Rubrik: Virenwarnung/Aktuelle Meldungen

Kaspersky Labs: Wiederkehr des E-Mail-Wurms "Sober"

Wie seine Vorgänger in Deutschland geschrieben

(24.12.03) - Kaspersky Labs warnt vor "Sober.c", einer neuen Modifikation des E-Mail-Wurms Sober. Es sind bereits Meldungen über Infizierungen durch diese Malware eingegangen. Die Sober-Familie gehört zur Kategorie der E-Mail-Würmer, Schädlinge, die sich über E-Mails verbreiten. Die neue Modifikation ist bereits die dritte seit Entdeckung der ersten Version am 27. Oktober 2003. Allem Anschein nach wurde Sober.c wie seine Vorgänger in Deutschland geschrieben.

"Bis jetzt haben wir nur episodische Fälle von Infizierungen durch Sober.c festgestellt. Doch, wie die Praxis seiner Vorgänger gezeigt hat, entfaltet er am Wochenbeginn seine höchste Aktivität, wenn die Anwender die E-Mails abarbeiten, die sich übers Wochenende angesammelt haben", meint Eugene Kaspersky, Leiter der Virenforschung des Unternehmens. "Um die neue Arbeitswoche und die bevorstehenden Feiertage nicht zu verderben, empfehlen wir, die Arbeit mit dem Aktualisieren des Antiviren-Programms und einem prophylaktischen Scannen der Festplatte zu beginnen."

Gefährliche Post

Sober.c unterscheidet sich vom Original durch erweiterte Funktionen und eine perfidere Maskierung. Wie die anderen "Familienmitglieder" versucht er über infizierte E-Mails in den Rechner einzudringen. Die E-Mails selbst können ganz unterschiedlich aussehen (Text in Englisch und in Deutsch), ebenso die Namen der angehängten Dateien.

Zum Beispiel:

Betreff:

·         why me?

·         Textkörper:

·         You say in the www. that i'm a terrorist!!!

·         No way out for you. I REPORT YOU !

·         You've said THAT about me

Name der angehängten Datei:

·         terror-list.com

Es ist unbedingt darauf zu achten, dass die angehängten Dateien auch die Erweiterungen "bat", "cmd", "pif" sowie "scr" haben können. In diesem Zusammenhang möchte Kaspersky Labs die Anwender zum wiederholten Mal warnen, dass solche Dateien Malware enthalten können und vor dem Öffnen gründlich geprüft werden müssen. Denn wird die angehängte Datei leichtsinniger Weise geöffnet, lässt der Wurm eine falsche Fehlermeldung auf dem Bildschirm erscheinen und startet seine Prozedur zum Eindringen in den Rechnerspeicher.

Sober.c erstellt im Windows-Systemverzeichnis drei seiner Kopien unter zufällig gewählten Namen und registriert sie im Windows-Startverzeichnis. Dadurch stellt der Wurm seine Aktivierung bei jedem neuen Laden des Betriebssystems sicher. Anschließend beginnt Sober.c sofort mit der Prozedur für seine weitere Verbreitung. Zunächst durchsucht er den Festplatteninhalt des infizierten Rechners und pickt sich aus Dateien mit bestimmten Erweiterungen (z.B. HTML, WAB und EML) E-Mail-Adressen heraus. Dann verschickt er vom Benutzer unbemerkt an diese seine Kopien. Dazu benutzt er ein eingebautes Unterprogramm, das unter dem SMTP-Protokoll läuft.

Es sind bereits Schutzverfahren gegen Sober.c der Datenbank von Kaspersky Anti-Virus hinzugefügt worden. Detailliertere Informationen über diese Malware sind in der Kaspersky Virus Encyclopedia zu finden. (ma)

Kaspersky Labs

Ansprechpartner: Denis Zenkin

Tel. (007-095) 9485650, Fax (007-095) 9484331

E-Mail: denis.zenkin@kaspersky.com

Ansprechpartner: Andreas Lamm

Tel. (0700) 55010000, Fax (0700) 55010001

E-Mail: Andreas.Lamm@de.kaspersky.com

Web: www.kaspersky.com