88772

Sober.C-Wurm fegt durch Deutschland - so reagierten die Anti-Viren-Hersteller

22.12.2003 | 11:28 Uhr |

ber Mails mit Betreffzeilen wie "Ermittlungsverfahren wurde eingeleitet" und einer Nachricht, dass gegen Sie angeblich ein Verfahren wegen dem Herunterladen von Filmen, Software oder MP3-Dateien eingeleitet wurde, verbreitet sich der Win32/Sober.C-Wurm. Unzählige Leute klickten eifrig auf den Dateianhang, hinter dem sich allerdings keine Textdatei verbarg, sondern lediglich eine EXE-Datei mit dem Wurm. PC-WELT hat gemessen und sagt Ihnen, welcher Anti-Viren-Hersteller am schnellsten reagiert hat.

Über Mails mit Betreffzeilen wie "Ermittlungsverfahren wurde eingeleitet" und einer Nachricht, dass gegen Sie angeblich ein Verfahren wegen dem Herunterladen von Filmen, Software oder MP3-Dateien eingeleitet wurde, verbreitet sich der Win32/Sober.C-Wurm. Weiter heißt es dort, man würde innerhalb der nächsten Tage Post vom Staatsanwalt bekommen - vorab gibt es im Dateianhang schon einmal die Ermittlungsakte. Unzählige Leute klickten also eifrig auf den Dateianhang, hinter dem sich allerdings keine Textdatei verbarg, sondern eine EXE-Datei mit dem Wurm. Die angebliche brisante Nachricht sollte den Anwender lediglich zum unvorsichtigen Doppelklick "überreden".

Am Wochenende wurde der Wurm zum ersten Mal gesichtet, wobei er sich außerhalb des deutschsprachigen Raumes kaum verbreiten konnte. Der Sober.C benutzt einige Tricks, um seiner Erkennung und Beseitigung zu entgehen. So aktiviert er sich nicht nur einmal, sondern gleich zweimal im System, wobei jeweils eine Wurmkopie die andere überwacht. Läuft der jeweils andere Task nicht mehr, so startet der Wurm ihn neu. Somit ist es unmöglich, den Wurm manuell per Task-Manager aus dem Speicher zu entfernen.

Auch Anti-Viren-Software kann der Wurm so einfach überlisten, indem er seine Programmdateien jeweils mit exklusiven Rechten selbst öffnet - somit kann keine andere Anwendung auf diese Dateien mehr zugreifen. Die meisten Virenscanner überspringen solche "nicht zu öffnende" Dateien kommentarlos und geben nach einem Suchlauf zu Unrecht Entwarnung, dass Ihr System virenfrei wäre. Einzig Spezialreinigungsprogramme helfen, die den Wurm zunächst im Speicher ausschalten und dann das System und die Registry vom Schädling befreien. Links zu diesen Tools finden Sie auf Seite 4.

0 Kommentare zu diesem Artikel
88772