Neuer Trojaner "TR/Spam.Sober.Q" wird vom aktiven Worm/Sober.P nachgeladen

Schadens- und Verbreitungspotenzial dieser Sober-Variante eine große Gefahr

(19.05.05) - Anwender der Betriebssysteme Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP sowie Windows Server 2003 werden von dem Trojaner TR/Spam.Sober.Q bedroht. Der Trojaner wird nicht per E-Mail versandt, sondern von dem aktiven Worm/Sober.P nachgeladen. Das Schadens- und Verbreitungspotenzial dieser Sober-Variante wird von den Virenexperten als große Gefahr eingeschätzt.

TR/Spam.Sober.Q hat eine Größe von 53.801 Bytes und ist mit dem Laufzeitpacker UPX gepackt. Er besitzt, wie auch seine Vorgänger, eine eigene SMTP Engine. Als SMTP Engine bezeichnen Antivirenhersteller ein Programm, das selbständig E-Mails verschicken kann.

Das Hauptgefahrenpotenzial entsteht auf den Systemen, die bereits mit Worm/Sober.P infiziert waren. Das bedeutet, dass TR/Spam.Sober.Q nachgeladen wird und Spam-E--Mails mit rechts-radikalem Inhalt versendet.

Der Trojaner hat ein internes Triggerdatum vom 11.05.2005 und hat am 15.05.2005 um 0:00 Uhr mit der Routine zum Versenden von Spam-E-Mails begonnen.

Eine von TR/Spam.Sober.Q versandte E-Mail hat beispielsweise folgendes Aussehen:

Betreff (SUBJECT):

Multi-Kulturell = Multi-Kriminell

Emailtext (BODY):

Lese selbst

<http://www.npd.de/npd_info/meldungen/(link.htm>)

(H+BEDV: ma)