Wurm W32.Sober verschickt Mails mit deutschen Betreffzeilen

Seit dem Wochenende verschickt sich ein neuer Mass-Mailing-Wurm selbst über das Internet. W32.Sober haben ihn die Antiviren-Hersteller genannt -- nicht zu verwechseln mit Sobig.F und Konsorten. Relativ simpel in Visual Basic gestrickt, durchforstet W32.Sober infizierte PCs nach Mail-Adressen und verschickt sich an diese dann als Anhang. Durch die Verwendung deutscher Betreffzeilen versucht er weniger Misstrauen zu erwecken. Bei Sätzen wie "Hi Schnuckel was machst du so?", "Jetzt rate mal, wer ich bin !?" und "Re:Sex" dürften einige wieder in die Falle tappen und auf entsprechende Dateianhänge wie "naked.com", "Nackediedei.com" oder "schnitzel.exe" klicken.

Eine Liste möglicher Betreffzeilen und Dateianhänge findet sich in der Beschreibung von Symantec. In der Folge, wie sollte es anders sein, nistet sich der Wurm auf dem PC ein, hier als "winreg.exe", "filexe.exe" und "similare.exe". Eine echte Schadfunktion enthält der Wurm nicht. Die Antiviren-Hersteller haben bereits aktualisierte Signaturen bereitgestellt ebenso wie entsprechende Tools zum Entfernen von W32.Sober.

Grundsätzlich sollte man niemals Anhänge in Mails unbekannter Herkunft öffnen, egal welchen Dateityp sie auch repräsentieren mögen. Neben ".exe", ".com" und ".bat" sind auch ".scr", ".pif" und viele andere ausführbar. Weitere Hinweise zum Auftreten von Viren und Würmern in der E-Mail sowie generell zum Schutz vor elektronischen Schädlingen finden sich auf den Antiviren-Seiten von heise Security.

Siehe dazu auch: (dab)

• Virenmeldung von NAI
• Virenmeldung von Symantec