Mail Rechtsextremer Wurm verbreitet sich schnell

Mail: Rechtsextremer Wurm verbreitet sich schnell

Ein Wurm mit rechtsextremistischem Inhalt macht
wieder die Runde. Seit Ende vergangener Woche
häufen sich Spam-Mails mit eindeutigem Content.
Bereits vor einem Jahr kursierten rechte Spams.
Damals wie heute ist ein Wurm mit dem Namen
"Sober" verantwortlich.

Die Betreffzeilen sind unterschiedlich, etwa "Gegen
das Vergessen", "60 Jahre Befreiung: Wer feiert
mit?", "Auslaender bevorzugt", "Volk wird nur zum
zahlen gebraucht!" oder "Blutige Selbstjustiz". Der
Wurm sucht auf Windows-Systemen nach Email-
Adressen und verschickt sich selbst weiter.

In den Mails wird auf Artikel von SPIEGEL Online,
ZDF oder die Homepage der rechtsextremen Partei
NPD geleitet. Die Medien dementierten jeglichen
Zusammenhang. Der Schädling kann einfach mit
Antiviren-Scanner gelöscht werden.

Rechtsextreme Würmer kann man eigentlich nur mit ihren eigenen Mitteln schlagen: Zwangssterilisierung!

Ich sehe das wahrscheinlich mal wieder ein wenig anders als die meisten, ich gebe aber dennoch einfach einmal meine Meinung ab !
Grundsätzlich ist es ja so, dass Mails mit solchem Inhalt verschickt werden, um zu provozieren, damit der Inhalt in die Medien gelangt.
Wäre es so, dass dieses Thema damit in den Medien nicht sofort wieder zum 100000000000000000 Mal hochkäme, würde man den Verfassern die Basis nehmen !
Mehr gibt es dazu nicht zu sagen !

Gefahr durch Computer-Wurm

Computer-Hacker betreiben offenbar einen regelrechten Wettbewerb, wer die meisten und gefährlichsten Würmer in Umlauf bringt.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor dem Computerwurm Sober P einem Nachfolger des Trojanische Pferdes Sober O, der im Zusammenhang mit der WM-Ticketbestellung für Aufregung gesorgt hat.

Computerexperten warnen jetzt:
Sober.P ist in der Lage ab dem 23. Mai 2005 selbständig zahlreiche Stellen im Internet nach neuen Programmteilen abzufragen und diese nachzuladen. Möglicherweise wird so ein neuer Computerwurm oder ein neues Trojanisches Pferd in Umlauf gelangen. Das BSI ist mit den Betreibern der bekannten Internet-Domainnamen in Kontakt, sodass diese abgeschaltet werden und der Angriff damit voraussichtlich ins Leere geht.

Virenschutz-Software aktualisieren:
Trotzdem rät das Bundesinstitut zur Sicherheit in der Informationstechnik allen Computernutzern die eigene Virenschutz-Software umgehend zu aktualisieren. Denn Sober.P kann nur dann weiter aktiv werden, wenn er auf dem Computer unbemerkt bleibt.

Beschreibung

Allgemeines

Sober.P ist ein Trojanisches Pferd, das E-Mail-Nachrichten mit rechtsradikalem Inhalt verbreitet. Der Text der E-Mails ist in deutscher oder in englischer Sprache verfasst.

Der Wurm löscht Dateien des AV-Herstellers Symantec. Weiterhin deaktiviert er Sicherheitssoftware, darunter die Windows XP-Firewall und das automatische Windows Update.

Infektion

Sober.P gelangt auf Computer, die mit dem Wurm Sober.O infiziert sind. Sober.O lädt eine Datei, die Sober.P beinhaltet, aus dem Internet und infiziert damit den Computer. Sober.P selbst ist ein Trojanisches Pferd, das sich nicht automatisch weiter verbreitet.

Es werden folgende Dateien erzeugt:

• %Windir%\Help\Help\csrss.exe
• %Windir%\Help\Help\smss.exe
• %Windir%\Help\Help\services.exe
• %Windir%\Help\Help\sacri1.ggg
• %Windir%\Help\Help\sacri2.ggg
• %Windir%\Help\Help\sacri3.ggg
• %Windir%\Help\Help\voner1.von
• %Windir%\Help\Help\voner2.von
• %Windir%\Help\Help\voner3.von
• %Windir%\Help\Help\sysonce.tst
• %Windir%\Help\Help\fastso.ber
• %System%\nonrunso.ber
• %System%\langeinf.lin
• %System%\gdfjgthv.cvq
• %System%\seppelmx.smx
• %System%\adcmmmmq.hjg
• %System%\xcvfpokd.tqa
• %System%\fastso.ber
• %Program Files%\Symantec\Liveupdate\luall.exe

Hinweis:
%Windir% und %System% sind Systemvariablen, die den tatsächlichen Dateipfad enthalten. Dieser variiert bei den verschiedenen Windows-Versionen.
Beispiel: %Windir% enthält C:\Windows bei Windows 95/98/Me, C:\Winnt bei Windows NT/2000, und C:\Windows bei Windows XP.

