Mehrere Antivirus-Hersteller melden eine oder gar zwei neue Varianten des Sober-Wurms, die heute entdeckt wurden. Die Verbreitung ist in Deutschland durchaus spürbar, weltweit wohl eher geringer. Der Wurm verbreitet sich wie seine Vorgänger in Mails mit deutschem Betreff und Text, kennt aber auch eine englische Version.
Die deutsche Fassung der Sober-Mails kommt mit dem Betreff “Fwd: Klassentreffen”, in der englischen lautet er “Your new Password”. Der Text der Mails, die mit falschen Absenderangaben verschickt werden, lautet:
hi, ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!
wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung 😉
liebe grüße:
Die deutsche Mail enthält einen Anhang namens “KlassenFoto.zip”, der 111 Kilobytes groß ist. Diese ZIP-Datei enthält ein Programm mit dem Dateinamen “PW_Klass.Pic.packed-bitmap.exe” – das ist der Wurm. Wird diese EXE-Datei ausgeführt, entscheint eine vorgetäuschte Fehlermeldung (siehe Abbildung):
“Error in packed file! CRC Header must be $7ff8”
Der Wurm kopiert sich als “services.exe” in das Verzeichnis “C:WINDOWSConnectionStatus” und trägt diese Kopie in die Registry von Windows ein, damit sie beim Starten von Windows automatisch geladen wird:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun WinINet = C:WINDOWSConnectionStatusservices.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun _WinINet = C:WINDOWSConnectionStatusservices.exe
Der Wurm verschickt sich dann per Mail an Andressen, die er auf dem infizierten PC findet. Als gefälschte Absenderangabe wird häufig eine GMX-Adresse benutzt. Dies scheint zu Problemen beim normalen Mail-Versand über GMX zu führen.
Der vereinheitlichte CME-Name ( Common Malware Enumeration ) dieses Wurms ist ” CME-151 “. Bei Mcafee wird er als W32/Sober.r@MM geführt, bei Symantec (Norton) als W32.Sober.Q@mm . Symantec kennt noch eine weitere Variante des Wurms, die als “W32.Sober.R@mm” bezeichnet wird. Bei Trend Micro heißt der Wurm WORM_SOBER.AC , Virenscanner mit Kaspersky-Technik melden “Email-Worm.Win32.Sober.s” ( F-Secure ).
Aktualisieren Sie Ihren Virenscanner – die meisten Hersteller haben, auch außerhalb der normalen Update-Zyklen, aktualisierte Signaturen bereit gestellt oder werden dies in den nächsten Stunden tun.
Sicherheits-Newsletter: Sie möchten in punkto Sicherheit immer auf dem Laufenden bleiben? Dann abonnieren Sie doch einfach unseren kostenlosen Security-Newsletter. Dieser wird werktäglich verschickt. Bei Bedrohungen, die sofortiges Handeln erfordern, erhalten Sie zudem einen Security-Alert per Mail. Sie können den Newsletter auf dieser Website bestellen .
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.