Neue Variante des Computerwurms
Sober-Wurm lockt mit Klassentreffen

Seit Donnerstag ist eine neue Variante des Computerwurms Sober im Umlauf. Der elektronische Schädling tarnt sich dabei als Nachricht einer früheren Klassenkameradin, die nach ehemaligen Mitschülern sucht.

hiz DÜSSELDORF. Die Virenforscher von McAfee und H+BEDV warnen vor der neuen Wurm-Variante, die sich via Email verbreitet. Der Schädling mit dem Namen W32/sober.r@mm verfügt über ein eigenes Programm für den Email-Transfer. Er versendet sich als gepackte .zip-Datei unter falschem Absendernamen an Email-Adressen die er auf dem infizierten System vorfindet.

Der Schädling verbreitet sich nach den Erkenntnissen des AVERT (Antivirus and Vulnerability Emergency Response Team) mit den E-Mail-Anhängen KlassenFoto.zip oder pword_change.zip. In dem Zip-Archiv findet sich die Datei PW_Klass.Pic.packed-bitmap.exe.

Abhängig von der Empfängeradresse ist der Text der E-Mail deutsch oder englisch. Die englische Version berichtet von einer angeblichen Änderung eines Kennwortes. In der deutschen Version bezieht sich eine „Rita“ auf ein angebliches Klassentreffen: „ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!! wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;) liebe grüße Rita“.

Wird das ZIP-Archiv extrahiert und die enthaltene Datei manuell ausgeführt generiert das Virus eine Fehlermeldung und kopiert sich in das Windows-Verzeichnis des Rechners. Gleichzeitig ändert Sober die Windows-Systemdatenbank so, dass er beim nächsten Rechnerstart automatisch wieder aktiviert wird. Infizierte PCs können mit einem kostenlosen Tool aus dem Internet von dem Schädling befreit werden. Allerdings müssen die Rechner dazu im abgesicherten Modus gebootet werden.

McAfee stuft den Schädling derzeit in eine mittlere Gefahrenkategorie ein. Dem Wurmprogrammierer gehe es offenbar mehr um Ruhm als um finanzielle Interessen, vermutet Dirk Kollberg von dem Virenspezialisten. Das Schädlingsprogramm verfüge nach derzeitigen Erkenntnissen über keine so genannte Backdoor, mit der es unter anderem möglich wäre, den Rechner zu kapern und für fremde Zwecke zu nutzen. Der Wurm könne aber zu einer erheblichen Belastung für die Netzwerke werden, sagte der Karlsruher Viren-Experte Christoph Fischer. Die angehängte Zip-Datei dürfe keinesfalls geöffnet werden.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%