Neue Variante des Sober-Wurms aktiv

Eine neue Version des Mail-Wurms Sober verbreitet sich mittlerweile recht zügig im Internet. Während die Mass-Mailing-Würmer Netsky (vermutlich ein weiteres Produkt des Sasser-Urhebers) und Bagle mittlerweile mit zweistelligen Varianten gezählt werden, bescheiden sich die Urheber bei Sober momentan noch mit Variante G. Die neue Sober-Version ist eine weitere Variante von Sober.F, der seit Anfang April sein Unwesen treibt und die Anwender mit an englisch- oder deutschsprachige Länderdomains angepasste Texte verwirrt.

Bislang stufen die Antiviren-Hersteller Sober.G noch als relativ ungefährlich ein, befürchten aber, dass er sich schnell verbreiten könnte. Auf den Mail-Servern des Heise-Verlags nimmt die Häufigkeit von Sober.G in eingehenden Mails momentan zu. Wie Sober.F kommt Sober.G mit deutschen und englischen Mail-Texten daher und scheint zu versuchen, nicht nur den Mail-Text, sondern auch die Betreffzeile an den Empfänger anzupassen. Sober.G benutzt ebenfalls eine eigene SMTP-Engine, um sich mit gefälschten Absenderinformationen an Adressen aus dem Adressbuch des lokalen Systems zu verbreiten. Außerdem versucht Sober.G, eine Datei von Internet-Servern nachzuladen.

Die Antiviren-Firmen haben mittlerweile die Signatur-Dateien für ihre Virenscanner aktualisiert. Die Beschreibungen zu Sober.G bringen Details zur Infektionsmethode, zu den Versuchen, Dateien aus dem Internet nachzuladen, und zum Vorgehen zur Entfernung des Wurms von befallenen Systemen. Weitere Hinweise zum Schutz vor Viren und Würmen finden sich auf den Antiviren-Seiten von heise Security.

Siehe dazu auch: (jk)

• W32.Sober.G@mm, Viren-Beschreibung von Symantec
• W32/Sober.g@MM, Virenbeschreibung von McAfee
• Wieder deutschsprachiger Wurm unterwegs, Informationen zum Sober.G-Vorläufer Sober.F auf heise Security