Neuer wurm aktiv

[Ben5665]

da ich heute mal wieder mein gmx Postfach entleeren wollte waren dort enorm viele unbekannte E-mails und alle mit anhang.
hab sie natürlich nicht geöffnet.



Neuer Internet-Wurm: Sober tarnt sich als Virenwarnung



Derzeit verbreitet sich ein neuer Internet-Wurm sehr stark, der sich unter anderem als Virenwarnung ausgibt. Die Sicherheitsexperten von Kaspersky warnen bereits vor einer Epidemie.




Der neue Internet-Wurm mit dem Namen Sober wurde bereits am Samstag entdeckt, doch erst seit dem gestrigen Montag scheint er so richtig aktiv zu werden, was nach Einschätzung von Kaspersky mit dem Wochenbeginn in Zusammenhang steht. Viele Anwender fanden die den Wurm enthaltende Mail offenbar erst zu Arbeitsbeginn in ihren beruflich genutzten Postfächern vor.




Sober ist ein klassischer Internet-Wurm, der sich über E-Mails verbreitet. Infizierte E-Mails weisen als Betreffzeilen verschiedene Texte in Englisch und in Deutsch auf. Auch die Namen und Erweiterungen (PIF, BAT, SCR, COM, EXE) der angehängten Dateien unterscheiden sich häufig, was die Identifizierung des Schädlings nach äußeren Merkmalen deutlich erschwert.

Die deutschsprachigen Betreffzeilen können zum Beispiel Virenwarnungen wie "Neuer Virus im Umlauf!", "Sie versenden Spam Mails (Virus?)"; "Ein Wurm ist auf Ihrem Computer!" oder "Neue Sobig Variante (Lesen!!)" sein. Allerdings enthalten einige Varianten auch allgemeine Betreffzeilen wie "Überraschung", "Ich Liebe Dich" oder "Hi Schnuckel was machst du so". Der Mailtext variiert ebenfalls, verweist aber immer auf den betreffenden Anhang. Wenn die angehängte Datei beispielweise "Removal-Tool.exe" heißt, kann der Mailtext folgendermaßen lauten:

"Kaspersky Lab Int. und Norton Anti Virus haben einen neuen Typos von Wurm entdeckt.
Der Wurm nennt sich selbst ODIN und konnte sich bist jetzt, unbemerkt auf vielen Computern ausbreiten!
Diese Mail wurde selbst mit dem Wurm verschickt, aber, als Anhang mit einem AntiVirus bestückt, den Norton in Zusammenarbeit mit Kaspersky Lab entwickelt hat!
Sie sollten auf jeden Fall das Removal tool benutzen um ggf. den Wurm zu entfernen!"


Falsche Fehlermeldung bei der Installation.
(Foto/Abb.: Symantec)
Wird die angehängte Datei geöffnet, lässt Sober die falsche Warnmeldung "File not complete!" auf dem Bildschirm erscheinen. Danach erstellt der Wurm im Windows-Systemverzeichnis drei Kopien von sich mit verschiedenen Namen und registriert sie im Registrierschlüssel des Betriebssystems. Anschließend sucht Sober im infizierten Rechner nach Dateien wie HTML, WAB, EML, PST, die E-Mail-Adressen enthalten können. Mithilfe seiner eigenen SMTP-Maschine verschickt er dann unbemerkt Kopien von sich an die gefundenen Adressen.

Darüber hinaus enthält der Wurm Strings, in denen der Autor von Sober seine Begeisterung für den Autoren des Internet-Wurms Sobig äußert. Die meisten Hersteller von Virenschutzsoftware haben ihre Virendefinitionen inzwischen aktualisiert. Anwender sollten die entsprechenden Updates herunterladen. Auf den Internetseiten der Hersteller finden sich zumeist auch Listen mit den verschiedenen Betreffzeilen, Mailtexten und Anhängen, die Sober verwendet.

© 1999-2003 call-magazin.de