163026

Drei neue Sober-Würmer

15.11.2005 | 16:28 Uhr |

Die angekündigte Welle neuer Sober-Würmer besteht aus drei Varianten, die sich jedoch nicht so stark wie erwartet ausbreiten.

Seit heute Morgen schwappt eine neue Welle von Wurms-Mails über Deutschland, die allerdings schwächer ausfällt als bei früheren Sober-Versionen. Die Antivirus-Hersteller unterscheiden drei Varianten, die auch unterschiedliche Mails versenden.

Kaspersky Labs differenziert die Typen "Email-Worm.Win32.Sober.u", "Email-Worm.Win32.Sober.v" und "Email-Worm.Win32.Sober.w". McAfee unterscheidet die Varianten " W32/Sober.t@MM ", " W32/Sober.u@MM " und W32/Sober.v@MM ". AntiVir-Hersteller H+BEDV unterteilt die Wurm-Welle in die Komponenten "Worm/Sober.V", "DR/Sober.W" und "DR/Sober.X". Symantec (" W32.Sober.S ") und Trend Micro (" WORM_SOBER.AD ") führen bisher nur eine neue Sober-Variante auf.

Die Mails, der Sober verschickt, können auch ohne Betreff und/oder Text ankommen. Meist kommen jedoch folgende Mails herein:

Betreff: "Haben Sie diese EMail verschickt?"
Anhang: Word-Text.zip (enthält Word-Text_packedList.exe)

Betreff: Registration Confirmation
Anhang: registration.zip (enthält Word-Text_packedList.exe)

Betreff: "Thanks for your registration"
Anhang: reg_text.zip (enthält reg-list-dat_packer2.exe)

Betreff: "Hi, Ich bin's"
Anhang: Liste.zip (enthält reg-list-dat_packer2.exe)

Betreff: "Ihre eMail!" oder "Your email"
Anhang: excel_table.zip (enthält exceltab-packed_list.exe)

Die Anhänge sind ungefähr 130 KB groß, der genaue Wert variiert. Meist erscheint beim Ausführen eine vorgetäuschte Fehlermeldung. Ferner wird das MRT (Microsoft Malicious Software Removal Tool) ausgeschaltet und teilweise die Datei TCPIP.SYS manipuliert. Der Wurm verbreitet sich über eine eigene Mail-Routine an Adressen, die er auf dem infizierten PC findet. Je nach Zieladresse schickt er eine deutsche oder englische Mail.

Die Varianten unterscheiden sich häufig nur in den verwendeteten Packformaten. Nicht alle Virenscanner erkennen bisher alle Varianten. Aktualisieren Sie daher Ihr Antivirus-Programm heute mehr als einmal.

0 Kommentare zu diesem Artikel
163026