Gefährliches Klassentreffen - Neuer Sober-Wurm unterwegs

Neuer Sober-Wurm mit deutschsprachigem Nachrichtentext verbreitet sich stark

Seit den frühen Morgenstunden des 6. Oktober 2005 verbreitet sich besonders im deutschsprachigen Bereich des Internets eine neue Variante des Sober-Wurms explosionsartig. Mit einem vermeintlichen Foto eines Klassentreffens will der Wurm seine Opfer dazu bringen, den angehängten Schadcode auszuführen und den Schädling so zu aktivieren.

Artikel veröffentlicht am ,

Der Wurm-Code der aktuellen Sober-Variante befindet sich wie üblich in dem mit der E-Mail versendeten Anhang, der in der deutschsprachigen Ausführung KlassenFoto.zip heißt. Im deutschen Nachrichtentext wird behauptet, der Dateianhang enthalte ein Foto eines kürzlich veranstalteten Klassentreffens. In der ZIP-Datei steckt dann jedoch nicht das versprochene Foto, sondern eine als Bild getarnte Exe-Datei, die den Wurm-Code enthält. Damit will der Wurm Opfer dazu bringen, die Zip-Datei zu entpacken und die darin befindliche Datei "PW_Klass.Pic.packed-bitmap.exe" zu starten, wodurch sich der Wurm auf dem System einnistet und dabei eine fingierte Fehlermeldung ausgibt.

Stellenmarkt
  1. Senior Researcher (m/w/d) - KI-basierte Dokumentenanalyse & OCR
    Fraunhofer-Institut für Intelligente Analyse- und Informationssysteme IAIS, Sankt Augustin
  2. IT-Administrator Netzwerk (w/m/d)
    Dataport, verschiedene Standorte
Detailsuche

Die Wurm-E-Mail weist die Betreffzeile "Fwd: Klassentreffen" auf und wird so an alle deutschsprachigen Domains versendet. Ansonsten erhalten Empfänger eine englischsprachige E-Mail, worin behauptet wird, die Nachricht enthalte ein neues Kennwort, das in dem Anhang namens pword_change.zip stecke.

Der deutsche Nachrichtentext lautet

hi,
ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!
ich habe jedenfalls mal unser klassenfoto von damals mit angehängt.
wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry
für die belästigung ;)

liebe grüße:

Der Text endet mit einem zufällig gewählten Vornamen hinter dem Gruß, um mit der E-Mail den Eindruck zu vermitteln, die Nachricht sei von einem Menschen geschrieben.

Golem Karrierewelt
  1. Deep-Dive Kubernetes – Observability, Monitoring & Alerting: virtueller Ein-Tages-Workshop
    22.09.2022, Virtuell
  2. Kubernetes – das Container Orchestration Framework: virtueller Vier-Tage-Workshop
    11.-14.07.2022, Virtuell
Weitere IT-Trainings

Auf infizierten Systemen trägt sich der Wurm so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Unhold eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Dazu werden die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.

Die Hersteller von Antivirenlösungen stellen bereits aktualisierte Signaturdateien für Virenscanner zum Download bereit, so dass man seinen Virenscanner unverzüglich aktualisieren sollte. Nach der neuen, einheitlichen Namensvergabe für Schadsoftware trägt der aktuelle Sober-Wurm die Bezeichnung CME-151.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Quatermain 09. Okt 2005

Du hast dich schon ähnlich wie der geäußert, wenn es darum ging, die Bedeutung von...

ip (Golem.de) 07. Okt 2005

genau, haben wir heute dann auch aufgegriffen https://www.golem.de/0510/40872.html

DaM 06. Okt 2005

...wird es wieder sein zu sehen wieviele Leute sich infizieren. Und auch ob wir in ein...



Aktuell auf der Startseite von Golem.de
TADF Technologie
Samsung kauft Cynora in Bruchsal und entlässt alle

Der Cynora-Chef wollte das deutsche Start-up zum Einhorn entwickeln. Nun wurden die Patente und die TADF-Technologie von Samsung für 300 Millionen Dollar gekauft und das Unternehmen zerschlagen.

TADF Technologie: Samsung kauft Cynora in Bruchsal und entlässt alle
Artikel
  1. Brandenburg: DNS:Net-Verteiler wegen Telekom-Werbebanner überhitzt?
    Brandenburg  
    DNS:Net-Verteiler wegen Telekom-Werbebanner überhitzt?

    Bei DNS:Net kam es in dieser Woche bei starker Hitze zu einem Netzausfall in einem Ort. Schuld soll ein Werbebanner der Konkurrenz gewesen sein.

  2. Kryptogeld: Bitcoin wieder unter 20.000 US-Dollar, Fonds vor dem Aus
    Kryptogeld
    Bitcoin wieder unter 20.000 US-Dollar, Fonds vor dem Aus

    Ein Gericht hat die Liquidation von Three Arrows Capital angeordnet. Der Bitcoin sinkt wieder unter die Grenze von 20.000 US-Dollar.

  3. Vodafone: Vantage Towers betreibt Sendestationen mit Wasserstoff
    Vodafone
    Vantage Towers betreibt Sendestationen mit Wasserstoff

    Bei der Entwicklung des Containers mit Wasserstoffmotor sind Erfahrungen aus Einsätzen bei der Flutkatastrophe im Ahrtal eingeflossen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PNY RTX 3080 12GB günstig wie nie: 929€ • MindStar (MSI RX 6700 XT 499€, G.Skill DDR4-3600 32GB 165€, AMD Ryzen 9 5900X 375€) • Nur noch heute: NBB Black Week • Top-TVs bis 53% Rabatt • Top-Gaming-PC mit AMD Ryzen 7 RTX 3070 Ti 1.700€ • Samsung Galaxy S20 FE 5G 128GB 359€ [Werbung]
    •  /