Vorsicht vor "Klassentreffen": Neue Variante des Sober-Wurms unterwegs

Der Schädling tarnt sich als Suchmail einer angeblichen ehemaligen Schulkameradin für ein Klassentreffen. Im beigefügten vermeintlichen Klassenfoto soll sich der Empfänger wiederfinden.

In Pocket speichern vorlesen Druckansicht 389 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Seit heute Nacht ist eine neue Variante des Sober-Wurms unterwegs und füllt die elekronischen Postfächer. Die Mails tarnen sich als Benachrichtigung einer ehemaligen Schulkameradin, die auf der Suche nach Mitschülern für ein Klassentreffen ist:

hi, ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!!

wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;)

liebe grĂĽĂźe:

Unterzeichnet ist die Mail mit unterschiedlichen Frauenvornamen. Im Anhang der Mails (KlassenFoto.zip) steckt selbstverständlich kein Klassenfoto, sondern der Wurm. Je nach Länderdomain der Mailadresse des Empfängers kann der Schädling auch mit einem englischen Text ausgestattet sein, in dem der Anwender über einen Passwortwechsel informiert wird. Der Anhang heißt dann pword_change.zip.

Was der Wurm genau macht, muss noch weiter untersucht werden. Nach bisherigen Erkenntnissen öffnet er auf infizierten Windows-PCs aber eine Hintertür und versendet sich über eine eigene SMTP-Engine an andere PCs.

Einige Virenscanner erkennen ihn bereits als Sober.S, andere wiederum als Sober.R. Zwar wurden die Namenssuffixe .S und .R bereits für den WM-Wurm vom Mai dieses Jahres vergeben, einige Hersteller scheinen aber immer noch ihr eigenes Süppchen zu kochen und tragen damit zu Verwirrung bei. Es besteht allerdings die Hoffnung, dass sich dies zukünftig durch die Common-Malware-Enumeration, also einheitliche Namen für Viren, Würmer und Trojaner, ändern wird.

In unseren Tests fanden nicht alle Scanner beim Durchsuchen der Samples den Wurm, unter anderem auch der kostenlose Scanner AVG von Grisoft. Anwender sollten auf keinen Fall verdächtige Anhänge öffnen und bei allen unverlangt zugesandten Mails größte Vorsicht walten lassen. Weitere Hinweise zum Schutz vor Viren und Würmern finden Sie auf den Antivirus-Seiten von heise Security. Der c't-Emailcheck gibt detaillierte Hinweise zu typischen Gefahren bei E-Mails und dafür, welche Einstellungen vorgenommen werden sollten.

Siehe dazu auch: (dab)

  • Beschreibung zu W32.Sober.Q@mm des BSI