Wurm W32.Sober tarnt sich als Antiviren-Tool [Update]

Der bereits gemeldete Mass-Mailing-Wurm W32.Sober tarnt sich unter anderem als Antiviren-Tool. In gefälschten Mails warnt er vor dem angeblich neuen Wurm "Odin", den die Antiviren-Hersteller Kaspersky Lab Int. und Norton Anti Virus entdeckt hätten. Die beigefügte Datei würde den Wurm entfernen beziehungsweise eine Anleitung enthalten, wie man ihm manuell den Garaus macht, behaupten die E-Mails.

Teilweise gaukelt der Wurm auch erboste Mails von Anwendern vor, die angeblich infizierte Mails vom Adressaten erhalten hätten. Im Anhang finden sich dann Dateien wie "Removal-Tool.exe" und "Anti-Trojan.exe", die aber den Wurm W32.Sober enthalten.

Hersteller von Antiviren-Software verschicken niemals deratige Tools per Mail. Durch einen ähnlichen Trick schaffte es der Wurm Swen, sich zu verbreiten. Als Microsoft-Patch getarnt, infizierte er Tausende von PCs.

Die kompletten Texte der Mails, der Betreffzeilen sowie Namen der Anhänge des neuen Wurms sind auf den Seiten von Symantec einsehbar. Hinweise zu W32.Sober gibt auch das Security-Adivsory des BSI, das auf den BSI-Seiten von heise Security zu finden ist.

[Update] Mittlerweile kursiert eine weitere gefälschte Mail mit einer Virenwarnung im Netz, die vorgibt, von Symantec zu stammen. Derzufolge sei der Download neuer Viren-Signaturen zu unsicher, da ein neuer Virus PCs beim Besuch von Webseiten infiziere. Deshalb habe man die Signaturen als Anhang beigefügt, so die Mail. Öffnet man den Anhang, so installiert sich zwar kein Virus, dafür aber ein Dialer. (dab)