MessageLabs bestätigt Warnungen des LKA: Neue Sober-Varianten in Umlauf

Möglich sind zehn Versionen, die zu unterschiedlichen Zeitintervallen freisetzt werden

(17.11.05) - Nachdem das Bayerische Landeskriminalamt vor einer möglichen neuen Version des Sober-Virus gewarnt hatte, kann auch MessageLabs den Umlauf von neuen Varianten dieses Wurms bestätigen. Bisher wurden zwei Varianten (W32/Sober.V.dr und W32/Sober.W.dr) abgefangen - die Experten nehmen an, dass weitere folgen.

Auf der Grundlage der seit über einem Jahr laufenden Ermittlungen gegen den Verursacher des Sober-Virus hatte das Bayerische Landeskriminalamt gestern vor der möglichen "Wiederbelebung" des Wurms gewarnt. Die Virus-Analysten bei MessageLabs vermuten, dass der Verursacher bis zu zehn verschiedene Versionen vorbereitet hat, die er in unterschiedlichen Zeitintervallen freisetzen wird.

E-Mail-Charakteristiken

Variante 1 mit Betreffzeile:

"Haben Sie diese Email verschickt?"

Inhalt:

"Es waere von Vorteil, wenn Sie sich dazu aeussern wuerden!! Um es vorweg zu sagen: Ich bin kurz davor eine Anzeige zu erstatten. Sie Spinnen wohl! Die E-mail hat meine Tochter gelesen!!! Ich habe Ihnen diese Word-Text Datei zu meiner Entlastung zurückgeschickt."

Anhang:

Der Anhang lautet "Word-text.zip>".

Die Experten von MessageLabs warnen dringend davor, diese Zip-Datei zu öffnen, da dies zu einer Aktivierung des Virus führen würde.

Variante 2 mit Betreffzeile:

"Registration Confirmation"

Inhalt:

"Thanks for your registration. Your data are saved in the zipped Word.doc file!"

Anhang:

"registration.zip"

Am 6. Oktober wurde der letzte weltweite Sober-Angriff beobachtet. Die Ermittlungen nach dem Urheber werden weiterhin bundesweit von der Staatsanwaltschaft München I und dem BLKA geführt. (MessageLabs: ra)