Neuigkeiten Übersicht

Dumm
gelaufen!

Lizenz zum Schmunzeln
Glosse der Woche

Spaß im Internet gibt's massenhaft, aber die Lizenz zum Schmunzeln finden Sie nur hier!
12. Juni 2004:

Wie die „rechten“ Spammer arbeiten

Die rechtsradikalen Spammer, die seit Donnerstag früh die Email-Postfächer mit braunem Spam zumüllen, arbeiten definitiv mit den Programmierern des Sober-Wurms zusammen. Wie die Antivirenfirmen F-Secure und Sophos bei ihren Analysen übereinstimmend herausgefunden haben, werden die Spammails mit Hilfe der Emailwürmer Sober.G und Sober.H verschickt. Damit bestätigen sich die schon früher geäußerten Vermutungen, dass eine enge Verbindung zwischen der rechtsradikalen Spamflut und den Urhebern des Sober-Wurms bestehe.

Sober.G lädt seinen Nachfolger aus dem Netz
Die Antivirenfirmen F-Secure und Sophos haben die Verbreitungswege des rechten Spammülls untersucht und dabei Folgendes herausgefunden: Die rechtsradikalen Spammails werden nur von PCs verschickt, die mit dem Emailwurm Sober.G infiziert sind. Sober.G kommt per Email in den heimischen PC und muss per Mausklick auf den Dateianhang aktiviert werden. Der Wurm öffnet Hintertüren und ist in der Lage, Dateien aus dem Internet nachzuladen. Davon macht der Schädling auch Gebrauch. Er lädt die Datei doerkggg.exe aus dem Netz nach. Diese Datei ist 59747 Byte groß und enthält das in Visual Basic geschriebene Wurmprogramm Sober.H.

Das schmutzige Geschäft der Wurmvariante Sober.H
Sober.H wird von seinem Wurmbruder Sober.G aktiviert. Ist Sober.H aktiv, sendet er an seinen Wurmbruder das Signal, sich selbst zu deaktivieren, indem er inhaltsleere Dateien mit folgenden Namen erzeugt: bcegfds.lll, zhcarxxi.vvx, cvqaikxt.apk und Odin-Anon.Ger. Diese Dateien sorgen dafür, dass sämtliche im PC möglicherweise vorhandenen Sober-Wurmvarianten deaktiviert werden. Von diesem Moment an verbreiten sich die Sober-Varianten nicht weiter. Vielmehr beginnt Sober.H jetzt mit der eigentlichen, ihm von seinen rechtsradikalen Schöpfern zugedachten Arbeit. Zunächst kopiert er sich als .exe-Datei in den Windows-Systemordner. Anschließend verewigt er sich in der Windows-Registrierung, sodass er bei jedem Systemstart automatisch mitgestartet wird. Nach Erledigung dieser Vorarbeiten beginnt Sober.G mit der Verbreitung seiner rechtsradikalen, antisemitischen und ausländerfeindlichen Hass-Mails. Er durchsucht den befallenen PC nach Emailadressen, an die er seine braunen Botschaften versenden kann, und speichert sie in den beiden Dateien llsapwin32.dats und mswn32sock.dats ab. Anschließend versendet er die mitgebrachten Botschaften. Damit nicht genug.

Kein Ende in Sicht
Die Wurmprogrammierer haben offenbar mit ihrer Kreatur noch Großes vor. Denn ebenso wie sein Vorgänger verfügt auch Sober.H über eine Routine zum Nachladen einer neuen ausführbaren Datei. Das Schadprogramm ist in der Lage, vom Host people.freenet.de eine Datei namens „winhlpx32ll.exe“ herunterzuladen. Außerdem scannt er in regelmäßigen Zeitintervallen seinen Wirtsrechner nach der Datei „sysmms32.lla“. Hat er sie gefunden, deinstalliert er sich selbst. Befindet sich diese Datei bereits auf dem PC, installiert sich Sober.H erst gar nicht. Es ist also davon auszugehen, dass die Datei „winhlpx32ll.exe“ eine neue Wurmvariante auf dem Wirts-PC erzeugen soll, die wiederum die Datei sysmms32.lla generiert, um dadurch Sober.H zu deaktivieren. Welche Ziele die Wurmprogrammierer mit der so erzeugten, neuen Variante des Sober-Wurms anstreben, ist nicht bekannt.

Anmerkung in eigener Sache
Die Verbreiter der rechtsradikalen Massenmails benutzen diverse seriöse Adressen, um ihre Hetz-Mails unters „Volk“ zu bringen. Darunter befinden sich auch mindestens zwei meiner eigenen Emailadressen. Ursache dürften mehrere Artikel sein, die ich für mehrere Online-Publikationen geschrieben habe. Die mit meinen Absenderangaben gefälschten Mails werden wahllos und weltweit an beliebige Adressaten verschickt. Ich kann daher nicht ausschließen, dass auch Besucher von HTML-World solche gefälschten Mails erhalten. Deshalb möchte ich an dieser Stelle darauf hinweisen, dass ich mich von den rechtsradikalen, ausländerfeindlichen, antisemitischen und volksverhetzenden Inhalten der gefälschten Emails ausdrücklich distanziere.
Alfred Krüger

Zurück zur News-ÜbersichtNach oben

Zurück zu den Brandneuen Lizenzen

Vorsicht Surftipps!
Ärztelatein, Falsche Viren, Film ab! Propaganda, Suppenseite, Fotografie, Frische Fische, Nachrichten, Freud, Filmfehler, Kultfilme, Boxen, Donald Duck, Musikseiten!

CD-Tipp des Monats:
Hier geht's zu den CD-Kritiken...
just books
JustBooks.de ist der Marktplatz für gebrauchte, antiquarische und vergriffene Bücher. Hier finden Sie alles: Vom antiquarischen Sammlerstück über Fach- und Studienliteratur bis hin zu Comics und Science-Fiction.
just books


Infos zu Ihrer Stadt
 
© Alfred Krüger http://www.akrue.de/