Neue Sober-Offensive startet erst am 6. Januar

  • Die H+BEDV Datentechnik GmbH hat überraschende Erkenntnisse zur nächsten Offensive des Computerwurms Sober gewonnen: Ihre Analysen zur Entschlüsselung des Wurm-Codes haben ergeben, dass Sober sich erst am 6. Januar 2006 mit besonderer Durchschlagkraft aktiviert und nicht wie weithin behauptet bereits am 5. Januar.

    Laut den Antivirenexperten von H+BEDV synchronisiert der Virus seine Startzeit durch das NTP-Protokoll der Rechner, die von ihm infiziert sind. Sie starten die Update-Routine zum gleichen Zeitpunkt, wobei die lokale Systemzeit keine Rolle spielt. Die Untersuchungen haben bestätigt, dass der Wurm am 6. Januar UTC 00:00 mit seiner Update-Routine beginnt. Damit werden alle Systeme, die bereits durch Sober.Y infiziert wurden, gleichzeitig einen Update-Vorgang starten – sei es in dem Moment Mitternacht in London, 01:00 Uhr morgens in Paris und Berlin oder 03:00 Uhr in Moskau.

    Für seine Update-Routine kontaktiert Sober.Y eine Reihe von URLs, von denen er bestimmte Dateien herunterlädt. Die AntiVir-Forscher fanden heraus, dass diese Liste 15 URLs umfasst und sich alle 14 Tage ändert. Sollte sich der Update-Zyklus fortsetzen, muss der Wurm ganze 25 unterschiedliche Listen bis zum Jahresende abarbeiten. Dies entspricht 375 URLs, die auf den folgenden Domains gehostet sind:

    * people.freenet.de
    * scifi.pages.at
    * home.pages.at
    * free.pages.at
    * home.arcor.de

    Zum gegenwärtigen Zeitpunkt existieren die URLs noch nicht, aber der Virenautor kann diese in wenigen Minuten einrichten – noch bevor der Inhalt hochgeladen ist und das Update auf den infizierten Systemen ausgelöst wird. Die AntiVir-Virenforscher beobachten diese Domains permanent. Alle Informationen über die von Sober angesteuerten URLs werden von H+BEDV zeitnah bekannt gegeben.

    Gernot Hacker, Stellv. Geschäftsführer von H+BEDV:

    „Wenn man sich die Größenordnung von Sober.Y im Internet seit Anfang November vor Augen führt, lassen sich die Folgen seiner künftigen Aktionen nur schwer realistisch einschätzen. Wir empfehlen daher allen Anwendern, ihre Antiviren-Software ständig zu aktualisieren, um eine neue Infektions-Welle oder gar ernsthafte Beeinträchtigungen in der Netzlast zu verhindern.“


    Wie immer ist H+BEDV auch am Vertrieb der eigenen, in diesem Fall kostenfreien Produkte interessiert und empfiehlt all den Computernutzern, die bisher keine Sicherheitslösung einsetzen, sich das AntiVir Removal Tool for Windows herunterzuladen. Es handelt sich dabei um eine kostenfreie Software, die in der Lage ist, Sober aufzuspüren und zu entfernen.
    http://www.antivir.de/de/vireninfos/…dows/index.html
    Quelle

  • [quote='Scott63'] tegam64:
    Tztztz, dass diese Freibeuter immer so misstrauisch sind. Nur weil da eine Karavelle mit über 30 Kanonen längsseits geht und die Bedienmannschaften die Kanonen schussbereit machen, muss dies doch nicht unbedingt zwingend besorgniserregend sein oder gar etwas bedeuten. :wink:

    1 Karvelle mit 30 Kanonen, nee da mach ich nicht mal die Schotten dicht! 8) Mit verdächtig hab ich nur gemeint, den Beitrag von bmx77, daß der Geschäftsführer Hacker heißt![Blockierte Grafik: http://www.cosgan.net/images/smilie/frech/g010.gif]

    [size=8] Firefox/ ja

  • Zitat von dogfriedwart

    Überhaupt wirkt der Post wie eine PRessemitteilung, direkt aus der H-BEDV-Pressestelle.

    Zitat von VIRUS

    .....Quelle

    Zitat von http://www.computerbase.de/news/internet/hacker_sicherheit/2005/dezember/neue_sober-offensive_6_januar/

    Quelle: Pressemitteilung

    -> <a target=_blank href="http://www.antivir.de/de/presse/pressemitteilungen_2005/index.html?L=0&tx_ideaavpresse_pi1[show_uid]=313&tx_ideaavpresse_pi1[back_pid]=67&no_cache=1"> http://antivir.de/de/presse/pressemitteilungen_2005</a>

    :lol:

  • hm, am besten

    brain.exe -> einschalten
    outlook -> durch thunderbird ersetzten
    internet explorer -> durch firefox oder opera ersetzen

    und abwarten ....... und wenn nichts passiert, na ja - dann war es nur ne Flaschmeldung - genauso wie der nie eingetretene Mileniumcrash 1999/2000, sollten da nicht alle Lichter ausgehen, Flugzeuge abstürzen etc. *wechlol*???????

  • Zitat von alfablot

    und abwarten ....... und wenn nichts passiert, na ja - dann war es nur ne Flaschmeldung - genauso wie der nie eingetretene Mileniumcrash 1999/2000, sollten da nicht alle Lichter ausgehen, Flugzeuge abstürzen etc. *wechlol*???????


    So ungefähr, ja.

    Ich hab noch ne Spektrum der Wissenschaft von kurz vorher. Und selbst die "optimistische" Annahme der Auswirkungen des Y2K-Bugs wurden deutlich unterschritten.

    Quis custodit custodes?