WM-Wurm Sober.O ist Auslöser der Spam-Welle
Die Vermutung über den Zusammenhang zwischen dem WM-Ticket-Wurm und der Welle von Mails mit teilweise rechtsgerichtetem Inhalt hat sich bestätigt. Der Trojaner Sober.P kommt im Gefolge von Sober.O und funktioniert den Rechner zum Spam-Proxy um.
Die Vermutung über den Zusammenhang zwischen dem WM-Ticket-Wurm Sober.O und der Welle von Mails mit teilweise rechtsgerichtetem Inhalt hat sich bestätigt. So stoppte Sober.O Mitte der letzten Woche seine eigene Verbreitungsroutine, um infizierte Windows-PCs zu Spam-Bots umzufunktionieren. Dazu lud er von diversen Servern ein Programm nach, das die Hersteller von Antivirensoftware Sober.P getauft haben. Sober.P startete dann am vergangenen Samstag den Versand von Mails in großem Umfang mit gefälschter Absenderadresse.
Die Empfänger solcher Mails sollten also davon ausgehen, dass die Mails nicht wirklich vom eingetragenen Absender stammen. Bereits bei Sober.G sorgte dieser Umstand für reichlich Verwirrung bei Anwendern, die plötzlich an der Gesinnung von Freunden, Bekannten und Kollegen zweifelten.
Obwohl die neue Variante Sober.Q von einigen Hersteller von Antivirensoftware als Wurm bezeichnet wird, verfügt er nach bisherigen Erkenntnissen über keine Funktion, sich selbst zu verbreiten. Die Mails verfügen auch über keinen Dateianhang. Allerdings hat man schon die zeitgesteuerte Nachladefunktion in Sober.O übersehen. Zunächst hatte man dem WM-Wurm auch keine Schadfunktion zugeordnet. Nach weiteren Tests zeigte sich dann aber, dass er Virenscanner abschaltet und unter Windows XP die eingebaute Firewall und die Update-Funktion deaktiviert. Auch Sober.P trägt diese Funktionen in sich.
Kritik müssen sich die Hersteller auch wieder einmal für die uneinheitliche Namensgebung gefallen lassen. So sind derzeit Namenssuffixe von O bis U in Gebrauch, um die Abkömmlinge zu bezeichnen. Anwender haben dann unter Umständen Probleme zu beschreiben, womit ihr PC denn nun genau befallen ist.
Indes spekuliert man weiter über den Autor der Schädlinge und Urheber der Spam-Mails. Dass es sich um den gleichen Autor wie bei Sober.G und der anderen Varianten handelt, liegt allerdings nahe. Auch diesmal enthält der neue Schädling eine Mitteilung des Autors:"Ich bin kein Spammer, aber vielleicht sollte ich einer werden." Anders als bei der Nachricht in Sober.G trägt der Hinweis diesmal aber keinen Namen.
Siehe dazu auch: (dab)
- Beschreibung Sober.P/Trojan.Ascetic.C vom BSI
- Ross und Reiter interessieren nicht in Telepolis
