• IT-Karriere:
  • Services:

E-Mail-Wurm mit deutschsprachigem Text im Umlauf (Update)

Sober-Wurm fälscht häufig Absenderadresse und verschleiert so die Herkunft

Im Internet kursiert derzeit ein E-Mail-Wurm namens Sober, der sich als Besonderheit mit deutschem Nachrichtentext samt deutschsprachiger Betreffzeile versendet und zudem häufig eine gefälschte Absenderadresse verwendet. Bislang registrierten die Hersteller von Antiviren-Software keine starke Verbreitung, jedoch deutet sich eine starke Ausweitung im deutschen Sprachraum an: Der seit Freitagabend aktive Wurm erreichte die Redaktion von Golem.de bereits unzählige Male, was auf eine recht hohe Verbreitung hindeutet.

Artikel veröffentlicht am ,

Der Sober-Wurm verschickt sich mit deutschsprachiger Betreffzeile sowie deutschem Nachrichtentext, wobei diese ständig wechseln und auch der Name des Anhangs sich ständig ändert. Oft scheint der Wurm auch die Absenderadresse zu fälschen und gaukelt so eine falsche Herkunft vor. Häufig gibt der Meldungstext samt Betreffzeile vor, dass die E-Mail über einen Wurm informiert, der sich auf dem eigenen System befinde. Weitere Informationen oder Abhilfe soll dann die an die Mail angehängte Datei bringen, die den Sober-Wurm erst aktiviert. Der Unhold nutzt zur Aktivierung keinerlei Sicherheitslücke und muss somit manuell gestartet werden, wobei er auf die Sorge respektive Neugier der Nutzer setzt.

Stellenmarkt
  1. über duerenhoff GmbH, München
  2. Schwarz Dienstleistung KG, Raum Neckarsulm

Die folgenden Betreffzeilen wurden von den Herstellern von Antivirus-Software extrahiert:

Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Ich Liebe Dich
RE: Sex
Wird der mit wechselnden Namen versehene Dateianhang per Doppelklick gestartet, zeigt der Wurm eine vermeintliche Fehlermeldung in Form einer Dialogbox an. Zur Verbreitung durchsucht der Schädling lokale Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese. Die gefundenen Adressen legt Sober in der Datei Media.dll im Windows-System-Verzeichnis unter dem Ordner \Macromed\Help ab.

Nach der Aktivierung kopiert sich der Wurm in das Windows-System-Verzeichnis unter den Dateinamen drv.exe, similare.exe oder systemchk.exe und trägt sich so in die Registry ein, dass der Unhold bei einem Neustart des Rechners automatisch ausgeführt wird.

Die Hersteller von Antiviren-Software haben entsprechende Signaturdateien bereits aktualisiert und bieten diese zum Download an. Eine Aktualisierung der benutzten Antiviren-Software ist daher dringend empfohlen.

Update vom 28. Oktober 2003 um 9:05 Uhr:
Mittlerweile listet der Symantec-Artikel über den Sober-Wurm deutschsprachige Beispieltexte, welche die Gefährlichkeit des Wurms dokumentieren. Denn die Texte sind so geschrieben, dass Nutzer leicht auf diese Finte hereinfallen können und so zum Öffnen des betreffenden Wurm-Anhangs getrieben werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. 860 Evo 500 GB SSD für 74,99€, Portable T5 500 GB SSD 94,99€, Evo Select microSDXC 128...
  2. (u. a. Roccat Kain 122 Aimo für 53,99€, Roccat Kain 200 Aimo für 74,99€)
  3. (reduzierte Überstände, Restposten & Co.)

Demidekata 06. Jan 2004

Lieber kju, ich wünsche Dir, daß Du neben Deiner normalen Arbeit (so Du denn eine hast...

kju 02. Jan 2004

ich find viren cool! ich nutze windows sehr viel, und finde es gut das ich mit viren sehe...

quippy 03. Nov 2003

SCR sind Bildschirmschonerdateien. Also ebenfalls exe-Dateien, die aber "ein Interface...

Sinner 28. Okt 2003

Noch einer: Habe mir extra einen falschen E-Mail Namen zugelegt um es dir nicht zu leicht...

Flans 28. Okt 2003

Nach einer Meldung hier http://mitglied.lycos.de/kochkarl23/index.php?content=home...


Folgen Sie uns
       


Cirrus7 Incus A300 - Test

Wir testen den Incus A300 von Cirrus7, einen passiv gekühlten Mini-PC für AMDs Ryzen 2000G/3000G.

Cirrus7 Incus A300 - Test Video aufrufen
Nitropad im Test: Ein sicherer Laptop, der im Alltag kaum nervt
Nitropad im Test
Ein sicherer Laptop, der im Alltag kaum nervt

Das Nitropad schützt vor Bios-Rootkits oder Evil-Maid-Angriffen. Dazu setzt es auf die freie Firmware Coreboot, die mit einem Nitrokey überprüft wird. Das ist im Alltag erstaunlich einfach, nur Updates werden etwas aufwendiger.
Ein Praxistest von Moritz Tremmel und Sebastian Grüner

  1. Nitropad X230 Nitrokey veröffentlicht abgesicherten Laptop
  2. LVFS Coreboot-Updates sollen nutzerfreundlich werden
  3. Linux-Laptop System 76 verkauft zwei Laptops mit Coreboot

Alphakanal: Gimp verrät Geheimnisse in Bildern
Alphakanal
Gimp verrät Geheimnisse in Bildern

Wer in Gimp in einem Bild mit Transparenz Bildbereiche löscht, der macht sie nur durchsichtig. Dieses wenig intuitive Verhalten kann dazu führen, dass Nutzer ungewollt Geheimnisse preisgeben.


    Videostreaming: Was an Prime Video und Netflix nervt
    Videostreaming
    Was an Prime Video und Netflix nervt

    Eine ständig anders sortierte Watchlist, ein automatisch startender Stream oder fehlende Markierungen für Aboinhalte: Oft sind es nur Kleinigkeiten, die den Spaß am Streaming vermiesen - eine Hassliste.
    Ein IMHO von Ingo Pakalski

    1. WhatsOnFlix Smartphone-App für bessere Verwaltung der Netflix-Inhalte
    2. Netflix Staffel-2-Trailer zeigt Cyberpunk-Welt von Altered Carbon
    3. Videostreaming Netflix musste Night of the Living Dead entfernen

      •  /