Original-URL des Artikels: https://www.golem.de/0511/41628.html    Veröffentlicht: 15.11.2005 11:01    Kurz-URL: https://glm.io/41628

Sober-Wurm startet neue Angriffswelle

Abermals starke Verbreitung von Sober-Würmern mit deutschen Nachrichtentexten

Unter anderem im deutschsprachigen Bereich des Internets machen seit den frühen Morgenstunden des 15. November 2005 gleich drei neuer Sober-Ableger die Runde, die allesamt über Spam-Listen versendet wurden. Die Würmer verschicken sich mit deutschsprachigem Nachrichtentext, in dem die Empfänger durch Tricks zum Öffnen des verseuchten Anhangs gebracht werden sollen. Im Vorfeld hatte das LKA Bayern bereits davor gewarnt, dass am heutigen 15. November 2005 eine neue Sober-Welle zu erwarten sei.

Auch die drei aktuellen Sober-Würmer weisen ähnliche Merkmale wie die Vorgänger auf: Die Würmer versenden sich mit deutschsprachigem Nachrichtentext und tragen den Wurm-Code im E-Mail-Anhang, der als ZIP-Datei versendet wird. Darin befindet sich dann immer eine ausführbare Datei, die durch ein manipuliertes Icon vorgibt, ein Dokument zu sein. Erst wenn die Empfänger des Wurms die ZIP-Datei entpacken und die darin enthaltene Datei starten, nistet sich der Schädling in den Windows-Rechner ein. Oft wird nach der Wurm-Aktivierung eine fingierte Fehlermeldung ausgegeben, um dem Opfer vorzugaukeln, dass die erwarteten Informationen auf Grund eines Dateifehlers nicht aufgerufen werden können.

Die drei neuen Sober-Ableger weisen die deutschsprachigen Betreffzeilen "Haben Sie diese EMail verschickt?", "Hi, Ich bin's" oder "Ihre eMail!" auf. Der eine neue Sober-Wurm gleicht in allen Merkmalen dem letzten Sober-Wurm aus dem Oktober 2005, so dass er eigentlich nicht als neue Variante gewertet werden kann. Aber genau vor diesem Sober-Wurm hat das LKA Bayern gewarnt. Die beiden anderen neuen Sober-Würmer fanden vom LKA keine Erwähnung, obgleich nur diese neue Merkmale tragen.

Der eine Nachrichtentext lautet:

Die andere Wurm-E-Mail versucht ihre Opfer mit folgendem Text zum Öffnen des verseuchten Anhangs zu bewegen: In einem Fall trägt der Dateianhang den Namen "Liste.zip", worin sich die als Textdatei getarnte, ausführbare Datei "reg-list-dat_packer2.exe" befindet. Der andere neue Sober-Wurm verschickt das Archiv "excel_table.zip", das die als Excel-Dokument getarnte, gleichfalls ausführbare Datei mit der Bezeichnung "exceltab-packed_list.exe" enthält.

Auf infizierten Systemen trägt sich der Wurm so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Schädling eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so weiter zu verbreiten. Dazu werden die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann. Die erste Wurm-Welle wurde über Spam-Listen verbreitet, was die immer wieder rasche Verbreitung der Sober-Würmer erklärt.

Die meisten Hersteller von Antivirenlösungen stellen bereits aktualisierte Signaturdateien für Virenscanner zum Download bereit, so dass man seinen Virenscanner unverzüglich aktualisieren sollte.

Als ungewöhnlich kann die Warnung des LKA (Landeskriminalamts) Bayern über eine bevorstehende Sober-Welle gewertet werden. Rätselhaft bleibt, warum die Fahnder vor einem Wurm warnen, der so bereits vor einem Monat zugeschlagen hatte. In einer Pressemitteilung wies das LKA jedenfalls darauf hin, dass für den heutigen 15. November 2005 ein neuer Sober-Wurm zu erwarten sei. Derzeit ist fraglich, ob die LKA-Warnung ein Hinweis darauf ist, dass die Fahnder dem oder den Verantwortlichen des Sober-Wurms auf der Spur sind.  (ip)


Verwandte Artikel:
Sober-Wurm-Welle reißt nicht ab   
(07.10.2005, https://glm.io/40872 )
Smartphones: Broadpwn-Lücke könnte drahtlosen Wurm ermöglichen   
(28.07.2017, https://glm.io/129169 )
Pyeongchang: Olympic Destroyer ist eine lernende Malware   
(14.02.2018, https://glm.io/132772 )
Incident Response: Social Engineering funktioniert als Angriffsvektor weiterhin   
(25.02.2018, https://glm.io/132972 )
Flightsim Labs: Flugsimulator-Addon klaut bei illegalen Kopien Passwörter   
(20.02.2018, https://glm.io/132882 )

© 1997–2019 Golem.de, https://www.golem.de/