Rubrik: Virenwarnung/Aktuelle Meldungen

Neuer Wurm warnt vor sich selbst

Anwender soll animiert werden, ein Patch gegen den Virus herunterzuladen

(25.02.05) - W32/Sober.K-mm ist ein Mass-Mailing-Virus, der sich selbst als Anhang in E-Mails versendet. Die Betreff-Zeile und der Inhalt der E-Mail werden zufällig erzeugt - abhängig von der Versender-Adresse entweder auf deutsch oder englisch. Der Wurm tauchte aber auch bereits in Frankreich, den USA und in UK auf.

Der Wurm ist in der Lage, Warnungen verschiedener Anbieter von Antiviren-Lösungen anzeigen, die sich genau auf diese neue Version des Virus beziehen - in der Absicht, Anwender dazu zu ver-leiten, das beigefügte Attachment anzuklicken um einen neuen Patch gegen den Virus herunter-zuladen.

Der Empfänger muss das Attachment manuell öffnen, damit es ausgeführt wird. Der Virus sucht dann auf dem infizierten Rechner nach E-Mail-Adressen und versendet sich selbständig in Form einer deutschen bzw. englischen Mitteilung.

Mögliche Betreffzeilen:

·         Bitte beachten Sie, dass der Virus auch andere - insbesondere auch deutsche - Betreffzeilen verwenden kann.

·         Alert! New Sober worm

·         Paris Hilton Sex Videos

·         You visit illegal websites

·         Your new Password

Möglicher Inhalt/Body der E-Mail:

·         ATTENTION!

·         Antivirus vendors are warning of a new variant of the "Sober" virus discovered today that can delete the hard disk.

Protection:

·         Download and read the zipped patch. It's very easy to install!

·         Thanks for your cooperation!

Schaden:

W32/Sober.K-mm installiert auf dem infizierten Rechner mehrere ausführbare Dateien mit den Namen csrss.exe, winlogon.exe und smss.exe. Der Wurm modifiziert den Registry-Key Software/Microsoft/Windows/CurrentVersion/Run, so dass er beim Start des Rechners ausgeführt wird. Anschließend werden die Inhalte der Datei systemdrive%/windows/temp/doc_data-text.txt in Notepad angezeigt. (MessageLabs: ma)