E-Mail-Wurm mit deutschsprachigem Text im Umlauf (Update)

Sober-Wurm fälscht häufig Absenderadresse und verschleiert so die Herkunft

Im Internet kursiert derzeit ein E-Mail-Wurm namens Sober, der sich als Besonderheit mit deutschem Nachrichtentext samt deutschsprachiger Betreffzeile versendet und zudem häufig eine gefälschte Absenderadresse verwendet. Bislang registrierten die Hersteller von Antiviren-Software keine starke Verbreitung, jedoch deutet sich eine starke Ausweitung im deutschen Sprachraum an: Der seit Freitagabend aktive Wurm erreichte die Redaktion von Golem.de bereits unzählige Male, was auf eine recht hohe Verbreitung hindeutet.

Artikel veröffentlicht am ,

Der Sober-Wurm verschickt sich mit deutschsprachiger Betreffzeile sowie deutschem Nachrichtentext, wobei diese ständig wechseln und auch der Name des Anhangs sich ständig ändert. Oft scheint der Wurm auch die Absenderadresse zu fälschen und gaukelt so eine falsche Herkunft vor. Häufig gibt der Meldungstext samt Betreffzeile vor, dass die E-Mail über einen Wurm informiert, der sich auf dem eigenen System befinde. Weitere Informationen oder Abhilfe soll dann die an die Mail angehängte Datei bringen, die den Sober-Wurm erst aktiviert. Der Unhold nutzt zur Aktivierung keinerlei Sicherheitslücke und muss somit manuell gestartet werden, wobei er auf die Sorge respektive Neugier der Nutzer setzt.

Stellenmarkt
  1. Systemadministrator (w/m/d) Applikationsbetrieb
    Oberfinanzdirektion Karlsruhe, Karlsruhe
  2. Mitarbeiter*in im Bereich Informations- und Kommunikationstechnik (m/w/d)
    Landeshauptstadt Stuttgart, Stuttgart
Detailsuche

Die folgenden Betreffzeilen wurden von den Herstellern von Antivirus-Software extrahiert:

Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Ich Liebe Dich
RE: Sex
Wird der mit wechselnden Namen versehene Dateianhang per Doppelklick gestartet, zeigt der Wurm eine vermeintliche Fehlermeldung in Form einer Dialogbox an. Zur Verbreitung durchsucht der Schädling lokale Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese. Die gefundenen Adressen legt Sober in der Datei Media.dll im Windows-System-Verzeichnis unter dem Ordner \Macromed\Help ab.

Nach der Aktivierung kopiert sich der Wurm in das Windows-System-Verzeichnis unter den Dateinamen drv.exe, similare.exe oder systemchk.exe und trägt sich so in die Registry ein, dass der Unhold bei einem Neustart des Rechners automatisch ausgeführt wird.

Die Hersteller von Antiviren-Software haben entsprechende Signaturdateien bereits aktualisiert und bieten diese zum Download an. Eine Aktualisierung der benutzten Antiviren-Software ist daher dringend empfohlen.

Update vom 28. Oktober 2003 um 9:05 Uhr:
Mittlerweile listet der Symantec-Artikel über den Sober-Wurm deutschsprachige Beispieltexte, welche die Gefährlichkeit des Wurms dokumentieren. Denn die Texte sind so geschrieben, dass Nutzer leicht auf diese Finte hereinfallen können und so zum Öffnen des betreffenden Wurm-Anhangs getrieben werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Demidekata 06. Jan 2004

Lieber kju, ich wünsche Dir, daß Du neben Deiner normalen Arbeit (so Du denn eine hast...

kju 02. Jan 2004

ich find viren cool! ich nutze windows sehr viel, und finde es gut das ich mit viren sehe...

quippy 03. Nov 2003

SCR sind Bildschirmschonerdateien. Also ebenfalls exe-Dateien, die aber "ein Interface...

Sinner 28. Okt 2003

Noch einer: Habe mir extra einen falschen E-Mail Namen zugelegt um es dir nicht zu leicht...

Flans 28. Okt 2003

Nach einer Meldung hier http://mitglied.lycos.de/kochkarl23/index.php?content=home...



Aktuell auf der Startseite von Golem.de
Carvera
CNC-Fräse für den Tisch wechselt Aufsätze selbstständig

Die Carvera ist eine CNC-Maschine und Drehbank für Hobbybastler. Das System wechselt Aufsätze selbstständig, ist aber nicht günstig.

Carvera: CNC-Fräse für den Tisch wechselt Aufsätze selbstständig
Artikel
  1. Chorus angespielt: Automatischer Arschtritt im All
    Chorus angespielt
    Automatischer Arschtritt im All

    Knopfdruck, Teleport hinter Feind, Abschuss: Das Weltraumspiel Chorus will mit Story, Grafik und Ideen punkten. Golem.de hat es angespielt.
    Von Peter Steinlechner

  2. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade  
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

  3. Autonomes Fahren: Was Elon Musk auf dem Radar haben sollte
    Autonomes Fahren
    Was Elon Musk auf dem Radar haben sollte

    Außer Tesla setzen fast alle Autohersteller auf Radarsysteme beim autonomen Fahren. Die Sensortechnik ist noch lange nicht ausgereizt.
    Ein Bericht von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 27" WQHD 144Hz 260,91€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital mit FIFA 22 bei o2 bestellbar [Werbung]
    •  /