Doppelschlag von Sober - Infektionsrate ist alarmierend hoch

Sober.X enthält die Datei HJGERHDS.EXE mit 127.888 Bytes Schadcode

(17.11.05) - H+BEDV warnt alle Anwender der Betriebssysteme Windows 95, Windows 98, Windows ME, Windows NT, Windows 2000, Windows XP, Windows Server 2003 dringend vor den Varianten "W" und "X" des Droppers "DR/Sober".

Die neuen Sober-Nachkömmlinge werden über Spam-Listen verbreitet. Die Infektionsrate ist alarmierend hoch.

Anwender erkennen die E-Mails an:

Betreffzeile: Ihre eMail!

Nachrichtentext: Guten Tag,

jemand schickte mir eine Mail mit einer Excel oder Access Tabelle (kenne mich da nicht so aus!).

Jedenfalls ist diese Mail aber an ihre Mail Adresse adressiert, aber zu meiner gekommen??? Ist wohl irgendein Fehler. Ok, hier haben Sie sie wieder zurueck!

gruss

Attachment: excel_table.zip

Oder auf Englisch:

Betreffzeile: Your email

Nachrichtentext: hello, sorry, sorry sorry, because, my english is not the best! ok, i've got an email with an excel-table. but i am not the recipient, the recipient are you! i think, it's an mail error! ok, here is your table back!

Attachment: excel_table.zip

Klickt der User auf den Anhang des Droppers Sober.W, wird die 134.176 Bytes große Datei HJGERHDS.EXE auf dem Rechner erstellt und ausgeführt. Danach zeigt der DR/Sober.W ein gefälschtes Windows-Fenster an.

Charakteristisch für E-Mails mit Sober.X im Schlepptau ist ein englischsprachiger Registrierungshinweis:

Betreffzeile: Thanks for your registration

Nachrichtentext: Thanks for your registration! We have received your payment.

Attachment: reg_text.zip

Sobald Anwender das Attachment des Droppers Sober.X aktivieren, wird die Datei HJGERHDS.EXE mit 127.888 Bytes auf dem PC erstellt und ausgeführt. Danach zeigt auch der DR/Sober.X ein gefälschtes Fenster an. (H+BEDV: ra)