Rubrik: Virenwarnung/Aktuelle Meldungen

MessageLabs: Neue Variante der "Sober"-Familie besonders in Deutschland aktiv

"Ich hasse Dich" - Sober.C spricht Deutsch

(25.12.03) - MessageLabs hat eine beträchtliche Anzahl von Kopien einer neuen "Sober"-Variante abgefangen. Damit folgt "Sober.C-MM" nur wenige Tage auf seinen Vorgänger. Das erste Exemplar des Massmailers stammt aus Deutschland. Nach wie vor treibt der deutschsprachige Wurm sein Unwesen hauptsächlich in der Bundesrepublik: 81% aller mit Sober.C infizierten Mails haben deutsche Rechner heimgesucht.

Sober.C ist, wie seine Vorgänger, ein Massmailer, der nicht nur aus dem Adressbuch des infizierten Rechners, sondern auch aus anderen Ordnern und Dokumenten auf dessen Festplatte Adressen extrahieren kann. Zusätzlich nutzt Sober.C die Möglichkeit der Verbreitung über File-Sharing in P2P-Netzwerken. Die Betreff-Zeile sowie der Nachrichtentext infizierter Mails variieren und sind meist deutschsprachig, vereinzelte Exemplare sind in englischer Sprache. Wird das Attachment ausgeführt, so erscheint eine vorgetäuschte Fehlermeldung, die den Namen des Anhangs in Anführungszeichen enthält.

Charakteristika betroffener E-Mails

Mögliche Betreffzeilen:

·         Betr: Klassentreffen

·         Testen Sie ihren IQ

·         Bankverbindungs-Daten

·         Neuer Dialer Patch!

·         Ermittlungsverfahren wurde eingeleitet

·         Ihre IP wurde geloggt

·         Sie sind ein Raubkopierer

·         Sie tauschen illegal Dateien aus

·         Ich hasse dich

·         Ich zeige sie an!

·         Sie Drohen mir

·         you are an idiot

·         why me?

·         I hate you

·         Preliminary investigation were started

·         Your IP was logged

Mögliche Attachment-Namen:

·         www.iq4you-german-test.com

·         www.freewantiv.com

·         www.free4manga.com

·         www.free4share4you.com

·         www.tagespolitik-umfragen.com

·         www.onlinegamerspro-worm.com

·         www.freegames4you-gzone.com

·         www.boards4all-terror432.com

·         www.anime4allfree.com

·         www.animepage43252.com

·         yourmail

·         alledigis

·         aktenz

Das Attachment kann folgende Erweiterungen haben, möglicherweise zusätzlich mit vorausgehendem .txt oder .doc und einer zufälligen Zahlenkombination:

·         com

·         bat

·         cmd

·         pif

·         scr

·         exe

·         com .(ma)

MessageLabs

Office UK:

Tel: (0044-1452) 627627, Fax (0044-1452) 627628

Sales:

E-Mail: salesquery@messagelabs.com

General:

E-Mail: info@messagelabs.com

Web: www.messagelabs.com