Abo
  • Services:
Anzeige

Gefährliches Klassentreffen - Neuer Sober-Wurm unterwegs

Neuer Sober-Wurm mit deutschsprachigem Nachrichtentext verbreitet sich stark

Seit den frühen Morgenstunden des 6. Oktober 2005 verbreitet sich besonders im deutschsprachigen Bereich des Internets eine neue Variante des Sober-Wurms explosionsartig. Mit einem vermeintlichen Foto eines Klassentreffens will der Wurm seine Opfer dazu bringen, den angehängten Schadcode auszuführen und den Schädling so zu aktivieren.

Der Wurm-Code der aktuellen Sober-Variante befindet sich wie üblich in dem mit der E-Mail versendeten Anhang, der in der deutschsprachigen Ausführung KlassenFoto.zip heißt. Im deutschen Nachrichtentext wird behauptet, der Dateianhang enthalte ein Foto eines kürzlich veranstalteten Klassentreffens. In der ZIP-Datei steckt dann jedoch nicht das versprochene Foto, sondern eine als Bild getarnte Exe-Datei, die den Wurm-Code enthält. Damit will der Wurm Opfer dazu bringen, die Zip-Datei zu entpacken und die darin befindliche Datei "PW_Klass.Pic.packed-bitmap.exe" zu starten, wodurch sich der Wurm auf dem System einnistet und dabei eine fingierte Fehlermeldung ausgibt.

Anzeige

Die Wurm-E-Mail weist die Betreffzeile "Fwd: Klassentreffen" auf und wird so an alle deutschsprachigen Domains versendet. Ansonsten erhalten Empfänger eine englischsprachige E-Mail, worin behauptet wird, die Nachricht enthalte ein neues Kennwort, das in dem Anhang namens pword_change.zip stecke.

Der deutsche Nachrichtentext lautet

hi,
ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!
ich habe jedenfalls mal unser klassenfoto von damals mit angehängt.
wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry
für die belästigung ;)

liebe grüße:

Der Text endet mit einem zufällig gewählten Vornamen hinter dem Gruß, um mit der E-Mail den Eindruck zu vermitteln, die Nachricht sei von einem Menschen geschrieben.

Auf infizierten Systemen trägt sich der Wurm so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Unhold eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Dazu werden die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.

Die Hersteller von Antivirenlösungen stellen bereits aktualisierte Signaturdateien für Virenscanner zum Download bereit, so dass man seinen Virenscanner unverzüglich aktualisieren sollte. Nach der neuen, einheitlichen Namensvergabe für Schadsoftware trägt der aktuelle Sober-Wurm die Bezeichnung CME-151.


eye home zur Startseite
Quatermain 09. Okt 2005

Du hast dich schon ähnlich wie der geäußert, wenn es darum ging, die Bedeutung von...

ip (Golem.de) 07. Okt 2005

genau, haben wir heute dann auch aufgegriffen https://www.golem.de/0510/40872.html

DaM 06. Okt 2005

...wird es wieder sein zu sehen wieviele Leute sich infizieren. Und auch ob wir in ein...


SanDiego / 06. Okt 2005

Klassentreffen mit Elke

Shopanbieter News und Artikel / 06. Okt 2005



Anzeige

Stellenmarkt
  1. ING-DiBa AG, Nürnberg, Frankfurt
  2. ETAS GmbH & Co. KG, Stuttgart
  3. Robert Bosch GmbH, Ludwigsburg
  4. IT Baden-Württemberg (BITBW), Stuttgart


Anzeige
Blu-ray-Angebote
  1. Einzelne Folge für 2,99€ oder ganze Staffel für 19,99€ kaufen (Amazon Video)
  2. (u. a. Resident Evil: Vendetta 14,99€, John Wick: Kapitel 2 9,99€, Fight Club 8,29€ und...

Folgen Sie uns
       


  1. Luminar

    Lightroom-Konkurrenz bringt sich in Stellung

  2. Kleinrechner

    Tim Cook verspricht Update für Mac Mini

  3. Elektrorennwagen

    VW will elektrisch auf den Pikes Peak

  4. Messung

    Über 23.000 Funklöcher in Brandenburg

  5. Star Wars Battlefront 2 Angespielt

    Sternenkrieger-Kampagne rund um den Todesstern

  6. Nach Wahlniederlage

    Netzpolitiker Klingbeil soll SPD-Generalsekrektär werden

  7. Adasky

    Autonome Autos sollen im Infrarot-Bereich sehen

  8. Münsterland

    Deutsche Glasfaser baut weiter in Nordrhein-Westfalen aus

  9. Infineon

    BSI zertifiziert unsichere Verschlüsselung

  10. R-PHY- und R-MACPHY

    Kabelnetzbetreiber müssen sich nicht mehr festlegen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
ZFS ausprobiert: Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
ZFS ausprobiert
Ein Dateisystem fürs Rechenzentrum im privaten Einsatz
  1. Librem 5 Purism zeigt Funktionsprototyp für freies Linux-Smartphone
  2. Pipewire Fedora bekommt neues Multimedia-Framework
  3. Linux-Desktops Gnome 3.26 räumt die Systemeinstellungen auf

Verschlüsselung: Niemand hat die Absicht, TLS zu knacken
Verschlüsselung
Niemand hat die Absicht, TLS zu knacken
  1. TLS-Zertifikate Zertifizierungsstellen müssen CAA-Records prüfen
  2. Apache-Lizenz 2.0 OpenSSL-Lizenzwechsel führt zu Code-Entfernungen
  3. Certificate Transparency Webanwendungen hacken, bevor sie installiert sind

Zotac Zbox PI225 im Test: Der Kreditkarten-Rechner
Zotac Zbox PI225 im Test
Der Kreditkarten-Rechner

  1. Re: Darum wird sich Linux nie so richtig durchsetzen

    david_rieger | 07:42

  2. Hilfe ohne Cookies sind wir geliefert.... Rumheul

    jones1024 | 07:41

  3. Re: Regierung kann die Betreiber nicht zwingen

    robinx999 | 07:26

  4. Re: 400-650g R1234yf pro Fahrzeug

    AllDayPiano | 07:23

  5. Re: Heult doch!

    whitbread | 07:19


  1. 07:28

  2. 07:13

  3. 18:37

  4. 18:18

  5. 18:03

  6. 17:50

  7. 17:35

  8. 17:20


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel