Neue Variante des Mail-Wurms Sober im Umlauf

Über das Wochenende sind wieder neue Wurm-Varianten ausgebrochen; eine neue Sober-Variante versucht zudem, die Verunsicherung der Anwender über MyDoom-Versionen auszunutzen.

In Pocket speichern vorlesen Druckansicht 296 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Patrick Brauch

Die digitalen Schädlinge aus der MyDoom-Familie weisen mittlerweile acht und der NetSky-Clan sogar neun Varianten auf -- und seit dem heutigen Montagmorgen kursiert auch ein neuer Sober-Wurm. Sober.D versucht dabei, die Verunsicherung der Anwender über die diversen Wurm-Varianten und die unzähligen Schädlinge aus der MyDoom-Serie auszunutzen.

Sober.D tarnt sich als Microsoft-Update und behauptet im Mail-Text, eine Warnung vor einer neuen MyDoom-Variante darzustellen. Offenbar scheint der Social-Engineering-Trick des Schädlings zu wirken, was sicherlich dadurch unterstützt wird, dass momentan tatsächlich laufend neue MyDoom-Varianten auftauchen. Im Unterschied zu den neuen MyDoom- und NetSky-Schädlingen scheint sich Sober.D daher in Deutschland stärker zu verbreiten; einige verseuchte Mails sind auch bereits auf dem Heise-Mailserver eingegangen.

Wie seine Vorgänger verschickt sich Sober.D mittels eigener SMTP-Engine; die Mail-Texte sind zweisprachig: In E-Mails an die Top-Level-Domains .de, .ch. .at, .li, .nl oder .be ist die E-Mail deutsch, bei allen anderen englisch. Als Attachment enthält die Mail den Wurm als EXE-Datei oder als ZIP-Archiv. Wie üblich besorgt sich Sober die E-Mail-Adressen seiner Opfer über lokal gespeicherte Dokumente, die Absenderadressen sind stets gefälschte Microsoft-Adressen. Der Wurm legt mehrere Windows-Registry-Keys und Dateien in den Windows-Systemverzeichnissen an.

Grundsätzlich verschickt Microsoft keine Patches unaufgefordert per Mail, sondern stellt diese nur über www.windowsupdate.com zur Verfügung. Das gleiche gilt für vermeintliche Updates von Antiviren-Firmen. E-Mails, die anderes behaupten und mit einem Anhang daherkommen, sollten grundsätzlich ungesehen gelöscht werden.

Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.

Siehe dazu auch: (pab)