezember 2003 um 22:02 von Martin

      AW: Virus – nützliche Info??? na ich weiß nicht
      Lieber Vorschreiber,

      klingt ja fast wie Eigenlob … von wegen nützliche Info, vielen Dank und weiter so …

      Der Virus/Wurm Sober ist ja nicht erst seit heute unterwegs, okay die Unterart /B mag vielleicht neu sein, aber wirklich interessant wäre doch die Angabe einer Möglichkeit, sich zu schützen – wo bleiben die Removal-Tools, die es früher immer wieder mal bei zdnet gab?
      Außerdem: Wer einen anständigen Virenscanner installiert hat, den berührt dieser Alarm wohl kaum – und dass zdnet diese Meldung sogar als Topnews verkauft, grenzt ja schon an Themen a la Sommerloch – oder habt ihr nen Deal mit H+B EDV … auf dass sich möglichst viele User das Teil kaufen (ja ja, ich weiss schon, dass es von der Firma auch nen kostenlosen Scanner gibt) – mich wundert nur, dass wegen Sober.B so ein Aufstand gemacht wird!?
      Es gäbe doch auch genügend andere News, die wirklich interessant sind als ein wöchentlich immer wiederkehrender Wurm mit der Endung A,B,C usw.
      Und wie gesagt: Wenn denn die Bedrohung durch den aktuellen Sober wirklich so groß ist: warum wird kein Removal-Tool angeboten? Euer Service diesbezüglich war schon mal besser ;-) Nichtsdestotrotz möchte ich zdnet nicht missen, aber etwas Kritik musste ich jetzt einfach mal loswerden!

      Viele Grüße,
      Martin

    • Am 19. Dezember 2003 um 8:26 von Jack

      AW: AW: Virus – nützliche Info??? Aber hallo!
      Schön, dass ZDNet auch mal ausführlichere Infos bringt. Die muss/kann man sich sonst natürlich bei den Herstellern gängiger Anitivirensoftware runterladen sowie beim BSI.
      Dass hier ein spezieller Hersteller genannt wird, liegt wahrscheinlich daran, dass er zuerst eine Pressemitteilung herausgegeben hat…
      Lieber Martin, Deine Aussagen kann ich so nicht stehenlassen:
      1. Ein Virenscanner schützt per se kaum vor neuen Viren; ein "leistungsfähiger" Virenscanner kann also nur ein solches Programm sein, dass auch vom Nutzer auf dem neuesten Stand gehalten wird. (Hast Du ein Update für den Sober.B? Sonst kann es Dich genauso erwischen, wenn Du auf eine entsprechende Mail reinfällst.
      2. Meldungen über neue Viren bei ZDNet und anderen artverwandten Internetseiten beziehen sich meist auf Viren, die ein hohes Verbreitungs- und/oder Schadenspotential haben. Dafür bin ich sehr dankbar, weil ich meinen Arbeitgeber vor Viren schützen muss und aufgrund solcher Meldungen prüfen kann, ob der Virenscanner bereits gegen den Virus (per Update) geimpft ist.
      3. Die Removal-Tools findest Du bei jedem Anbieter von AV-Software wie dem im Text genannten, Symantec, McAfee und wie sie alle heißen. Das Bereitstellenm solcher Tools durch Dritte ist oftmals rein rechtlich nicht erlaubt.

    • Am 19. Dezember 2003 um 8:31 von Jack

      AW: AW: Virus – nützliche Info??? Nachtrag
      4. Schützen Remvoal-Tools nicht vor Virenbefall, sondern machen nach dem Befall die Aufräumarbeiten. Wenn Du also aufgrund Deines "leistungsfähigen Virenscanners" glaubst sicher vor Sober.B zu sein, wozu brauchst Du dann ein Removal-Tool?

    • Am 19. Dezember 2003 um 17:02 von Gerhard

      Bestimmt Nützliche Infos! … AW: AW: Virus – nützliche Info??? na ich weiß nicht
      Bestimmt Nützliche Infos!

