Kaspersky Lab warnt vor Sober-Modifikationen

Epidemie wurde durch Spam-Massenversand infizierter E-Mails ausgelöst

(17.11.05) - Kaspersky Lab warnt vor drei neuen Modifikationen des bekannten Internet-Wurms "Email-Worm.Win32.Sober". Ihnen wurden die Indizes "u", 2v" und "w" zugeordnet. Die neuen Wurm-Modifikationen unterscheiden sich durch unterschiedliche Pack-Formate voneinander. Ihr zahlreiches Aufkommen im E-Mail-Verkehr bestätigt die Annahme, dass die Epidemie durch Spam-Massenversand infizierter E-Mails ausgelöst wurde.

Kostenlose Testversionen von Kaspersky Anti-Virus downloaden

Die neuen Sober-Modifikationen wurden als Datei-Anhänge per E-Mails versandt. Die Größe der angehängten Datei, welche den Wurm-Körper enthält, beträgt etwa 130 kb. Titel und Text der infizierten E-Mail variieren oder können ganz fehlen, doch die gefährliche Nachricht ist durch die eingeschränkte Namensgebung des Datei-Anhangs erkennbar. Folgende Benennungen werden vergeben:

· Exceltab-packed_List.exe

· Liste.zip

· Reg-List-Dat_Packer2.exe

· reg_text.zip

· Word-Text.zip

· Word-Text_packedList.exe

· Word-Text_packedList.zip

Die Schadprogramme verhalten sich wie sämtliche Vertreter der Sober-Familie: Aktiviert wird der Schadcode, indem der Anwender den Datei-Anhang öffnet. Nach dem Start erscheint auf dem Bildschirm die gefälschte Fehlermeldung: "WinZip Self-Extractor. WinZip_Data_Module is missing ~Error".

Anschließend kopiert sich der Wurm in das Windows-Systemverzeichnis und registriert sich im Schlüssel für den Autostart. Darüber hinaus erstellt er im Windows-Systemverzeichnis mehrere Kopien und Hilfsdateien mit verschiedenen Namen.

Zu ihrer Verbreitung scannen die Würmer das Dateisystem des befallenen Computers und versenden sich an alle aufgefundenen E-Mail-Adressen. (Kaspersky: ra)