Sober-Wurm verbreitet Nazi-Spam
Verseuchte Computer senden seit Sonntag massenhaft Mails mit Links zu rechter Propaganda.
Computer, die mit dem seit zwei Wochen bekannten "Wurm Sober.p" (wir berichteten) infiziert sind, versenden Spam-Mails mit rechter Propaganda. Der Wurm Sober.p lädt ein Trojanisches Pferd herunter, das diese Mails verschickt.
Dieses wird von Antivirus-Herstellern teilweise als weitere neue Sober-Variante klassifiziert (etwa "Sober.q" bei Mcafee), zum Teil wird es unter einem eigenen Namen geführt. So bezeichnet Symantec den spammenden Schädling als "Trojan.Ascetic.C", während AntiVir ihn als "TR/Spam.Sober.Q" erkennt.
Der am Pfingstsonntag in Aktion getretene Sober.q versendet Mails mit gefälschten Absenderangaben, die Links zu Web-Seiten mit teils rechtem Propagandamaterial enthalten, teils sind es Artikel in eher unverdächtigen Medien wie Spiegel, ZDF oder taz. Diese Mischung soll mutmaßlich den Eindruck erzeugen, alle verlinkten Inhalte wiesen einen vergleichbaren Wahrheitsgehalt auf. Einige der verlinkten Seiten lagen offenbar auf Servern, deren Betreiber sich mit den Inhalten nicht so recht identifizieren mochten. Diese Links laufen ins Leere.
Sober.q erstellt im Windows-Verzeichnis ein Unterverzeichnis "help/help" und kopiert sich mit den Dateinamen "csrss.exe", "services.exe" und "smss.exe" dort hinein. Die Dateien haben eine Größe von 53.801 Bytes. Er legt in diesem Verzeichis weitere Dateien an, die lokal gefundene Mail-Adressen enthalten. In den Registry-Schlüsseln
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
legt er den Eintrag "SystemBoot = %Windir%\Help\Help\services.exe" an, damit er beim Start von Windows automatisch geladen wird. Im Windows-System-Verzeichnis legt Sober.q eine Textdatei "Spammer.ReadMe" an, in der sein Programmierer mitteilt, er sei kein Spammer, könne jedoch einer werden. Am 27.05. soll Sober.q eine weitere neue Variante nachladen.
Bereits im Juni 2004 gab es einen sehr ähnlichen Fall. Damals war es zunächst Sober.g, der sich per Mail verbreitete und einige Wochen später einen Spam versendenden Schädling installierte. Dieser verbreitete dann Nazi-Propaganda. Er wurde damals meistens als "Sober.h" bezeichnet, Symantec benannte ihn bald in "Trojan.Ascetic.A" um.
