Neuer Sober-Wurm tarnt sich als Mail des Bundeskriminalamts
Sober.Y tarnt sich unter anderem als vermeintliche Benachrichtigung des Bundeskriminalamtes, man sei beim Raubkopieren erwischt worden.
Kaum ist die letzte Sober-Welle abgeklungen, tritt eine neue Variante auf den Plan und versucht, die Windows-Systeme von Anwendern zu infizieren. Anders als bei seinen Vorgängern Sober.V/.W sind die Nachrichtentexte von Sober.Y/.Z sehr viel raffinierter. Unter anderem tarnt sich der Schädling als vermeintliche Benachrichtigung des Bundeskriminalamtes, man sei beim Raubkopieren erwischt worden:
Sehr geehrte Dame, sehr geehrter Herr,
das Herunterladen von Filmen, Software und MP3s ist illegal und somit strafbar. Wir moechten Ihnen hiermit vorab mitteilen, dass Ihr Rechner unter der IP xxx.xxx.xxx.xxx erfasst wurde. Der Inhalt Ihres Rechner wurde als Beweismittel sichergestellt und es wird ein Ermittlungsverfahren gegen Sie eingleitet. Die Strafanzeige und die Moeglichkeit zur Stellungnahme wird Ihnen in den naechsten Tagen schriftlich zugestellt. Aktenzeichen NR.:#1363 (siehe Anhang) Hochachtungsvoll
Im gezippten Anhang steckt natürlich der Wurm selbst drin, der sich beim Öffnen des Archivs und Starten der ausführbaren Datei installiert. Mit einem ähnlichen Text war bereits Sober.C Ende 2003 recht erfolgreich. Allerdings war dort als vermeintlicher Absender die Kripo Düsseldorf eingetragen. Mittlerweile warnt das BKA in einer eigenen Meldung vor Mails mit Sober.Y. Daneben gibt es noch weitere Textvarianten, mit denen der Wurm versucht, den Anwender zum Öffnen des Anhangs zu bewegen, etwa eine eBay-Kontoeröffnung und eine RTL-Gewinnbenachrichtigung. Anwender mit englischen Empfängeradressen bekommen eine Mail zu sehen, die angeblich vom FBI stammt, man hätte illegale Websites besucht.
Technisch gesehen ähnelt Sober.Y laut F-Secure seinen Vorgängern; er verbreitet sich also von infizierten PCs mit einer eigenen SMTP-Engine. Ob er dabei wie Sober.V/.W geknackte GMX- und Web.de-Konten benutzt, ist derzeit noch unklar. Nach Angaben von Sophos kann er aber weiteren Schadcode nachladen und das System ausspionieren. Zusätzlich versucht er, Virenscanner zu deaktivieren.
Wie immer gilt auch im Fall der neuen Sober-Variante: Anwender sollten beim Umgang mit Anhängen in Mails größte Vorsicht walten lassen; auch Mails von bekannten Absendern können im Attachment einen Wurm oder Virus enthalten, da die Schädlinge für ihre Verbreitung die Mail-Adressbücher befallener Systeme nutzen. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antiviren-Seiten von heise Security.
Siehe dazu auch: (dab)
- Beschreibung W32/Sober.X@mm des BSI
- Beschreibung W32/Sober.Z von Sophos
