• IT-Karriere:
  • Services:

E-Mail-Wurm mit deutschsprachigem Text im Umlauf (Update)

Sober-Wurm fälscht häufig Absenderadresse und verschleiert so die Herkunft

Im Internet kursiert derzeit ein E-Mail-Wurm namens Sober, der sich als Besonderheit mit deutschem Nachrichtentext samt deutschsprachiger Betreffzeile versendet und zudem häufig eine gefälschte Absenderadresse verwendet. Bislang registrierten die Hersteller von Antiviren-Software keine starke Verbreitung, jedoch deutet sich eine starke Ausweitung im deutschen Sprachraum an: Der seit Freitagabend aktive Wurm erreichte die Redaktion von Golem.de bereits unzählige Male, was auf eine recht hohe Verbreitung hindeutet.

Artikel veröffentlicht am ,

Der Sober-Wurm verschickt sich mit deutschsprachiger Betreffzeile sowie deutschem Nachrichtentext, wobei diese ständig wechseln und auch der Name des Anhangs sich ständig ändert. Oft scheint der Wurm auch die Absenderadresse zu fälschen und gaukelt so eine falsche Herkunft vor. Häufig gibt der Meldungstext samt Betreffzeile vor, dass die E-Mail über einen Wurm informiert, der sich auf dem eigenen System befinde. Weitere Informationen oder Abhilfe soll dann die an die Mail angehängte Datei bringen, die den Sober-Wurm erst aktiviert. Der Unhold nutzt zur Aktivierung keinerlei Sicherheitslücke und muss somit manuell gestartet werden, wobei er auf die Sorge respektive Neugier der Nutzer setzt.

Stellenmarkt
  1. TECE GmbH, Emsdetten
  2. WAHL GmbH, Unterkirnach bei Villingen-Schwenningen

Die folgenden Betreffzeilen wurden von den Herstellern von Antivirus-Software extrahiert:

Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Ich Liebe Dich
RE: Sex
Wird der mit wechselnden Namen versehene Dateianhang per Doppelklick gestartet, zeigt der Wurm eine vermeintliche Fehlermeldung in Form einer Dialogbox an. Zur Verbreitung durchsucht der Schädling lokale Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese. Die gefundenen Adressen legt Sober in der Datei Media.dll im Windows-System-Verzeichnis unter dem Ordner \Macromed\Help ab.

Nach der Aktivierung kopiert sich der Wurm in das Windows-System-Verzeichnis unter den Dateinamen drv.exe, similare.exe oder systemchk.exe und trägt sich so in die Registry ein, dass der Unhold bei einem Neustart des Rechners automatisch ausgeführt wird.

Die Hersteller von Antiviren-Software haben entsprechende Signaturdateien bereits aktualisiert und bieten diese zum Download an. Eine Aktualisierung der benutzten Antiviren-Software ist daher dringend empfohlen.

Update vom 28. Oktober 2003 um 9:05 Uhr:
Mittlerweile listet der Symantec-Artikel über den Sober-Wurm deutschsprachige Beispieltexte, welche die Gefährlichkeit des Wurms dokumentieren. Denn die Texte sind so geschrieben, dass Nutzer leicht auf diese Finte hereinfallen können und so zum Öffnen des betreffenden Wurm-Anhangs getrieben werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 27,49€
  2. 27,99€
  3. 42,99€
  4. 15,99€

Demidekata 06. Jan 2004

Lieber kju, ich wünsche Dir, daß Du neben Deiner normalen Arbeit (so Du denn eine hast...

kju 02. Jan 2004

ich find viren cool! ich nutze windows sehr viel, und finde es gut das ich mit viren sehe...

quippy 03. Nov 2003

SCR sind Bildschirmschonerdateien. Also ebenfalls exe-Dateien, die aber "ein Interface...

Sinner 28. Okt 2003

Noch einer: Habe mir extra einen falschen E-Mail Namen zugelegt um es dir nicht zu leicht...

Flans 28. Okt 2003

Nach einer Meldung hier http://mitglied.lycos.de/kochkarl23/index.php?content=home...


Folgen Sie uns
       


Elektrisches Carsharing: We Share bringt den ID.3 nach Berlin
Elektrisches Carsharing
We Share bringt den ID.3 nach Berlin

Während Share Now seine Elektroautos aus Berlin abgezogen hat, bringt We Share demnächst den ID.3 auf die Straße. Die Ladesituation bleibt angespannt.
Ein Bericht von Friedhelm Greis

  1. Verbraucherschützer Einige Elektroautos sind nicht zuverlässig genug
  2. Innovationsprämie Staatliche Förderung drückt Preise gebrauchter E-Autos
  3. Papamobil Vatikan will auf Elektroautos umstellen

Weiterbildung: Was IT-Führungskräfte können sollten
Weiterbildung
Was IT-Führungskräfte können sollten

Wenn IT-Spezialisten zu Führungskräften aufsteigen, müssen sie Fachwissen in fremden Gebieten aufbauen - um Probleme im neuen Job zu vermeiden.
Ein Bericht von Manuel Heckel

  1. IT-Profis und Visualisierung Sag's in Bildern
  2. IT-Jobs Die schwierige Suche nach dem richtigen Arbeitgeber
  3. Digitalisierung in Firmen Warum IT-Teams oft übergangen werden

Boothole: Kein Plan, keine Sicherheit
Boothole
Kein Plan, keine Sicherheit

Völlig vorhersehbare Fehler mit UEFI Secure Boot führen vermutlich noch auf Jahre zu Problemen. Vertrauen in die Technik weckt das nicht.
Ein IMHO von Sebastian Grüner


      •  /