Rubrik: Virenwarnung/Aktuelle Meldungen

F-Secure: Neue Variante des Wurms "Sober" verunsichert Anwender

"Sober.D" gibt sich als Update von Microsoft aus

(10.03.04) - F-Secure warnt vor einer neuen Variante des E-Mail Wurms "Sober". "Sober.D" täuscht Anwender, indem er sich als Update von Microsoft zur Entfernung des Mydoom-Wurms ausgibt. Der Wurm wurde mit Visual Basic programmiert und mit einer modifizierten Version des UPX File-Compressor gepackt. Zu seiner Verbreitung durchsucht der Wurm die Festplatten infizierter Rechner nach E-Mail Adressen und nutzt seine eigene SMTP-Engine, um E-Mails mit dem Wurm-Code in einem EXE-Anhang oder in einem ZIP-Archiv zu verschicken. Klickt der Anwender auf den Anhang, installiert sich statt des Microsoft-Patches der Wurm. Wenn Sober.D sich an E-Mail-Adressen mit der Endung DE, CH, AT, LI, NL oder BE sowie an Adressen mit dem Bestandteil "@gmx" verschickt, nutzt er eine deutsche E-Mail-Nachricht. Bei allen anderen Adressen ist die E-Mail in Englisch verfasst.

Anzeige

Eine E-Mail-Nachricht, die Sober.D enthält, sieht folgendermaßen aus:

Betreff: Microsoft Alarm: Bitte Lesen!

E-Mail-Text:

Neue Virus-Variante W32.Mydoom verbreitet sich schnell.

Eine neue Mydoom-Variante verbreitet sich derzeit rasend schnell im Internet. Wie seine Vorgänger verschickt sich der Wurm von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Zudem installiert er auf infizierten Systemen einen gefährlichen Trojaner! Führende Virenspezialisten melden bereis ein vermehrtes Aufkommen des W32.Mydoom alias W32.Novarg. Bitte daten Sie Ihr System mit dem Patch ab, um sich vor diesem Schädling zu schützen!

+++  c2004 Microsoft Corporation. Alle Rechte vorbehalten.

+++  Microsoft Deutschland GmbH, Konrad-Zuse-Strasse 1

+++  85716 Unterschleissheim, HRB 70438, DE 129 415 943

Die Absender-Adresse ist gefälscht und kann zum Beispiel den Namen "Info", "Center", "UpDate", "News", "Help", "Studio", "Alert", "Patch" oder "Security" haben. Die Domain des Absenders enthält bei deutschsprachigen Nachrichten "@microsoft.de" oder "@microsoft.at", bei englischsprachigen E-Mails "@microsoft.com".

Eine detaillierte Beschreibung des Wurms ist zu finden unter http://www.f-secure.com/v-descs/sober_d.shtml. Weitere Informationen können auch dem Web-Logbuch des F-Secure Anti-Virus Research Lab entnommen werden: http://www.f-secure.com/weblog/. (ma)

F-Secure

Kontakt: Sandra Proske

Tel. (089) 787467-22, Fax (089) 787467-99

E-Mail: sandra.proske@f-secure.com

Web: www.f-secure.de

Diesen Beitrag per E-Mail versenden Diesen Beitrag ausdrucken