142193

Neuer Sober-Wurm

08.03.2005 | 13:25 Uhr |

Seit 7. März ist eine neue Variante des Sober-Wurms in Umlauf. Die gefälschten Absenderangaben nennen meist Adressen beim Free-Mailer Web.de.

In Betreff und Text wird behauptet, der Absender habe falsch zugestellte Mails des Empfängers erhalten. Es wird auf den Anhang ("MailTexte.zip") verwiesen, der angeblich die besagten Mails enthalten soll. Tatsächlich enthält die etwa 45 KB große ZIP-Datei den Wurm. Der Betreff der Mails ist "Ich habe Ihre E-Mail bekommen!". Der Text lautet:

"Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.

Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.

Wenn es doch kein Fehler vom Provider ist, sorge dafuer das diese
Dinger nicht mehr auf meinem Account landen, es Nervt naemlich.

Gruss"

Hinweis: Es gibt auch eine englische Fassung der versandten Mails, die den Betreff "Your Password & Account number" trägt.

Die anhängte ZIP-Datei enthält eine ausführbare Datei mit dem Namen "mail_text-data.txt [viele Leerzeichen] .pif". Wird sie gestartet, trägt sich der Wurm in die Registry ein. Er legt im Schlüssel "HKLM\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run" einen Eintrag "Services.dll %WinDir%\ msagent\system\smss.exe" an. So wird der Wurm bei jedem Windows-Start geladen. "%WinDir%" steht dabei für das Windows-Verzeichnis, also meist "C:\Windows" bei Windows XP Home und Windows 95/98/Me oder "C:\WINNT" bei Windows NT, 2000 und XP Prof. Zu beachten ist, dass es auch eine System-Datei von Windows mit dem Namen "smss.exe" gibt, die jedoch im Windows-System[32]-Verzeichnis liegt.

Ferner legt der Wurm im gleichen Verzeichnis wie bei seiner Version der "smss.exe" noch eine Datei mit dem Namen "zipzip.zab" an. Der Wurm versucht unter anderem die Programme "HijackThis" und "Stinger" (McAfee) zu beenden, falls sie aktiv sind.

0 Kommentare zu diesem Artikel
142193