Es werden folgende Registrierungsschlüssel erzeugt:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"SystemBoot" = "%Windir%\Help\Help\services.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"SystemBoot" = "%Windir%\Help\Help\services.exe"

Mit Hilfe dieser beiden Schlüssel in der Windows-Registrierung wird der Wurm bei jedem Systemstart aktiviert.

Sober untersucht den infizierten Computer nach E-Mail-Adressen und versendet sich mit gefälschtem Absender an diese gefundenen Adressen.

Verbreitungsart

Sober.P hat keine eigene Verbreitung. Er verbreitet jedoch E-Mail-Nachrichten mit rechtsradikalen Inhalten. Die Absenderadresse ist mit den gefundenen Adressen gefälscht

Sober.P versendet Text sowohl in deutsch, als auch in englisch.

Folgende Betreffzeilen sind bekannt:

• 4,8 Mill. Osteuropaeer durch Fischer-Volmer Erlass
• Auf Streife durch den Berliner Wedding
• Auslaender bevorzugt
• Deutsche Buerger trauen sich nicht ...
• Auslaenderpolitik
• Blutige Selbstjustiz
• Deutsche werden kuenftig beim Arzt abgezockt
• Paranoider Deutschenmoerder kommt in Psychiatrie
• Du wirst zum Sklaven gemacht!!!
• Dresden 1945
• Massenhafter Steuerbetrug durch auslaendische Arbeitnehmer
• Gegen das Vergessen
• Tuerkei in die EU
• Hier sind wir Lehrer die einzigen Auslaender
• Multi-Kulturell = Multi-Kriminell
• Verbrechen der deutschen Frau
• S.O.S. Kiez! Polizei schlaegt Alarm
• Transparenz ist das Mindeste
• Trotz Stellenabbau
• Vorbildliche Aktion
• Augen auf
• Du wirst ausspioniert ....!
• Volk wird nur zum zahlen gebraucht!
• 60 Jahre Befreiung: Wer feiert mit?
• Graeberschaendung auf bundesdeutsche Anordnung
• Schily ueber Deutschland
• The Whore Lived Like a German
• Turkish Tabloid Enrages Germany with Nazi Comparisons
• Dresden Bombing Is To Be Regretted Enormously
• Armenian Genocide Plagues Ankara 90 Years On

Der Nachrichtenbereich enthält rechtsradikaler Text mit Internet-Links zu Seiten mit entsprechendem Inhalt.

Schadensfunktion

• Massenmailing
• Sober.P löscht nach einem Neustart des infizierten Computers bestimmte Dateien aus dem Verzeichnis
  %ProgramFiles%\Symantec\Liveupdate
  LiveUpdate muß anschließend neu installiert werden.
• Deaktivieren der Windows XP-Firewall
  Nach dem Neustart des infizierten Computers ist die Windows XP-Firewall deaktiviert.
  Dazu wird dem Registrierungs-Schlüssel
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
  der Wert EnableFirewall=0 zugewiesen.
  Ebenso dem Schlüssel
  HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
  der Wert EnableFirewall=0
  Ein Einschalten wirkt nur bis zum nächsten Neustart.
• Deaktivieren der Windowsfunktion "Automatische Updates"
  Bei jedem Systemstart wird die Funktion ausser Kraft gesetzt.
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update wird der Wert AUOptions=1 zugewiesen.
• Deaktivieren von Viren-Schutzprogrammen
  Sober.O und Sober.P schalten einige Viren-Schutzprogramms ab. Dabei können Meldefenster unterdrückt werden.
• Verhindert den Start spezieller Entfernungstools.

Entfernung

Der Wurm kann möglicherweise nicht im laufenden System entfernt werden:

• der laufende Prozess blockiert die Datei
• Windows schützt das Verzeichnis, in dem sich das Programm befindet

Vorgehensweise der Entfernung

1. Systemwiederherstellung von Windows Me/XP deaktivieren
2. Start des Computers in den abgesicherten Modus
3. Durchsuchen Sie mit Ihrem aktuellen Viren-Schutzprogramm den Computer. Zur Verwendung der Programme müssen Sie Administrator-Berechtigung besitzen.
4. Wenn nicht automatisch durch das Viren-Schutzprogramm erledigt:
   • infizierte Dateien löschen
   • Einträge aus der Windows-Registrierung entfernen
5. normaler Systemstart
6. Systemwiederherstellung (Me/XP) aktivieren

Da hab ich ja bis jetzt Glück gehabt. Hab noch keinen von diesen Würmern erwischt. Hoffentlich bleibt das auch so.