Neue Variante des Wurm/Sober.Q geht um

SMTP-Engine sucht den Rechner nach E-Mail-Adressen ab

(10.10.05) - Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen alle Anwender vor E-Mails mit einem ZIP-Archiv im Anhang mit dem Namen "pword_change.zip" oder "KlassenFoto.zip". Diese neue Variante des Worm/Sober.Q ging massenhaft in Umlauf.

Wie seine Vorgänger enthält die aktuelle Form des Wurms/Sober.Q eine eigene SMTP-Engine, mit der er bestimmte Dateiendungen des befallenen Rechners nach E-Mail-Adressen absucht. Ist er fündig geworden, verschickt er sich automatisch an die Adressen weiter. Typisch für den 113.551 Bytes großen Wurm ist, dass er verschiedene Zeitserver nach der aktuellen Uhrzeit befragt, um seine Versandroutine zu starten. Computeranwender werden leicht dazu verleitet, die verseuchte Email zu

öffnen, da seine Betreffzeile verspricht, ein neues Passwort für den Empfänger zu enthalten bzw. ein Foto von einem Klassentreffen zu öffnen.

Weitere Erkennungsmerkmale der E-Mail sind:

Betreffzeile: Your new Password

Mailtext: Your password was successfully changed!

Please see the attached file for detailed information.

Dateianhang: pword_change.zip

oder

Betreffzeile: Fwd: Klassentreffen

Mailtext: ich hoffe jetzt mal das ich endlich die richtige person erwischt habe!

ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;)

liebe grüße: %Name%

Dateianhang: KlassenFoto.zip

Wird die .exe Datei im ZIP-File ausgeführt, zeigt Sober.Q ein gefälschtes Meldungsfenster mit dem Text "Error in packed file" und "CRC header must be $7ff8".

(H+BEDV: ra)