79118

Sober.I: Neue Wurm-Variante kursiert im Netz

19.11.2004 | 14:52 Uhr |

Antiviren-Experten verzeichnen derzeit eine schnelle Ausbreitung der neuen Sober-Variante Sober.I. Der Wurm ist als UPX-gepackter Anhang an Mails unterwegs.

Eine neue Variante des Wurms Sober, Sober.I, kursiert derzeit im Internet und soll sich nach Angaben von Sicherheitsexperten schnell verbreiten. Das berichtet unsere Schwesterpublikation Tecchannel .

Sober.I ist als UPX-gepackter Anhang an Mails unterwegs. Wird der Anhang geöffnet, erstellt Sober.I diverse Dateien im Windows-Systemverzeichnis, darunter zwei EXE-Files. Die Dateinamen sind zufällig aus den Zeichenkombinationen "sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service oder smss32" zusammengesetzt, was das Aufspüren der infizierten Dateien erschwert.

Nach Eintrag in die Registry durchsucht Sober eine ganze Liste von Dateien nach Mail-Adressen, um sich weiter fortpflanzen zu können. Dazu hat er eine eigene SMTP-Engine an Bord. Der Betreff der Sober-Mails ist in deutscher Sprache gehalten und tarnt sich laut H+BEDV als vermeintliche Antwort auf eine unzustellbare Mail nach dem folgenden Muster: "Ungültige Zeichen in Ihrer E-Mail -SMTP: 7407; Registration confirmation <KEY:2745>; Mailzustellung fehlgeschlagen -Damon: 4440; Re: Lieferungs-Bescheid; FwD: Mail_Delivery_failure <Esmtp:5172>; Mailer Error -8900" und so weiter.

Die Antivirenhersteller dürften mit einem Signatur-Update demnächst aufwarten.

Der Antivirenexperte Andreas Marx von AV-Test hat der PC-WELT eine Liste zukommen lassen, aus der ersichtlich wird, ob und ab wann diverse Antiviren-Programme in der Lage waren, den neuen Wurm wirksam zu bekämpfen.

Produkt

Uhrzeit

Wurm erkannt als

Antivir

07:48

Worm/Sober.I (exact)

x

Avast

-

Bitdefender

08:50

Worm32.Sober.I@mm

x

ClamAV

10:08

Worm.Sober.I

x

Command

-

Dr. Web

10:55

Win32.HLLM.Sober

x

Etrust

11:13

Win32.Sober.I

x

Fortinet

11:56

W32/Sober.I-mm

x

F-Prot

12:41

W32/Sober.J@mm

x

F-Secure

10:16

I-Worm.Sober.i

x

F-Secure (beta)

09:45

I-Worm.sober.i

x

Ikarus

-

Kaspersky

09:46

I-Worm.Sober.i

x

McAfee (Beta)

08:59

W32/Sober.j

x

McAfee

12:09

W32/Sober.j@mm

x

Norman

11:26

Sober.I.worm

x

Panda (Beta)

09:24

W32/Sober.I.worm

x

Panda

-

Quickheal

10:35

W32.Sober.I

x

Sophos

10:35

W32/Sober-I

x

Symantec

12:41

W32.Sober.I@mm

x

Trend Micro

10:09

Worm_Sober.I

x

Virenbuster

10:40

I-Worm.Sober.I

x

Aktuelle Sicherheitsnews auf www.pcwelt.de

0 Kommentare zu diesem Artikel
79118