Sober.F: Wurm versendet sich mit deutschsprachigen Texten

Starke Verbreitung des Sober-Neulings im deutschsprachigen Internet. Wie mehrere Anbieter von Antiviren-Software übereinstimmend berichten, verbreitet sich mit Sober.F ein weiterer Ableger des Wurms derzeit besonders stark im deutschsprachigen Internet. Im Unterschied zu den weiterhin stark in Umlauf befindlichen Würmern Bagle und Netsky versendet sich der aktuelle Sober-Wurm – wie auch seine Vorgänger – mit deutschsprachigen E-Mail-Texten. Wie bei aktuellen Würmern üblich, fälscht auch dieser die Absenderadresse und verschleiert somit seine Herkunft.

5. April 2004 um 09:50 Uhr / Ingo Pakalski

Kommentare Auf Google folgen (öffnet im neuen Fenster)

Für die Verbreitung nutzt Sober.F eine eigene SMTP-Engine und sammelt E-Mail-Adressen aus verschiedenen lokalen Dateien von einem befallenen System, an die er sich dann versendet. Für Betreffzeile und Nachrichtentext greift der Unhold auf einen Fundus an Vorlagen zurück, die sowohl in deutscher als auch in englischer Sprache vorliegen und je nach Länder-Domain des Empfängers ausgewählt werden. Die Labors der Antivirenhersteller berichten, dass die deutschsprachigen Betreffzeilen der Wurm-Mail unter anderem so aussehen können:

Bestätigung
Datenbank-Fehler
Details
Einzelheiten
Fehler
Fehler in E-Mail
Fehlerhafte Mailzustellung
Hallo Du!
Hallo!
Hey Du
Hi, Ich bin's
Ich bin es .-)
Ihr Passwort
Ihr neues Passwort
Illegale Zeichen in Mail-Routing
Mailzustellung fehlgeschlagen
Na, überrascht?!
Registrierungs-Bestätigung
Verbindung fehlgeschlagen
Verdammt
Warnung!

Der Wurm-Code befindet sich wie üblich in dem mit der E-Mail versendeten Anhang, dessen Name ebenfalls aus einem Fundus an Bausteinen zusammengesetzt wird und die Endung .pif oder .zip trägt. Erst das manuelle Öffnen der angehängten Datei führt den Wurm aus und nistet sich in einem System ein. Dazu schreibt sich der Schädling so in die Registry, dass der Unhold bei jedem Windows-Neustart geladen wird.

Neues aus der Golem Karrierewelt (öffnet im neuen Fenster)

Workshops und Weiterbildungen: Bessere C++-Codequalität mit modernen Clean-Code-Prinzipien

zum Artikel

Karriere Ratgeber: Karrieretag Familienunternehmen 2026: Jetzt bewerben und durchstarten

zum Ratgeber

Seminar: KI-Agenten mit Claude Cowork, OpenClaw & Co – Praxisbeispiele & Szenarien: virtueller Ein-Tages-Workshop

zum Kurs

E-Learning: Linux-Befehlszeile für Anfänger:innen - Der Einstieg in die Welt der Linux-Befehlszeile (E-Learning)

zum Kurs

Die Hersteller von Antiviren-Lösungen stellen bereits aktualisierte Signaturdateien für Virenscanner zum Download bereit.

Zur Startseite Kommentare

Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.

Wurm gibt sich mit deutschem Text als Microsoft-Patch aus

Wurm Sober.D besitzt gefälschte Microsoft-Adresse als Absender. Wie Antivirenhersteller berichten, verbreitet sich seit der Nacht auf Montag, den 8. März 2004, ein weiterer Ableger des Sober-Wurms im Internet, der einen deutschsprachigen Mail-Text enthält. Sowohl mit dem Mail-Text als auch einer gefälschten E-Mail-Adresse will der Unhold vortäuschen, es handele sich um einen von Microsoft versendeten Sicherheits-Patch gegen dem MyDoom-Wurm.

US-Patentamt vergibt Patent für Spam- und Viren-Filter

Postini hat sich Spam- und Viren-Filter erfolgreich patentieren lassen. Wie der E-Mail-Provider Postini mitteilt, erhielt das Unternehmen bereits im November 2003 ein Patent auf einen Spam- und Viren-Filter zugesprochen, der kaum technische Besonderheiten aufweist. Damit hat das US-Patentamt erneut allgemeine technische Verfahren patentiert, wie es in der jüngsten Vergangenheit mehrfach geschehen ist.

Neuer Wurm NetSky.P nutzt uraltes IE-Sicherheitsloch

NetSky.P verbreitet sich über E-Mail und P2P-Netzwerke. Wie Anbieter von Antiviren-Software berichten, konnte sich als weiterer NetSky-Ableger die P-Variante bereits stark verbreiten. Der Unhold nutzt eine uralte Sicherheitslücke im Internet Explorer, die eine angehängte Datei in Outlook oder Outlook Express automatisch bei Ansicht der E-Mail ausführt und im Falle des Wurmes den betreffenden Rechner infiziert, sofern das Sicherheitsleck nicht gestopft wurde.

Relevante Themen