E-Mail-Wurm mit deutschsprachigem Text im Umlauf (Update)

Sober-Wurm fälscht häufig Absenderadresse und verschleiert so die Herkunft

Im Internet kursiert derzeit ein E-Mail-Wurm namens Sober, der sich als Besonderheit mit deutschem Nachrichtentext samt deutschsprachiger Betreffzeile versendet und zudem häufig eine gefälschte Absenderadresse verwendet. Bislang registrierten die Hersteller von Antiviren-Software keine starke Verbreitung, jedoch deutet sich eine starke Ausweitung im deutschen Sprachraum an: Der seit Freitagabend aktive Wurm erreichte die Redaktion von Golem.de bereits unzählige Male, was auf eine recht hohe Verbreitung hindeutet.

Artikel veröffentlicht am ,

Der Sober-Wurm verschickt sich mit deutschsprachiger Betreffzeile sowie deutschem Nachrichtentext, wobei diese ständig wechseln und auch der Name des Anhangs sich ständig ändert. Oft scheint der Wurm auch die Absenderadresse zu fälschen und gaukelt so eine falsche Herkunft vor. Häufig gibt der Meldungstext samt Betreffzeile vor, dass die E-Mail über einen Wurm informiert, der sich auf dem eigenen System befinde. Weitere Informationen oder Abhilfe soll dann die an die Mail angehängte Datei bringen, die den Sober-Wurm erst aktiviert. Der Unhold nutzt zur Aktivierung keinerlei Sicherheitslücke und muss somit manuell gestartet werden, wobei er auf die Sorge respektive Neugier der Nutzer setzt.

Stellenmarkt
  1. Product Lead (f/m/d)
    NEXPLORE Technology GmbH, Essen, Darmstadt, München
  2. Systemadministrator (w/m/d) für die Verkehrszentrale Nord
    Die Autobahn GmbH des Bundes, Hamburg
Detailsuche

Die folgenden Betreffzeilen wurden von den Herstellern von Antivirus-Software extrahiert:

Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Ich Liebe Dich
RE: Sex
Wird der mit wechselnden Namen versehene Dateianhang per Doppelklick gestartet, zeigt der Wurm eine vermeintliche Fehlermeldung in Form einer Dialogbox an. Zur Verbreitung durchsucht der Schädling lokale Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese. Die gefundenen Adressen legt Sober in der Datei Media.dll im Windows-System-Verzeichnis unter dem Ordner \Macromed\Help ab.

Nach der Aktivierung kopiert sich der Wurm in das Windows-System-Verzeichnis unter den Dateinamen drv.exe, similare.exe oder systemchk.exe und trägt sich so in die Registry ein, dass der Unhold bei einem Neustart des Rechners automatisch ausgeführt wird.

Die Hersteller von Antiviren-Software haben entsprechende Signaturdateien bereits aktualisiert und bieten diese zum Download an. Eine Aktualisierung der benutzten Antiviren-Software ist daher dringend empfohlen.

Golem Karrierewelt
  1. Data Engineering mit Python und Spark: virtueller Zwei-Tage-Workshop
    18./19.01.2023, Virtuell
  2. Elastic Stack Fundamentals – Elasticsearch, Logstash, Kibana, Beats: virtueller Drei-Tage-Workshop
    14.-16.02.2023, Virtuell
Weitere IT-Trainings

Update vom 28. Oktober 2003 um 9:05 Uhr:
Mittlerweile listet der Symantec-Artikel über den Sober-Wurm deutschsprachige Beispieltexte, welche die Gefährlichkeit des Wurms dokumentieren. Denn die Texte sind so geschrieben, dass Nutzer leicht auf diese Finte hereinfallen können und so zum Öffnen des betreffenden Wurm-Anhangs getrieben werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Demidekata 06. Jan 2004

Lieber kju, ich wünsche Dir, daß Du neben Deiner normalen Arbeit (so Du denn eine hast...

kju 02. Jan 2004

ich find viren cool! ich nutze windows sehr viel, und finde es gut das ich mit viren sehe...

quippy 03. Nov 2003

SCR sind Bildschirmschonerdateien. Also ebenfalls exe-Dateien, die aber "ein Interface...

Sinner 28. Okt 2003

Noch einer: Habe mir extra einen falschen E-Mail Namen zugelegt um es dir nicht zu leicht...



Aktuell auf der Startseite von Golem.de
Metaverse
EU blamiert sich mit interaktiver Onlineparty

Rund 387.000 Euro an Kosten, fünf Besucher auf der Onlineparty: Ein EU-Projekt wollte junge Menschen als Büroklammer tanzen lassen.

Metaverse: EU blamiert sich mit interaktiver Onlineparty
Artikel
  1. Elektromobilität: Hyundai zeigt Elektrosportwagen Ioniq 5 N
    Elektromobilität
    Hyundai zeigt Elektrosportwagen Ioniq 5 N

    Hyundai hat erstmals ein Video mit dem Ioniq 5 N veröffentlicht. Das besonders sportliche Fahrzeug soll die N-Marke beleben.

  2. Patches: Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung
    Patches
    Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung

    Warum nicht gleich so? Für die von Bugs geplagten Computerspiele Pokémon Karmesin/Purpur und The Callisto Protocol gibt es Updates.

  3. IT-Projektmanager: Mehr als Excel-Schubser und Flaschenhälse
    IT-Projektmanager
    Mehr als Excel-Schubser und Flaschenhälse

    Viele IT-Teams halten ihr Projektmanagement für überflüssig. Wir zeigen drei kreative Methoden, mit denen Projektmanager wirklich relevant werden.
    Ein Ratgebertext von Jakob Rufus Klimkait und Kristin Ottlinger

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /