Weiterer Wurm mit deutschem Nachrichtentext verbreitet sich

Variante von Sober.N vermehrt sich stark

Nachdem sich seit dem gestrigen 19. April 2005 eine weitere Abart des Sober-Wurms sehr stark im deutschsprachigen Bereich des Internets verbreitet, konnte sich bereits in den Abendstunden des 19. April 2005 eine weitere Variante von Sober.N massiv im Internet vermehren. Auch der Neuling ist wieder mit deutschsprachigem Nachrichtentext unterwegs und will Nutzer dazu bringen, die im Anhang befindliche Wurm-Datei zu öffnen.

Artikel veröffentlicht am ,

Der Wurm-Code befindet sich wie üblich in dem mit der E-Mail versendeten Anhang, der als mail-dokumente.zip oder als mailtext_doc.zip daherkommt. Im Nachrichtentext gibt der Wurm vor, dass der Absender eine neue E-Mail-Adresse anlegen musste und im komprimierten ZIP-Archiv E-Mails enthalten seien, die zum Teil unvollständig seien. Der Empfänger wird dann gebeten, die Nachrichten in dem ZIP-Archiv durchzusehen. Tatsächlich steckt darin allerdings die Wurm-Datei mit dem Namen Winword_document-WinZipped.exe, der zudem ein Word-Icon zugewiesen ist. Opfer sollen durch diese Art und Weise zum Ausführen der getarnten Exe-Datei gebracht werden, damit der Wurm das System befallen kann.

Stellenmarkt
  1. (Junior) Software Developer C# / .NET (m/w/d)
    WEGMANN automotive GmbH, Veitshöchheim, Würzburg
  2. Biometrikerin / Biometriker - Biometrie, Statistik, Datenmanagement
    Universitätsklinikum Frankfurt, Frankfurt am Main
Detailsuche

Die Wurm-E-Mail weist die deutsche Betreffzeile "Wichtig: Ich habe eine neue EMail-Adresse!" auf und wird an alle deutschsprachigen Domains versendet. Ansonsten erhalten Empfänger eine englischsprachige E-Mail, worin ebenfalls behauptet wird, dass der Absender eine neue E-Mail-Adresse habe.

Der deutsche Nachrichtentext lautet

Hey, ich bin es.
Ich musste mir eine neue Mail-Adresse machen.
Bei meiner alten stimmte irgend etwas nicht mehr. Meine Mails sind nur
noch zur haelfte oder gar nicht angekommen bzw. verschickt worden.

Ich den letzen paar Tagen habe ich einige zerstueckelte Mails bekommen.
Ich nehme mal an, das einige von Dir waren??

Schau mal nach ob die von dir sind. Manche scheinen sehr Wichtig zu 
sein aber da sind unvollstaendig sind, kann ich damit wenig anfangen.

OK, melde dich dann mal

Auf infizierten Systemen trägt sich Sober.N so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Wurm eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Dazu werden die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann. Ist ein befallenes System nicht mit dem Internet verbunden, versucht der Wurm, eine Interneteinwahl durchzuführen.

Golem Karrierewelt
  1. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
  2. Informationssicherheit in der Automobilindustrie nach VDA-ISA und TISAX® mit Zertifikat: Zwei-Tage-Workshop
    22./23.11.2022, Virtuell
Weitere IT-Trainings

Noch kennen die meisten Antivirenhersteller den Wurm nicht, so dass noch mit einer Wartezeit zu rechnen ist, bis aktualisierte Signaturdateien bereitstehen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
James Webb Space Telescope
Das Weltraumteleskop wird mit Javascript betrieben

Die in der Raumfahrt verwendete Software ist manchmal kurios. Im Fall des JWST wird das ISIM mit Javascript kontrolliert und betrieben.

James Webb Space Telescope: Das Weltraumteleskop wird mit Javascript betrieben
Artikel
  1. Betrug: Wenn die Phishing-Mail wirklich von Paypal kommt
    Betrug
    Wenn die Phishing-Mail wirklich von Paypal kommt

    Die E-Mail stammt von Paypals Servern und weist auf eine unter Paypal.com einsehbare Transaktion hin. Doch hinter E-Mail und Hotline stecken Betrüger.

  2. ADAC-Test: Elektroautos als Zugmaschinen - was bringt's?
    ADAC-Test
    Elektroautos als Zugmaschinen - was bringt's?

    Der ADAC hat den Stromverbrauch von Elektroautos mit Anhängern und Fahrradgepäckträgern gemessen. Gute Noten gibt es dabei keine.

  3. Botnetz: Google blockiert Rekord-DDoS-Angriff
    Botnetz
    Google blockiert Rekord-DDoS-Angriff

    Für einen Kunden konnte Google den größten HTTPS-basierten DDoS-Angriff mit 46 Millionen Anfragen pro Sekunde abwehren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (MSI RTX 3090 Gaming 1.269€, Seagate Festplatte ext. 18 TB 295€) • PS5-Deals (Uncharted Legacy of Thieves 15,38€, Horzizon FW 39,99€) • HP HyperX Gaming-Maus -51% • Alternate (Kingston Fury DDR5-6000 32GB 219,90€ statt 246€) • Samsung Galaxy S22+ 5G 128 GB 839,99€ [Werbung]
    •  /