Abo
  • Services:
Anzeige

Starke Verbreitung eines weiteren Wurms mit deutschem Text

Aktueller Wurm vermutlich ein weiterer Sober-Ableger

Am 6. Oktober 2005 gegen 10:30 Uhr erreichte die Redaktion von Golem.de eine Flut eines weiteren E-Mail-Wurms, der ähnliche Merkmale trägt wie der wenige Stunden zuvor bekannt gewordene Sober-Wurm und sich explosionsartig verbreitet. Somit liegt die Vermutung nahe, dass sich eine weitere Sober-Abart unter anderem im deutschsprachigen Teil des Internets stark verbreitet.

Der frisch entdeckte Wurm trägt den Schadcode in dem mit der E-Mail versendeten Anhang, der in den Golem.de vorliegenden Mustern PrivatFoto.zip heißt. Der deutsche Nachrichtentext gibt vor, der Dateianhang enthalte ein falsch zugestelltes Foto. In der ZIP-Datei steckt dann eine als Bild getarnte Exe-Datei, die den Wurm-Code enthält. Der Nachrichtentext soll das Opfer dazu bewegen, die Zip-Datei zu entpacken und die darin befindliche Datei "Screen_Photo.jpeg-graphic1.exe" zu starten, wodurch sich der Wurm auf dem System einnistet.

Anzeige

Die Wurm-E-Mail weist die Betreffzeile "Bcc: Ich habe Ihre Mail erhalten!" auf und wird so an alle deutschsprachigen Domains versendet. Sofern die Hinweise stimmen, dass es sich hierbei um einen weiteren Sober-Ableger handelt, verschickt sich der Wurm in einer weiteren Variante mit englischsprachigem Betreff. Derzeit liegen noch keine Informationen aus den Labors der Anbieter von Antivirenlösungen vor, so dass genauere Angaben nicht gemacht werden können.

Der deutsche Nachrichtentext lautet

Danke für Ihre Mail ....
Sie haben aber Ihre Mail wahrscheinlich falsch adressiert,,, nämlich an
mich. Ich kenne sie aber nicht!

Oder Ihr Provider hat die Mail falsch weiter geleitet!?

Um mich zu entlasten, schicke ich Ihnen das (...) Foto wieder zurück.

MfG
Sender

Höchstwahrscheinlich trägt sich der gerade entdeckte Wurm auf infizierten Systemen so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Unhold vermutlich eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Für den Versand werden zudem sicherlich die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann.

Noch liegen keine Details zu dem neuen Wurm von den Herstellern von Antiviren-Applikationen vor, so dass sich die gemachten Beobachtungen bislang nicht bestätigen lassen.

Nachtrag vom 6. Oktober 2005 um 13:50 Uhr:
Mittlerweile klassifizieren die Hersteller von Antivirenlösungen den hier beschriebenen Wurm als Sober.R bzw. Sober.Q und bestätigen die von Golem.de gemachten Vermutungen, was die Arbeitsweise des Schädlings betrifft.


eye home zur Startseite
Klasus 15. Nov 2005

Ist uns auch schon passiert bzw. wir wissen es nicht genau, jedenfalls haben wir die...

Deffel 06. Okt 2005

Schlipsträger (in diesem Fall ja denn Coder) würden dann aber nen richtigen Virus ins...

Ihr Name: 06. Okt 2005

Deutschland zu dir ich steh zum Teufel mit der BRD.

Misdemeanor 06. Okt 2005

Ich kann das o.g. auch bestätigen, gestern Nacht erreichte mich eine solche E-Mail mit...

Jörg 06. Okt 2005

...ist, dass ich diesen Text schon vor etwa einem Jahr gelesen hatte.


Shopanbieter News und Artikel / 06. Okt 2005



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. eg factory GmbH, Chemnitz
  3. escrypt GmbH Embedded Security, Bochum
  4. BWI GmbH, Rheinbach


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Two Point Hospital

    Sega stellt Quasi-Nachfolger zu Theme Hospital vor

  2. Callya

    Vodafones Prepaid-Tarife erhalten mehr Datenvolumen

  3. Skygofree

    Kaspersky findet mutmaßlichen Staatstrojaner

  4. World of Warcraft

    Schwierigkeitsgrad skaliert in ganz Azeroth

  5. Open Source

    Microsoft liefert Curl in Windows 10 aus

  6. Boeing und SpaceX

    Experten warnen vor Sicherheitsmängeln bei Raumfähren

  7. Tencent

    Lego will mit Tencent in China digital expandieren

  8. Beta-Update

    Gesichtsentsperrung für Oneplus Three und 3T verfügbar

  9. Matthias Maurer

    Ein Astronaut taucht unter

  10. Luftfahrt

    Boeing entwickelt Hyperschall-Spionageflugzeug



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Sgnl im Hands on: Sieht blöd aus, funktioniert aber
Sgnl im Hands on
Sieht blöd aus, funktioniert aber
  1. Displaytechnik Samsung soll faltbares Smartphone auf CES gezeigt haben
  2. Digitale Assistenten Hey, Google und Alexa, mischt euch nicht überall ein!
  3. MX Low Profile im Hands On Cherry macht die Switches flach

EU-Urheberrechtsreform: Abmahnungen treffen "nur die Dummen"
EU-Urheberrechtsreform
Abmahnungen treffen "nur die Dummen"
  1. Leistungsschutzrecht EU-Kommission hält kritische Studie zurück
  2. Leistungsschutzrecht EU-Staaten uneins bei Urheberrechtsreform
  3. Breitbandausbau Oettinger bedauert Privatisierung der Telekom

Security: Das Jahr, in dem die Firmware brach
Security
Das Jahr, in dem die Firmware brach
  1. Wallet Programmierbare Kreditkarte mit ePaper, Akku und Mobilfunk
  2. Fehlalarm Falsche Raketenwarnung verunsichert Hawaii
  3. Asynchronous Ratcheting Tree Facebook demonstriert sicheren Gruppenchat für Apps

  1. Re: So wird das aber nichts Kaspersky...

    ArcherV | 18:51

  2. Re: Tarif mit ~300MB und ~30min/SMS gesucht

    Stupendous Man | 18:50

  3. Re: Lieber die Telekom als sonst wer?

    RipClaw | 18:49

  4. Re: Gute Shell

    Googlebot4711 | 18:45

  5. Re: Sinnlos

    Gromran | 18:44


  1. 17:48

  2. 17:00

  3. 16:25

  4. 15:34

  5. 15:05

  6. 14:03

  7. 12:45

  8. 12:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel