|
|
Rubrik: Virenwarnung/Aktuelle Meldungen Trend Micro: Yellow Alert ausgelöst - WORM_SOBER.I täuscht gezielt deutsche Anwender "SOBER.I" verfügt über die Fähigkeit, deutsche Domain-Namen zu erkennen (23.11.04) - Trend Micro hat einen globalen Yellow Alert ausgelöst, um die Ausbreitung einer neuen SOBER-Variante zu verhindern. Der Mass-Mailing-Wurm verbreitet sich über infizierte E-Mails, die Nachrichtentext in deutscher und englischer Sprache enthalten können. WORM_SOBER.I verfügt zudem über die Fähigkeit, deutsche Domain-Namen zu erkennen. An diese Empfängeradressen sendet der Wurm dementsprechend E-Mails in deutscher Sprache, wodurch Anwender noch effizienter getäuscht werden. Frühere Versionen des SOBER-Wurms verbreiteten sich ausschließlich über E-Mails mit deutschsprachigen Text. Bislang wurde Trend Micro das Auftreten dieses Malicious Code bereits vielfach aus Deutschland, Frankreich und Österreich gemeldet.
Anzeige
WORM_SOBER.I verfügt über eine eigene SMTP-Engine und durchsucht bestimmte Dateitypen gezielt nach E-Mail-Adressen, an die sich der Wurm dann weitersendet. Davon ausgenommen sind Adressen, die spezielle, vom Virenprogrammierer definierte Zeichenfolgen enthalten. Bei der Weiterverbreitung beeinträchtigt WORM_SOBER.I die Leistung des infizierten Systems und belegt erhebliche Netzwerkband-breiten, was in Unternehmen zu einer reduzierten Mitarbeiterproduktivität führen kann. WORM_SOBER.I verwendet Social Engineering, um Anwender zum Start des Dateianhangs zu bewegen. So erwecken die Titel der infizierten Nachrichten oftmals den Eindruck, es handele sich um Systemmeldungen über unzustellbare E-Mails oder Benachrichtigungen zu Anwender-Passwörtern. Darüber hinaus wird im Nachrichtentext behauptet, dass die E-Mail von verschiedenen AntiViren-Produkten geprüft wurde und unbedenklich ist. Um die Infektion sicherzustellen, hinterlässt WORM_SOBER.I gleich zwei ausführbare Dateien auf den betroffenen Systemen. Die zweite Kopie dient dabei als Backup, falls die erste ausführbare Datei durch eine Antiviren-Lösung aus dem Speicher entfernt wird. Um seine Ausführung zu verbergen und zu verharmlosen, zeigt der Wurm bei der Ausführung ein Fehler-meldungsdialog und informiert den User, dass das ausgeführte Archiv korrupt sei. "Trend Micro möchte allen Unternehmen eindringlich raten, stringente Sicherheitsrichtlinien sowie Regeln für die Blockade von Dateianhängen zu implementieren , um Bedrohungen wie SOBER.I abzuwehren", sagte David Kopp, Leiter der TrendLabs EMEA. "Virenprogrammierer verwenden oftmals Social Engineering und Dateiendungen wie .BAT, .COM, .DOC, .EML, .EXE, .PIF, .SCR, .TXT, .XLS , .ZIP zur Tarnung ihrer Malicious Codes." Trend Micro stellt
Pattern-Files zum Download bereit Kunden von Trend Micro sind ab dem Pattern-File 2.225.00 vor WORM_SOBER.I geschützt. Anwender der Trend Micro Outbreak Prevention Services sollten zudem die OPP 134 herunterladen, um der Verbreitung entgegenzuwirken. Im Rahmen der Trend Micro Damage Cleanup Services wird ab sofort das Damage Cleanup Template 457 bereitgestellt, mit dem SOBER.I zuverlässig von befallenen Systemen entfernt werden kann. Die Pattern-Datei 10148 der Network VirusWall unterstützt ebenfalls die Abwehr von WORM_SOBER.I. Darüber hinaus bietet Trend Micro unter http://de.trendmicro-europe.com/enterprise/products/housecall_launch.php einen kostenlosen Online-Scanner für alle Computernutzer. Weitere Informationen finden sich unter http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SOBER.I Trend Micro Deutschland GmbH Kontakt: Hana
Göllnitz Lise-Meitner-Straße 4, D-85716 Unterschleißheim Tel. (089) 37479-700, Fax (089) 37479-799 E-Mail: hana_goellnitz@trendmicro.de Web: www.trendmicro.de
|
