Neuer Sober-Wurm mit deutschen Texten verbreitet sich stark

Sober.I gibt sich als vermeintliche Fehlermeldung eines Mail-Servers aus. Mit Sober.I verbreitet sich nach einer längeren Ruhephase abermals eine Sober-Variante sehr schnell im Internet und überflutete in den vergangenen Stunden die E-Mail-Postfächer zahlreicher Nutzer. Der Wurm versendet sich unter anderem in einer als angebliche Mail-Server-Fehlermeldung getarnten E-Mail mit deutschsprachigem Betreff und Nachrichtentext. Wie bei aktuellen Würmern üblich, fälscht auch dieser die Absenderadresse und verschleiert somit seine Herkunft.

19. November 2004 um 11:02 Uhr / Ingo Pakalski

Kommentare News folgen (öffnet im neuen Fenster)

Der Wurm-Code befindet sich wie üblich in dem mit der E-Mail versendeten Anhang, dessen Name aus einem Fundus an Bausteinen zusammengesetzt wird und die Endung .bat, .com, .exe, .pif, .scr oder .zip trägt. Durch entsprechend aufgemachte Betreffzeilen samt passender Nachrichtentexte vermittelt Sober.I unter anderem den Eindruck, dass es sich bei der E-Mail um eine Fehlermeldung eines Mail-Servers handele, um so potenzielle Opfer zum Öffnen der Anhänge zu bringen.

Die Betreffzeile kann etwa aus den folgenden Teilen bestehen:

    
Ungültige Zeichen in Ihrer E-Mail -SMTP
Mailzustellung fehlgeschlagen -Damon
FwD: Mail_Delivery_failure
Mailer Error
FwD: Mailer Error -Damon
invalid mail
Mail- Verbindung wurde abgebrochen -Code
Re: Lieferungs-Bescheid 
Re: Auftragsbestätigung 
Registration confirmation

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)

IT-Mitarbeiter (m/w/d) ERP, Daten & Prozesse Novopress GmbH Pressen und Presswerkzeuge & Co. KG, Neuss (öffnet im neuen Fenster)

Hardwaretechniker / IT-Systemelektroniker (m/w/d) – Computer- & Servermontage sowie Reparatur Systerra Computer GmbH, Wiesbaden (öffnet im neuen Fenster)

SAP System Manager Administration (m/w) THOMAS MAGNETE GmbH, Herdorf (öffnet im neuen Fenster)

IT-Softwareentwickler (m/w/d) KONRAD KLEINER GmbH, Mindelheim (öffnet im neuen Fenster)

Business Process & Solution Manager (w/m/d) HUK-COBURG Versicherungsgruppe, Coburg (öffnet im neuen Fenster)

Ausbildung Kaufmann/-frau für Digitalisierungsmanagement (m/w/d) Verwaltungsgesellschaft Lotto und Toto in Mecklenburg-Vorpommern mbH, Rostock (öffnet im neuen Fenster)

Systembetreuer (m/w/d) für die Pflegesoftware Connext Vivendi KWA Kuratorium Wohnen im Alter gemeinnützige AG, Unterhaching (öffnet im neuen Fenster)

Experte Konzeption Online (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)

Wird der E-Mail-Anhang manuell geöffnet, aktiviert dies den Wurm, der sich dann so in die Registry einträgt, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Wurm eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten.

Die Hersteller von Antiviren-Lösungen stellen bereits aktualisierte Signaturdateien für Virenscanner zum Download anbieten, so dass man seinen Virenscanner unverzüglich aktualisieren sollte.

Zur Startseite Kommentare

Reklame Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon

Rassistische Spam-E-Mails gehen auf das Konto von Sober.H

Versand erfolgt über mit Sober.G infizierte Systeme. Seit Donnerstag, dem 10. Juni 2004, versenden sich massenhaft Spam-E-Mails mit rassistischen und ausländerfeindlichen Botschaften in deutscher Sprache und verstopfen die E-Mail-Postfächer zahlreicher Nutzer. Wie Hersteller von Antiviren-Software berichten, steht nun Sober.H als Verursacher der Spam-Welle fest, der mit dem Wurm Sober.G befallene Systeme für den Versand verwendet.

F-Secure erkennt Sober-Wurm nicht (Update)

Bereitgestellte Patches beheben Programmfehler. Die Antiviren-Software F-Secure erkennt in verschiedenen Versionen den Wurm Sober in den Varianten D und G nicht zuverlässig, weshalb der Hersteller passende Patches zur Abhilfe bereitstellt. F-Secure rät allen Anwendern, die Patches unverzüglich zu installieren.

Dabber knöpft sich Sasser und andere Würmer vor

Weiterer Sober-Ableger mit deutschsprachigem Nachrichtentext unterwegs. Wie Hersteller von Antiviren-Software berichten, verbreitet sich mit Dabber.A ein neuer Wurm im Internet, der eine Sicherheitslücke in Sasser ausnutzt, um sich darüber zu verbreiten und andere Würmer auf einem befallenen System zu entfernen. Außerdem wurde mit Sober.G eine weitere Variante des Wurms entdeckt, der sich unter anderem mit deutschsprachigem Nachrichtentext versendet und sich bereits recht stark verbreiten konnte.

Relevante Themen