Spam-Virus für rassistische Mails heisst jetzt Sober.H

F-Secure, ein Hersteller von Antiviren-Software, hat jenem Schädling, der seit dem vergangenen Donnerstag Spam-Mails mit rassistischem Inhalt verschickt, einen Namen gegeben: Sober.H verbreitet sich nicht selbst, sondern wird von dem Mass-Mailing-Wurm Sober.G als 59747 Byte große Datei "doerkggg.exe" nachgeladen.

Der Beschreibung von F-Secure zufolge verfügt Sober.H über eine eigene SMTP-Engine zum versenden seiner mitgebrachten Spam-Mails. Nachdem der neue Schädling von Sober.G aktiviert ist, gibt er seinem Vorgänger das Signal sich zu deaktivieren, indem er bestimmte Dateien ohne Inhalt erzeugt. Dann macht sich Sober.H daran, den Wirtsrechner nach E-Mail-Adressen zu durchforsten, an die er seine politisch rechts angesiedelten Botschaften, nicht aber sich selbst verbreiten kann.

Wie sein Vorgänger Sober.G verfügt Sober.H über eine Routine zum Nachladen einer neuen ausführbaren Datei. Er kann vom Host people.freenet.de die Datei "winhlpx32ll.exe" herunterladen und ausführen. In regelmäßigen Abständen durchsucht der Schädling seinen Wirtsrechner nach der Datei "sysmms32.lla". Wenn er diese Datei findet, deinstalliert er sich selbst. Befindet sich die Datei bereits vorher dort, installiert er sich gar nicht erst.

Zu der Welle mit ausländerfeindlichem Spam siehe auch:

• Rassistischer Spam und der Mail-Wurm Sober.G
• Spam-Welle mit ausländerfeindlichen Inhalten

Zur Problematik der Nutzung virenverseuchter Rechner als Spam-Roboter siehe auch: (hob)

• Aufgedeckt: Trojaner als Spam-Roboter
• Ferngesteuerte Spam-Armeen, Nachgewiesen: Virenschreiber liefern Spam-Infrastruktur, c't 5/04, S. 18