Rubrik: Virenwarnung/Aktuelle Meldungen

"Glückwunsch, Sie haben Freikarten gewonnen" - SOBER.S täuscht deutsche Fußballfans

Sober.S hinterlegt verschiedene Daten und modifiziert die Windows Registry

(04.05.05) - Trend Micro hat einen Yellow Alert ausgelöst, um vor einer neuen Sober-Variante zu warnen, die sich derzeit über Email verbreitet. Bislang wurde Trend Micro das Auftreten von WORM_SOBER.S aus Deutschland und den USA gemeldet. Der Mass-Mailing-Wurm tarnt sich als Nachricht eines offiziellen Vertreters der Fußballorganisation FIFA. Im deutschsprachigen Text wird der Eindruck erweckt, dass der Empfänger eines der begehrten Tickets für die Weltmeisterschaft 2006 gewonnen hat. Auf diesem Wege sollen Anwender dazu bewegt werden, entgegen aller Vorsicht, den infizierten Dateianhang zu öffnen.

Ähnlich wie vorhergehende Varianten, beginnt SOBER.S nach der Infektion damit, über die eigene SMTP-Engine Kopien von sich an weitere E-Mail-Adressen zu versenden, die er auf den betroffenen Rechnern findet. Dabei werden bestimmte Domains, insbesondere von Unternehmen der Antiviren- und Security-Branche, ausgelassen.

WORM_SOBER.S erreicht die Empfänger mit verschiedensten Betreff-Zeilen, Text-Blöcken und Attachments.

Als Absender erscheint oftmals:

·         Admin

·         Hostmaster

·         Info

·         Webmaster

·         Postmaster

·         Register

·         Service

·         Ticket

und enthält Attachments mit folgenden Namen:

·         PassWort-Info.zip

·         account_info-text.zip

·         autoemail-text.zip

·         _PassWort-Info.zip

·         account_info-text.zip

·         account_info-text.zip

·         autoemail-text.zip

·         Fifa_Info-Text.zip

·         LOL.zip

·         mail_info.zip

·         okTicket-info.zip

·         our_secret.zip

Einer der E-Mail-Varianten erscheint als offizielle Benachrichtigung der FIFA, mit der Aussage "Glückwunsch, Sie haben Freikarten gewonnen". Das E-Mail kommt mit dem Anhang "Fifa_Info-Text.zip." Die Empfänger sollen denken, sie hätten begehrte Tickets für die WM 2006 in Deutsch-land gewonnen. Sobald der Anwender das Attachment öffnet, erscheint eine Fehlermeldung und der Wurm ist aktiviert.

"Dies ist ein erstklassiges Beispiel für Social Engineering - die Fußball-Weltmeisterschaften sind auf der ganzen Welt sehr beliebt. Selbst Anwender die einen Täuschungsversuch vermuten, riskieren in der Hoffnung auf Freitickets für die WM, möglicherweise das Attachment anzuklicken", kommentierte Jamz Yaneza, Senior Vice Researcher bei den TrendLabs.

Sobald Sober.S System infiziert hat, hinterlegt er verschiedene Daten und modifiziert die Windows Registry, sodass es bei jedem Neustart zu einer Ausführung des Malicous Codes kommt.

Die von Worm_Sober.S infizierte Datei hat eine Größe von ca. 56 KB und kann im UPX-Format sein. Der Malicous Code gefährdet Windows 98, ME, NT, 2000 und XP. (Trend Micro: ma)