163504

Mit Ansage: Heute neuer Sober-Wurm

15.11.2005 | 08:37 Uhr |

Die Bayrische Polizei warnt vorab vor einer neuen Sober-Version, erste Exemplare sind bereits aufgetaucht.

In einer Mitteilung von Montag warnt das Bayrische Landeskriminalamt vor einer neuen Variante des Mail-Wurms "Sober", die heute in Umlauf gebracht werden soll. Das Bayrische LKA ist bundesweit federführend bei den Ermittlungen gegen den Sober-Programmierer.

Die neue Variante soll nach Erkenntnissen des LKA mit dem bereits von einer früheren Sober-Version bekannten Betreff "Haben Sie diese Email verschickt?" verbreitet werden. Der Text der Mails lautet:

"Es waere von Vorteil, wenn Sie sich dazu aeussern wuerden!! Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige zu erstatten. Sie Spinnen wohl! Die E-mail hat meine Tochter gelesen!!! Ich habe Ihnen diese Word-Text Datei zu meiner Entlastung zurückgeschickt ."

Der Anhang der Mail besteht aus einer ZIP-Datei mit dem Namen "Word-Text.zip", die den Wurm enthält. Auch eine englische Variante soll es wieder geben. Sie kommt mit dem Betreff "Registration Confirmation", dem Anhang "registration.zip" und dem Text "Thanks for your registration. Your data are saved in the zipped Word.doc file!".

Nach den ersten online verfügbaren Informationen von H+BEDV hat der von Antivir als "Worm/Sober.V" erkannte Wurm eine Dateigröße von 129.557 Bytes. Wird der Wurm ausgeführt, erstellt er folgende Dateien:

C:\Windows\ConnectionStatus\Microsoft\services.exe
C:\Windows\ConnectionStatus\Microsoft\concon.www

Er legt diese Registry-Einträge an, damit er beim Start von Windows geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinCheck = C:\Winwows\ConnectionStatus\Microsoft\services.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
_WinCheck = C:\Windows\ConnectionStatus\Microsoft\services.exe"

Nach Angaben von H+BEDV soll dieser Sober-Wurm am 16. und 17. November versuchen, ein Update von sich aus dem Internet zu laden. Erste Exemplare der Wurm-Mails sind im Laufe der Nacht bereits gesichtet worden. Wenn Sie Mails dieser Art erhalten, öffnen Sie sie nicht. Löschen Sie diese Mails unbesehen und aktualisieren Sie Ihr Antivirus-Programm.

0 Kommentare zu diesem Artikel
163504