Sober-Wurm startet neue Angriffswelle

Die andere Wurm-E-Mail versucht ihre Opfer mit folgendem Text zum Öffnen des verseuchten Anhangs zu bewegen:

Guten Tag,
jemand schickte mir eine Mail mit einer Excel oder Access Tabelle (kenne
mich da nicht so aus!).
Jedenfalls ist diese Mail aber an ihre Mail Adresse adressiert, aber zu
meiner gekommen??? Ist wohl irgendein Fehler.

Ok, hier haben Sie sie wieder zurueck!

gruss

In einem Fall trägt der Dateianhang den Namen "Liste.zip", worin sich die als Textdatei getarnte, ausführbare Datei "reg-list-dat_packer2.exe" befindet. Der andere neue Sober-Wurm verschickt das Archiv "excel_table.zip", das die als Excel-Dokument getarnte, gleichfalls ausführbare Datei mit der Bezeichnung "exceltab-packed_list.exe" enthält.

Auf infizierten Systemen trägt sich der Wurm so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Schädling eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so weiter zu verbreiten. Dazu werden die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann. Die erste Wurm-Welle wurde über Spam-Listen verbreitet, was die immer wieder rasche Verbreitung der Sober-Würmer erklärt.

Die meisten Hersteller von Antivirenlösungen stellen bereits aktualisierte Signaturdateien für Virenscanner zum Download bereit, so dass man seinen Virenscanner unverzüglich aktualisieren sollte.

Als ungewöhnlich kann die Warnung des LKA (Landeskriminalamts) Bayern über eine bevorstehende Sober-Welle gewertet werden. Rätselhaft bleibt, warum die Fahnder vor einem Wurm warnen, der so bereits vor einem Monat zugeschlagen hatte. In einer Pressemitteilung wies das LKA jedenfalls darauf hin, dass für den heutigen 15. November 2005 ein neuer Sober-Wurm zu erwarten sei. Derzeit ist fraglich, ob die LKA-Warnung ein Hinweis darauf ist, dass die Fahnder dem oder den Verantwortlichen des Sober-Wurms auf der Spur sind.