Sober.I: Neue Wurm-Variante kursiert im Netz
Antiviren-Experten verzeichnen derzeit eine schnelle Ausbreitung der neuen Sober-Variante Sober.I. Der Wurm ist als UPX-gepackter Anhang an Mails unterwegs.
Eine neue Variante des Wurms Sober, Sober.I, kursiert derzeit im Internet und soll sich nach Angaben von Sicherheitsexperten schnell verbreiten. Das berichtet unsere Schwesterpublikation Tecchannel.
Sober.I ist als UPX-gepackter Anhang an Mails unterwegs. Wird der Anhang geöffnet, erstellt Sober.I diverse Dateien im Windows-Systemverzeichnis, darunter zwei EXE-Files. Die Dateinamen sind zufällig aus den Zeichenkombinationen "sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service oder smss32" zusammengesetzt, was das Aufspüren der infizierten Dateien erschwert.
Nach Eintrag in die Registry durchsucht Sober eine ganze Liste von Dateien nach Mail-Adressen, um sich weiter fortpflanzen zu können. Dazu hat er eine eigene SMTP-Engine an Bord. Der Betreff der Sober-Mails ist in deutscher Sprache gehalten und tarnt sich laut H+BEDV als vermeintliche Antwort auf eine unzustellbare Mail nach dem folgenden Muster: "Ungültige Zeichen in Ihrer E-Mail -SMTP: 7407; Registration confirmation <KEY:2745>; Mailzustellung fehlgeschlagen -Damon: 4440; Re: Lieferungs-Bescheid; FwD: Mail_Delivery_failure <Esmtp:5172>; Mailer Error -8900" und so weiter.
Nach Eintrag in die Registry durchsucht Sober eine ganze Liste von Dateien nach Mail-Adressen, um sich weiter fortpflanzen zu können. Dazu hat er eine eigene SMTP-Engine an Bord. Der Betreff der Sober-Mails ist in deutscher Sprache gehalten und tarnt sich laut H+BEDV als vermeintliche Antwort auf eine unzustellbare Mail nach dem folgenden Muster: "Ungültige Zeichen in Ihrer E-Mail -SMTP: 7407; Registration confirmation <KEY:2745>; Mailzustellung fehlgeschlagen -Damon: 4440; Re: Lieferungs-Bescheid; FwD: Mail_Delivery_failure <Esmtp:5172>; Mailer Error -8900" und so weiter.
Die Antivirenhersteller dürften mit einem Signatur-Update demnächst aufwarten.
Der Antivirenexperte Andreas Marx von AV-Test hat der PC-WELT eine Liste zukommen lassen, aus der ersichtlich wird, ob und ab wann diverse Antiviren-Programme in der Lage waren, den neuen Wurm wirksam zu bekämpfen.
| Produkt | Uhrzeit | Wurm erkannt als | |
|---|---|---|---|
| Antivir | 07:48 | Worm/Sober.I (exact) | x |
| Avast | - | ||
| Bitdefender | 08:50 | Worm32.Sober.I@mm | x |
| ClamAV | 10:08 | Worm.Sober.I | x |
| Command | - | ||
| Dr. Web | 10:55 | Win32.HLLM.Sober | x |
| Etrust | 11:13 | Win32.Sober.I | x |
| Fortinet | 11:56 | W32/Sober.I-mm | x |
| F-Prot | 12:41 | W32/Sober.J@mm | x |
| F-Secure | 10:16 | I-Worm.Sober.i | x |
| F-Secure (beta) | 09:45 | I-Worm.sober.i | x |
| Ikarus | - | ||
| Kaspersky | 09:46 | I-Worm.Sober.i | x |
| McAfee (Beta) | 08:59 | W32/Sober.j | x |
| McAfee | 12:09 | W32/Sober.j@mm | x |
| Norman | 11:26 | Sober.I.worm | x |
| Panda (Beta) | 09:24 | W32/Sober.I.worm | x |
| Panda | - | ||
| Quickheal | 10:35 | W32.Sober.I | x |
| Sophos | 10:35 | W32/Sober-I | x |
| Symantec | 12:41 | W32.Sober.I@mm | x |
| Trend Micro | 10:09 | Worm_Sober.I | x |
| Virenbuster | 10:40 | I-Worm.Sober.I | x |
