Wurm-Epidemie durch angeblichen WM-Ticket-Gewinn

Wie üblich steckt der Wurm-Code in dem mit der E-Mail versendeten Anhang, der die Bezeichnung LOL.zip, autoemail-text.zip, _PassWort-Info.zip, Fifa_Info-Text.zip oder okTicket-info.zip trägt. Lässt sich ein Opfer durch den deutschsprachigen Nachrichtentext dazu verleiten, das Zip-Archiv zu öffnen und die darin befindliche Datei zu starten, sorgt das für die Infizierung des Systems. Der Wurm Sober.O versendet sich mit wechselnden Nachrichtentexten, wovon einige dem Empfänger vorgaukeln, sie haben bei der Zuweisung Tickets zur Fußball-Weltmeisterschaft 2006 gewonnen.

Stellenmarkt

1. VR Payment GmbH, Frankfurt am Main
2. GKV-Spitzenverband, Berlin

Neben der Vortäuschung eines WM-Ticket-Gewinns versendet sich der Wurm auch als Fehlermeldung. Dann behauptet der E-Mail-Text, dass es beim Versand zu einem Problem gekommen sei und man alle weiteren Informationen im E-Mail-Anhang finde. Passend zu den Nachrichtentexten trägt die E-Mail wechselnde Betreffzeilen und lautet "Ihr Passwort", "Mail-Fehler!", "Ihre E-Mail wurde verweigert", "Ich bin's, was zum lachen ;)", "Glueckwunsch: Ihr WM Ticket", "WM Ticket Verlosung" oder "WM-Ticket-Auslosung". Neben deutschsprachigen Nachrichtentexten und Betreffzeilen versendet sich der Wurm auch in englischer Sprache mit vergleichbaren Aussagen.

Auf infizierten Systemen trägt sich Sober.O so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Wurm eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Dazu werden wie üblich die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann. Ist ein befallenes System nicht mit dem Internet verbunden, versucht der Wurm, eine Interneteinwahl durchzuführen.

Die meisten Anbieter von Antivirenlösungen bieten bereits aktualisierte Signaturdateien ein, so dass man dieses zügig einspielen sollte.