68682

Neuer Sober-Wurm breitet sich aus

06.10.2005 | 14:38 Uhr |

Mails mit dem Betreff "Klassentreffen" enthalten eine neue Variante des Sober-Wurms.

Mehrere Antivirus-Hersteller melden eine oder gar zwei neue Varianten des Sober-Wurms, die heute entdeckt wurden. Die Verbreitung ist in Deutschland durchaus spürbar, weltweit wohl eher geringer. Der Wurm verbreitet sich wie seine Vorgänger in Mails mit deutschem Betreff und Text, kennt aber auch eine englische Version.

Die deutsche Fassung der Sober-Mails kommt mit dem Betreff "Fwd: Klassentreffen", in der englischen lautet er "Your new Password". Der Text der Mails, die mit falschen Absenderangaben verschickt werden, lautet:

hi,
ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!
ich habe jedenfalls mal unser klassenfoto von damals mit angehängt.
wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry
für die belästigung ;)

liebe grüße:
<Name> (Elke, Hannelore, Kerstin, Nicole, Rita oder Sandra)

Die deutsche Mail enthält einen Anhang namens "KlassenFoto.zip", der 111 Kilobytes groß ist. Diese ZIP-Datei enthält ein Programm mit dem Dateinamen "PW_Klass.Pic.packed-bitmap.exe" - das ist der Wurm. Wird diese EXE-Datei ausgeführt, entscheint eine vorgetäuschte Fehlermeldung (siehe Abbildung):

"Error in packed file!
CRC Header must be $7ff8"

Der Wurm kopiert sich als "services.exe" in das Verzeichnis "C:\WINDOWS\ConnectionStatus\" und trägt diese Kopie in die Registry von Windows ein, damit sie beim Starten von Windows automatisch geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinINet = C:\WINDOWS\ConnectionStatus\services.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
_WinINet = C:\WINDOWS\ConnectionStatus\services.exe

Der Wurm verschickt sich dann per Mail an Andressen, die er auf dem infizierten PC findet. Als gefälschte Absenderangabe wird häufig eine GMX-Adresse benutzt. Dies scheint zu Problemen beim normalen Mail-Versand über GMX zu führen.

Der vereinheitlichte CME-Name ( Common Malware Enumeration ) dieses Wurms ist " CME-151 ". Bei Mcafee wird er als W32/Sober.r@MM geführt, bei Symantec (Norton) als W32.Sober.Q@mm . Symantec kennt noch eine weitere Variante des Wurms, die als "W32.Sober.R@mm" bezeichnet wird. Bei Trend Micro heißt der Wurm WORM_SOBER.AC , Virenscanner mit Kaspersky-Technik melden "Email-Worm.Win32.Sober.s" ( F-Secure ).

Aktualisieren Sie Ihren Virenscanner - die meisten Hersteller haben, auch außerhalb der normalen Update-Zyklen, aktualisierte Signaturen bereit gestellt oder werden dies in den nächsten Stunden tun.

Sicherheits-Newsletter: Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .

0 Kommentare zu diesem Artikel
68682