55500

Neue Variante des Sober-Wurms geht um

19.04.2005 | 13:12 Uhr |

Seit heute Nacht verbreitet sich eine neue Variante des Sober-Wurms. Etliche Anwender und Unternehmen melden einen massenhaften Eingang von Sober-Mails.

Seit heute Nacht verbreitet sich eine neue Variante des Sober-Wurms. Etliche Anwender und Unternehmen melden einen massenhaften Eingang von Sober-Mails. Die Mails kommen vorwiegend mit deutschem Text, dem Betreff "FwD: Ich bin's nochmal" und folgendem Inhalt:

"Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.
Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode
blamieren!

Ich melde mich.
Bis bald ;)"

Es gibt auch eine englische Variante mit dem Betreff "I've_got your EMail on my_account!", mit dem Dateinamen "your_text.zip". Der Anhang ist eine 72 KB große ZIP-Datei mit dem Namen "Private-Texte.zip". Sie enthält den eigentlichen Wurm als Datei "mail.document.Datex-packed.exe". Die Absenderangabe ist gefälscht, als Zieladresse erscheint "User@domain", also zum Beispiel "User@gmx.de" oder "User@pcwelt.de".

Mcafee bezeichnet ihn als " W32/Sober.o ", bei Symantec heißt er " W32.Sober.N@mm ", Kaspersky nennt den Wurm "Email-Worm.Win32.Sober.n", AntiVir erkennt ihn als "Worm/Sober.O".

Der Wurm kopiert sich, wenn er ausgeführt wird, in das Unterverzeichnis "config\system\" des Windows-Verzeichnisses und legt dabei die Dateien "services.exe", "zipped.wrm" und "maddys.xyz" an. In letzterer Datei speichert er gesammelte Mail-Adressen. Ferner trägt er sich in die Registry ein:

Schlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Eintrag:
_SystemCheck = %Windir%\config\system\services.exe

Dadurch wird er bei jedem Start von Windows automatisch geladen. Ferner legt er im %TEMP%-Verzeichnis (meist C:\Windows\temp) eine TXT-Datei an, die er im Editor Notepad öffnet. Bei Windows 9x/ME kann die Datei zu groß für den Editor sein und man erhält eine Fehlermeldung. Die Datei enthält die Zeile "UnPack failed", gefolgt von etlichen Kilobytes Textmüll.

Die Hersteller von Antivirus-Software haben überwiegend bereits neue Updates bereit gestellt, mit denen die neue Sober-Variante erkannt wird, oder werden dies im Laufe des Tages tun. Aktualisieren Sie Ihren Virenscanner und öffnen Sie nicht den Anhang von Mails der beschriebenen Art.

0 Kommentare zu diesem Artikel
55500