Neue Sober-Variante im Umlauf

Parwez Farsan
18 Kommentare

Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen alle Anwender vor Emails mit einem ZIP-Archiv im Anhang mit dem Namen „pword_change.zip“ oder „KlassenFoto.zip“. Diese neue Variante des Wurms Sober.Q ging im Laufe der Nacht massenhaft in Umlauf.

Wie seine Vorgänger enthält die aktuelle Form des Wurms Sober.Q eine eigene SMTP-Engine, mit der er bestimmte Dateiendungen des befallenen Rechners nach E-Mail-Adressen absucht. Ist er fündig geworden, verschickt er sich automatisch an die Adressen weiter. Typisch für den 113.551 Bytes großen Wurm ist, dass er verschiedene Zeitserver nach der aktuellen Uhrzeit befragt, um seine Versandroutine zu starten. Computeranwender werden leicht dazu verleitet, die verseuchte E-Mail zu öffnen, da seine Betreffzeile verspricht, ein neues Passwort für den Empfänger zu enthalten bzw. ein Foto von einem Klassentreffen zu öffnen.

Weitere Erkennungsmerkmale der Email sind:

Betreffzeile: Your new Password
Mailtext: Your password was successfully changed! Please see the attached file for detailed information.
Dateianhang: pword_change.zip

oder

Betreffzeile:Fwd: Klassentreffen
Mailtext: ich hoffe jetzt mal das ich endlich die richtige person
erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!! wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;)
liebe grüße: %Name%
Dateianhang:KlassenFoto.zip

Wird die .exe Datei im Zip-File ausgeführt, zeigt Sober.Q ein gefälschtes Meldungsfenster mit dem Text „Error in packed file“ und „CRC header must be $7ff8“. Aktualisierte Virendefinitionen stehen bereits bei den Antiviren-Software-Herstellern zum Download bereit.