Gefährliches Klassentreffen - Neuer Sober-Wurm unterwegs

Neuer Sober-Wurm mit deutschsprachigem Nachrichtentext verbreitet sich stark

Seit den frühen Morgenstunden des 6. Oktober 2005 verbreitet sich besonders im deutschsprachigen Bereich des Internets eine neue Variante des Sober-Wurms explosionsartig. Mit einem vermeintlichen Foto eines Klassentreffens will der Wurm seine Opfer dazu bringen, den angehängten Schadcode auszuführen und den Schädling so zu aktivieren.

Artikel veröffentlicht am ,

Der Wurm-Code der aktuellen Sober-Variante befindet sich wie üblich in dem mit der E-Mail versendeten Anhang, der in der deutschsprachigen Ausführung KlassenFoto.zip heißt. Im deutschen Nachrichtentext wird behauptet, der Dateianhang enthalte ein Foto eines kürzlich veranstalteten Klassentreffens. In der ZIP-Datei steckt dann jedoch nicht das versprochene Foto, sondern eine als Bild getarnte Exe-Datei, die den Wurm-Code enthält. Damit will der Wurm Opfer dazu bringen, die Zip-Datei zu entpacken und die darin befindliche Datei "PW_Klass.Pic.packed-bitmap.exe" zu starten, wodurch sich der Wurm auf dem System einnistet und dabei eine fingierte Fehlermeldung ausgibt.

Die Wurm-E-Mail weist die Betreffzeile "Fwd: Klassentreffen" auf und wird so an alle deutschsprachigen Domains versendet. Ansonsten erhalten Empfänger eine englischsprachige E-Mail, worin behauptet wird, die Nachricht enthalte ein neues Kennwort, das in dem Anhang namens pword_change.zip stecke.

Der deutsche Nachrichtentext lautet

hi,
ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!
ich habe jedenfalls mal unser klassenfoto von damals mit angehängt.
wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry
für die belästigung ;)

liebe grüße:

Der Text endet mit einem zufällig gewählten Vornamen hinter dem Gruß, um mit der E-Mail den Eindruck zu vermitteln, die Nachricht sei von einem Menschen geschrieben.

Auf infizierten Systemen trägt sich der Wurm so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Unhold eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Dazu werden die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.

Die Hersteller von Antivirenlösungen stellen bereits aktualisierte Signaturdateien für Virenscanner zum Download bereit, so dass man seinen Virenscanner unverzüglich aktualisieren sollte. Nach der neuen, einheitlichen Namensvergabe für Schadsoftware trägt der aktuelle Sober-Wurm die Bezeichnung CME-151.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Quatermain 09. Okt 2005

Du hast dich schon ähnlich wie der geäußert, wenn es darum ging, die Bedeutung von...

ip (Golem.de) 07. Okt 2005

genau, haben wir heute dann auch aufgegriffen https://www.golem.de/0510/40872.html

DaM 06. Okt 2005

...wird es wieder sein zu sehen wieviele Leute sich infizieren. Und auch ob wir in ein...



Aktuell auf der Startseite von Golem.de
OpenAI
Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store

Nur einen Tag, nachdem OpenAI ChatGPT für Entwickler geöffnet hat, lassen sich Angebote finden, die es nicht geben dürfte.

OpenAI: Girlfriend-Chatbots verstoßen gegen die Regeln des GPT-Store
Artikel
  1. Mitnutzung von Infrastruktur: Telekom sieht sich beim Glasfaserausbau benachteiligt
    Mitnutzung von Infrastruktur
    Telekom sieht sich beim Glasfaserausbau benachteiligt

    Die Telekom will vorhandene Leerrohre durch ein EU-Gesetz leichter mitnutzen können. Dagegen setzt der Breko auf die gemeinsame Nutzung einer Glasfaser durch Open Access.

  2. AVM: Huawei-Patent kommt in Fritzboxen nicht zum Einsatz
    AVM
    Huawei-Patent kommt in Fritzboxen nicht "zum Einsatz"

    Huawei hat einen großen Patentpool zu Wi-Fi 6. Fritzbox-Hersteller AVM hat die Patente nach eigenen Angaben in seinen Wi-Fi-6-Routern nicht genutzt, will sie aber dennoch für ungültig erklären lassen.

  3. Dune 1984: Autor findet David Lynchs Skript zum zweiten Teil von Dune
    Dune 1984
    Autor findet David Lynchs Skript zum zweiten Teil von Dune

    Der zweite Teil des 1984 erschienenen Sci-Fi-Epos Dune wurde nie Realität. Ein Skript gibt Einblicke, wann und wo der Film gespielt hätte.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Lenovo 34" 21:9 Curved WQHD 299€ • ASRock RX 7900 XTX 1.039,18€ • War Hospital 21,59€ • Amazon-Geräte -50% • Acer 34" OLED UWQHD 175Hz 999€ • PS5 + Spider-Man 2 569€ • AMD Ryzen 9 5950X 379€ • Switch-Controller 17,84€ • AOC 27" QHD 165Hz 229€ • 3 Spiele für 49€ [Werbung]
    •  /