SGL- Shooting Game Laboratory - Internet

E-Mail-Wurm mit deutschsprachigem Text im Umlauf

E-Mail-Wurm mit deutschsprachigem Text im Umlauf

Im Internet kursiert derzeit ein E-Mail-Wurm namens Sober, der sich als Besonderheit mit deutschem Nachrichtentext samt deutschsprachiger Betreffzeile versendet und zudem häufig eine gefälschte Absenderadresse verwendet. Bislang registrierten die Hersteller von Antiviren-Software keine starke Verbreitung, jedoch deutet sich eine starke Ausweitung im deutschen Sprachraum an: Der seit Freitagabend aktive Wurm erreichte die Redaktion von Golem.de bereits unzählige Male, was auf eine recht hohe Verbreitung hindeutet.

Der Sober-Wurm verschickt sich mit deutschsprachiger Betreffzeile sowie deutschem Nachrichtentext, wobei diese ständig wechseln und auch der Name des Anhangs sich ständig ändert. Oft scheint der Wurm auch die Absenderadresse zu fälschen und gaukelt so eine falsche Herkunft vor. Häufig gibt der Meldungstext samt Betreffzeile vor, dass die E-Mail über einen Wurm informiert, der sich auf dem eigenen System befinde. Weitere Informationen oder Abhilfe soll dann die an die Mail angehängte Datei bringen, die den Sober-Wurm erst aktiviert. Der Unhold nutzt zur Aktivierung keinerlei Sicherheitslücke und muss somit manuell gestartet werden, wobei er auf die Sorge respektive Neugier der Nutzer setzt.

Die folgenden Betreffzeilen wurden von den Herstellern von Antivirus-Software extrahiert:
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm
geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
Sorry, Ich habe Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
Überraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Ich Liebe Dich
RE: Sex

Wird der mit wechselnden Namen versehene Dateianhang per Doppelklick gestartet, zeigt der Wurm eine vermeintliche Fehlermeldung in Form einer Dialogbox an. Zur Verbreitung durchsucht der Schädling lokale Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese. Die gefundenen Adressen legt Sober in der Datei Media.dll im Windows-System-Verzeichnis unter dem Ordner \Macromed\Help ab.

Nach der Aktivierung kopiert sich der Wurm in das Windows-System-Verzeichnis unter den Dateinamen drv.exe, similare.exe oder systemchk.exe und trägt sich so in die Registry ein, dass der Unhold bei einem Neustart des Rechners automatisch ausgeführt wird.

Die Hersteller von Antiviren-Software haben entsprechende Signaturdateien bereits aktualisiert und bieten diese zum Download an. Eine Aktualisierung der benutzten Antiviren-Software ist daher dringend empfohlen.


mfg.aimbot