163070

Neue Sober-Variante: "Sie haben Raubkopien"

22.11.2005 | 08:51 Uhr |

Neue Sober-Mails werden mit der Absenderangabe Bundeskriminalamt verschickt.

Seit Montag Abend werden wieder verstärkt neue Varianten der Sober-Mails verbreitet. Sowohl die gefälschten Absenderangaben als auch der Text sollen den Eindruck erwecken, als kämen die Mails vom Bundeskriminalamt in Wiesbaden.

Die Mails werden mit dem Betreff "Sie haben Raubkopien" verschickt. Als vorgebliche Absender sind Adressen wie BKA.Bund@BKA.de, BKA@bka.bund.de, Downloads@bka.de oder Internet@bka.bund.de angegeben. Im Text wird behauptet, wegen illegalen Downloads sei ein Ermittlungsverfahren gegen den Empfänger eingeleitet worden (s. Abb.). Bereits Sober.c war kurz vor Weihnachten 2003 mit ähnlichen Mails an den Start gegangen.

Dabei sind die angegebene IP-Adresse und das Aktenzeichen variabel. Die Nummer des Aktenzeichens findet sich auch im Dateinamen des Anhangs wieder, also etwa "Akte8472.zip". In der ZIP-Datei steckt der Wurm als "File-packed_dataInfo.exe" (55.390 Bytes). Eine weitere Mail-Variante trägt den Betreff "RTL: Wer wird Millionaer" (Anhang: "RTL.zip") und verspricht dem Empfänger, er werde demnächst bei Günther Jauch im Studio sitzen.

Englische Varianten der Mails kommen mit einem Betreff wie zum Beispiel "hi, ive a new mail address", "Paris Hilton & Nicole Richie" oder "You visit illegal websites" und einem Anhang namens "reg_pass-data.zip" oder auch "downloadm.zip".

Nach Angaben von Trend Micro wurde diese Sober-Variante in Brasilien, Belgien, Kanada, den USA, Neuseeland und Deutschland gesichtet. Die meisten Antivirus-Programme erkennen diese Version des Sober-Wurms inzwischen, lediglich Symantec fehlt noch:

Antivirus

Wurmname

AntiVir

Worm/Sober.Y

Avast!

Win32:Sober-AB [Wrm]

AVG

I-Worm/Sober.CF

BitDefender

Win32.Sober.AD@mm

ClamAV

Worm.Sober.U

CommandAV

W32/Sober.Z@mm

Dr Web

Win32.HLLM.Generic.355

eSafe

Win32.Sober.y

eTrust-INO

Win32/Sober.W!Worm

eTrust-VET

Win32.Sober.W

F-Prot

W32/Sober.Z@mm

F-Secure

Email-Worm.Win32.Sober.y

Fortinet

W32/Sober.AD-mm

Ikarus

Email-Worm.Win32.Sober.Y

Kaspersky

Email-Worm.Win32.Sober.y

McAfee

W32/Sober.gen@MM

Nod32

Win32/Sober.Y worm

Norman

W32/Sober.AA@mm

Panda

W32/Sober.AH.worm

Sophos

W32/Sober-Z

Symantec

./.

Trend Micro

WORM_SOBER.AG

Infos zu Sober.y

0 Kommentare zu diesem Artikel
163070