      Meine Erfahrungen zeigen, dass besonders in den Bereichen Home-User sowie Small-Busines der Wissensstand in Bezug auf die Virenthematik SEHR zu wünschen übrig lässt.
      Wirklich sehr oft findet sich auf diesen Rechnern weder ein Virenscanner noch eine Personal-Firewall, etc. … falls doch, wird sehr oft auf eine Aktualisierung „verzichtet“ oder die Lizenzen (bei gekauften Produkten) sind abgelaufen, so dass eine Aktualisierung nicht mehr möglich ist. Ein maßgeblicher Teil meiner Einsätze im Zuge des PC-Services (vorwiegend Home- und Small-Business-Kunden) resultiert aus der Virenproblematik (säubern, reparieren, schützen, …).

      Nicht immer bieten ALLE Programmhersteller auch unverzüglich die notwendigen Infos auf deren Seiten an, so dass hier so etwas wie eine Zentralstelle für Vireninfos (z.B. ZDNet.de) nützliche Dienste tut.

      Ich bin dankbar für eine zentrale Infostelle, wobei ich mich ganz sicher nicht nur auf eine Informationsquelle verlasse.

    • Am 19. Dezember 2003 um 21:00 von Martin

      AW: Bestimmt Nützliche Infos! … AW: AW: Virus – nützliche Info??? na ich weiß nicht
      Na gut!
      Aus Eurer Sicht mag das alles stimmen – ich revidiere meine Meinung!

      Beste Grüße ;-)
      Martin

    • Am 23. Dezember 2003 um 10:38 von Brutus

      AW: Virus
      Total Überflüssig, dieser Artikel.
      Ich habe gar keinen Virenscanner (probehalber und zu Testzwecken auf einer alten Dose mit W2K) installiert und diese läuft nur mit der Sygate Firewall. Dies auch – obacht – seit nunmehr 3 Monaten ohne jeglichen Virenbefall….aha !

  • Am 20. Dezember 2003 um 1:41 von O-brian

    Virenbefall mit Sober .B
    1.) Sollte man wie bereits erwähnt einen Aktuellen Virenscanner haben und ihn auch regelmässig updaten.
    (Da muss ich euch recht geben)
    2.) Sollte man diesen mindestens 1 mal die Woche oder öfter updaten (Manuell oder wenn es sich einstellen lässt täglich automatisch)
    3. Sollte man niemals irgendwelche Mails unbekannter Empfänger öffnen !!!
    Ich persönlich sehe mir kurz die Betreff-Zeile an und da ich überwiegend deutsche E-Mail bekomme, lösche ich die Englischen (meist Spam-Mails) und Mails unbekannter Absender ohne Sie zu öffnen.
    4. Andernfalls habe ich noch ein Linux-Rechner laufen auf dem man gefahrlos diesen Virenmist für M$ öffnen kann, da diese Scripte unter Linux nicht ausführbar sind.

    Grützi O-Brian

  • Am 22. Dezember 2003 um 12:54 von Jan

    Sober.C im Umlauf
    Die dritte Version des Sober Virus ist seit kurzem im Umlauf.
    Deutsche User sollen angeblich mails erhalten, in denen ihnen mitgeteilt wird, dass das BKA wegen MP3 sharings gegen sie ermittelt.
    Der Virus soll sich zwar hauptsächlich im deutschsprachigen Raum verbreiten, doch habe ich auch schon von seinem erscheinen in amerika gehört.

    Da meine email adresse vom einem amerikanischen ISP stammt, erhielt ich eine ähnliche mail, allerdings vom FBI.
    Andere Formen sind die Bestätigung für das Ordern eines Sex-Seiten Abos, und emails in denen man beleidigt wird.
    Die mail hat jeweils ungefähr 100 – 105 kb.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *