Comeback: Neuer Sober-Wurm
Ein vor über einem Jahr zuletzt gesichteter Wurm taucht wieder auf. Eine neue Variante des Sober-Wurms wird derzeit mit Mails verbreitet, die sich als administrative Nachrichten ausgeben.
Klassische Mail-Würmer gelten als beinahe ausgestorben, obwohl alte Bekannte wie "Netsky" immer noch die Malware-Charts anführen. Bis Ende 2005 sorgte die Wurm-Familie "Sober" besonders in Deutschland für einige Aufregung. Vor Bundestags- oder Landtagswahlen verbreiteten sie gerne auch mal Nazi-Spam. Nach einer langen Pause taucht nun wieder eine neue Sober-Variante in den Mailboxen auf.
Die Mails kommen mit einem Betreff wie zum Beispiel "Ihr Passwort wurde geaendert!", "Fehlerhafte Mailzustellung", "Ihr Account wurde eingerichtet!", "Danke das Sie sich fuer uns entschieden haben.", "Your Updated Password!" oder "Error in your eMail". Die gefälschte Absenderangabe setzt sich aus einem der Benutzernamen "Webmaster", "Admin", "Postmaster" oder "Hostmaster" sowie einer der Domains "hotmail.com", "gmx.de", "web.de", "microsoft.com" oder "aol.de" zusammen. Im Text heißt es zum Beispiel, das Passwort des Empfängers sei wie gewünscht geändert worden. Es wird jeweils auf den Anhang verwiesen.
Der Anhang besteht aus einer ZIP-Datei mit einem Namen wie "Passw_Data<Zahl>.zip", "PDaten<Zahl>.zip", "Mail_Data<Zahl>.zip" oder "Anleitung<Zahl>.zip". Darin steckt der Wurm als "Winzipped_Data-Files.exe" mit einer Größe von 88 KB. Wird dieses Programm ausgeführt, zeigt es eine vorgetäuschte Winzip-Fehlermeldung an. Es legt im Windows-Verzeichnis den neuen Ordner "PoolData" an und darin unter anderem die Dateien csrss.exe, services.exe und smss.exe. Die Dateien gleichen Namens im System32-Verzeichnis gehören hingegen zu Windows.
Der Schädling trägt sich zum automatischen Aufruf beim Windows-Start in die Registry ein, deaktiviert das automatische Windows-Update und schaltet das Sicherheitscenter sowie die Firewall von Windows XP aus. Außerdem versucht er Prozesse bestimmter Sicherheitsprogramme zu beenden, etwa die von Virenscannern. Sober lädt weitere Malware von wöchentlich wechselnden URLs herunter, die sich aus einem bestimmten Berechnungsschema ergeben, das im Wurm enthalten ist.
Schließlich verschickt er Mails mit einer Kopie seiner selbst und den oben beschriebenen Eigenschaften an Adressen, die er auf dem infizierten Rechner gefunden hat. Die Verbreitung dieses Wurms hat bislang nicht annähernd die Ausmaße erreicht wie die seiner Vorgänger. Die meisten Antivirus-Programme erkennen den Wurm bereits, zum Teil sogar ohne neuere Updates.
Erkennung durch Antivirus-Programme:
| Antivirus | Malware-Name |
|---|---|
| AntiVir | WORM/Sober.Gen |
| Avast! | Win32:Sober-AV [Wrm] |
| AVG | I-Worm/Sober.CP |
| Bitdefender | Win32.Sober.Gen |
| ClamAV | Worm.Sober-1 |
| Command AV | W32/Sober.AT@mm |
| Dr Web | Win32.HLLM.Generic.422 |
| eSafe | Win32.Sober.AA |
| eTrust | Win32/Sober.X |
| Ewido | Worm.Sober.aa |
| F-Prot | W32/Sober.AT@mm |
| F-Secure | Email-Worm.Win32.Sober.aa |
| Fortinet | W32/Sober.AA@mm |
| Ikarus | Email-Worm.Win32.Sober.AA |
| Kaspersky | Email-Worm.Win32.Sober.aa |
| McAfee | W32/Sober.gen@MM |
| Microsoft | Worm:Win32/Sober.AH@mm |
| Nod32 | Win32/Sober.Z |
| Norman | W32/Sober.gen |
| Panda | W32/Sober.AN.worm |
| QuickHeal | I-Worm.Sober.aa |
| Rising AV | Worm.Mail.Sober.fl |
| Sophos | W32/Sober-AD |
| Symantec | W32.Sober.AA@mm |
| Trend Micro | WORM_SOBER.AX |
| VBA32 | Email-Worm.Win32.Sober.aa |
| VirusBuster | I-Worm.Sober.AL |
| WebWasher | Worm.Sober.Gen |
| GData AVK 2007 * | Email-Worm.Win32.Sober.aa |
Quelle: AV-Test, Stand: 03.05.2007, 12 Uhr
* mutmaßliche Erkennung auf Basis von Kaspersky und Avast
