Wieder deutschsprachiger Wurm unterwegs
Der Wurm Sober.F alias I-Worm.VB.c versucht Anwender mit deutschen Texten in Mails auszutricksen.
Anders als die Netsky- und Bagle-Varianten, die Anwender nur mit schnöden kurzen manchmal auch kryptischen englischen Texten auszutricksen versuchen, ist der neue Sober.F alias I-Worm.VB.c (Kaspersky) bilingual. In der Tradition seines Vorgängers Sober.c bietet er je nach Länderdomain englische oder deutsche Texte. Die Beschreibung auf der Symantec-Seite enthält Texte und Betreffzeilen aus gesichteten Mails. Die Hersteller von Antivirensoftware ordnen den Wurm derzeit erst in die Gefahrenstufe Low beziehungsweise 2 ein. Die Mail-Scanner-Statistik des Heise-Verlags weist allerdings allein für heute, den 4. April bereits über 1200 registrierte Samples auf.
Der Wurm verschickt sich selbst als Dateianhang mit gefälschtem Absender an Adressen, die er auf dem infizierten System gefunden hat. Sober.F nutzt keine Schwachstellen in Outlook Express oder dem Internet Explorer aus; zur Infektion ist ein Klick des Anwenders auf den Dateianhang notwendig. Der Wurm verfügt über keine Schadroutine, versucht aber Dateien aus dem Internet nachzuladen und auszuführen. Einige der gesichteten Mail-Samples des Wurm versuchten sogar vorzutäuschen, vom Virenschutz des jeweiligen Empfängers überprüft worden zu sein, indem sie einen Text mit der richtigen Domain des Anwenders anzeigten:
*** Anti- Virus: Es wurde kein Virus erkannt
*** Domainname Virenschutz
*** http://www.domainname.de
Insbesondere Anwender in Firmennetzen könnten fälschlicherweise glauben, die Mail sei vom Scanner des Unternehmens überprüft worden. Einige AVS-Hersteller haben ihre Signaturen schon aktualisiert. NAI und Symantec gehören leider noch nicht dazu; sie planen erst für den 7. April ein Update. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security.
Update
Mittlerweile warnt auch das Bundesamt für Sicherheit in der Informationstechnik vor Sober.F. Symantec hat (4.April, 19.00 Uhr) seine Signaturen aktualisiert und die Warnstufe von 2 auf 3 erhöht. Der Wurm scheint sich derzeit stark zu verbreiten. Ob man von einem Ausbruch reden kann, wird der Wochenanfang zeigen. Administratoren sollten die Auto-Notification ihrer Mailscanner abschalten, um nicht zusätzlich Netzlast zu erzeugen. Die Notifications kommen ohnehin bei den Falschen an.
Auch NAI hat mittlerweile nachgezogen und den Threat-Level auf Medium erhöht sowie neue Signaturen zu Verfügung gestellt.
Siehe dazu auch:
- Wurm-Beschreibung des BSI auf heise Security
- Wurm-Beschreibung von Symantec
- Wurm-Beschreibung von NAI
