Thema: Deutschsprachiger Wurm Sober.M im Netz unterwegs

[SiLæncer]

Seit heute morgen verbreitet sich ein neuer Abkömmling der Wurmfamilie Sober. Wie seine Vorgänger ist auch Sober.M beziehungsweise Sober.N ein klassischer Mass-Mailing-Wurm, der sich von infizierten Windows-PCs selbst als Anhang von E-Mails verschickt.

Nach bisherigen Erkenntnissen enthält der Wurm keine Schadfunktion wie Backdoors oder ähnliches, sondern nistet sich nur im System ein, um Post zu versenden. Auch diese Sober-Variante ist wieder zweisprachig. Empfänger, deren Mail-Adresse als Länderdomain .de, .ch, .at, .li oder im Domain-Namen den String gmx enthalten, bekommen eine deutsche Nachricht:

Verdammt,,,,
ich hatte vergessen Dir meinen Text mitzuschicken.



Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren!


Ich melde mich. Bis bald

Als Anhang ist die Datei "Private-Texte.zip" beigefügt, in dessen Archiv die ausführbare Datei "mail.document.Datex-packed.exe" zu finden ist.

Alle anderen Empfänger dürften folgenden Text zu sehen bekommen:

Hello,
First, Very Sorry for my bad English.
Someone is sending your private e-mails on my address.



It's probably an e-mail provider error! At time, I've got over 10 mails on my account, but the recipient are you. I have copied all the mail text in the windows text-editor for you & zipped then.


Make sure, that this mails don't come in my mail-box again. bye

Die Hersteller von Antivirensoftware aktualisieren ihre Signaturen derzeit, um Schutz vor dem neuen Schädling bieten zu können.

Anwender sollten aber weiterhin bei allen unverlangt zugesandten Mails mit Dateianhängen größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und welche Einstellungen vorgenommen werden sollten.

Quelle und Links : http://www.heise.de/newsticker/meldung/58715

[SiLæncer]

Variante von Sober.N vermehrt sich stark

Nachdem sich seit dem gestrigen 19. April 2005 eine weitere Abart des Sober-Wurms sehr stark im deutschsprachigen Bereich des Internets verbreitet, konnte sich bereits in den Abendstunden des 19. April 2005 eine weitere Variante von Sober.N massiv im Internet vermehren. Auch der Neuling ist wieder mit deutschsprachigem Nachrichtentext unterwegs und will Nutzer dazu bringen, die im Anhang befindliche Wurm-Datei zu öffnen.

Der Wurm-Code befindet sich wie üblich in dem mit der E-Mail versendeten Anhang, der als mail-dokumente.zip oder als mailtext_doc.zip daherkommt. Im Nachrichtentext gibt der Wurm vor, dass der Absender eine neue E-Mail-Adresse anlegen musste und im komprimierten ZIP-Archiv E-Mails enthalten seien, die zum Teil unvollständig seien. Der Empfänger wird dann gebeten, die Nachrichten in dem ZIP-Archiv durchzusehen. Tatsächlich steckt darin allerdings die Wurm-Datei mit dem Namen Winword_document-WinZipped.exe, der zudem ein Word-Icon zugewiesen ist. Opfer sollen durch diese Art und Weise zum Ausführen der getarnten Exe-Datei gebracht werden, damit der Wurm das System befallen kann.

Die Wurm-E-Mail weist die deutsche Betreffzeile "Wichtig: Ich habe eine neue EMail-Adresse!" auf und wird an alle deutschsprachigen Domains versendet. Ansonsten erhalten Empfänger eine englischsprachige E-Mail, worin ebenfalls behauptet wird, dass der Absender eine neue E-Mail-Adresse habe.

Der deutsche Nachrichtentext lautet

Hey, ich bin es.
Ich musste mir eine neue Mail-Adresse machen.
Bei meiner alten stimmte irgend etwas nicht mehr. Meine Mails sind nur
noch zur haelfte oder gar nicht angekommen bzw. verschickt worden.

Ich den letzen paar Tagen habe ich einige zerstueckelte Mails bekommen.
Ich nehme mal an, das einige von Dir waren??

Schau mal nach ob die von dir sind. Manche scheinen sehr Wichtig zu
sein
aber da sind unvollstaendig sind, kann ich damit wenig anfangen.

OK, melde dich dann mal

Auf infizierten Systemen trägt sich Sober.N so in die Registry ein, dass er bei jedem Windows-Neustart automatisch geladen wird. Außerdem durchsucht der Wurm eine Vielzahl lokaler Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine an diese, um sich so zu verbreiten. Dazu werden die Absenderadressen gefälscht, so dass der eigentliche Versender der Wurm-E-Mail nicht ohne weiteres ermittelt werden kann. Ist ein befallenes System nicht mit dem Internet verbunden, versucht der Wurm, eine Interneteinwahl durchzuführen.

Noch kennen die meisten Antivirenhersteller den Wurm nicht, so dass noch mit einer Wartezeit zu rechnen ist, bis aktualisierte Signaturdateien bereitstehen.

Quelle : www.golem.de