Weitere Varianten des Sober-Wurms machen die Runde
Im Anhang der Wurm-Mails steckt eine als Excel-Tabelle getarnte ausführbare Datei.
Seit heute morgen machen drei neue Varianten des Sober-Wurms die Runde. Die in Deutsch und Englisch verfassten Mails besitzen unterschiedliche Betreffzeilen und enthalten unterschiedliche Nachrichtentexte. Unter anderem kommen sie mit dem Betreff "Ihre Mail" ins Postfach und haben folgenden Text:
Guten Tag, jemand schickte mir eine Mail mit einer Excel oder Access Tabelle (kenne mich da nicht so aus!). Jedenfalls ist diese Mail aber an ihre Mail Adresse adressiert, aber zu meiner gekommen??? Ist wohl irgendein Fehler.
Ok, hier haben Sie sie wieder zurueck!
gruss
Im Anhang steckt bei diesem Beispiel dann eine vermeintliche Excel-Tabelle. Von infizierten Windows-Systemen verschicken sich die Sober.S, .R, .V und .W benannten Varianten mittels eigener SMTP-Engine. Was die Schädlinge selbst genau anstellen, wird derzeit noch untersucht. Bei den bisherigen Analysen hat man aber noch keine Backdoor oder ähnliche Funktionen gefunden. McAfee berichtet jedoch in seiner Virenbeschreibung, dass Sober.V in der Lage sei, das Antivirentool Stinger zu beenden.
Zwar haben neben McAfee auch bereits H+BEDV, Kaspersky, Sophos, Symantec und Computer Associates Beschreibungen und Signaturen zu einigen der Varianten. Beim Scan eines uns vorliegenden Samples (8:37 Uhr) mit dem Virenscan-Dienst Virustotal erkannten aber nur H+BEDV und Avira, dass darin der Wurm Sober.W steckte. Anwender sollten im Zweifel den Update ihrer Signaturen manuell anstoßen.
Wie immer gilt auch im Fall der neuen Sober-Variante: Anwender sollten beim Umgang mit Anhängen in Mails größte Vorsicht walten lassen; auch Mails von bekannten Absendern können im Attachment einen Wurm oder Virus enthalten, da die Schädlinge für ihre Verbreitung die Mail-Adressbücher befallener Systeme nutzen. Weitere Hinweise zum Schutz vor Viren und Würmern finden sich auf den Antiviren-Seiten von heise Security.
Siehe dazu auch: (dab)
- Beschreibung zu W32/Sober.S@MM des BSI
- Beschreibung zu W32/Sober.v@MM von McAfee
- Beschreibung zu W32/Sober.R von Sophos
