Sober wieder aktiv
Wurm im Doppelpack

hiz DÜSSELDORF. Wie die Spezialisten von H+BEDV und McAfee melden, sind im Internet zwei neue Varianten des Sober-Wurms gesichtet worden. Die Varianten Sober.W und Sober.X werden seit Dienstag über Spamlisten verbreitet. Nach Aussagen der Fachleute ist die Infektionsrate alarmierend hoch. Damit sind zusammen mit dem gestern vom bayerischen Landeskriminalamt entdeckten Sober-Nachkömmling drei neue Schädlinge mit gleichem Ursprung unterwegs.

Vorsicht ist besonders bei E-Mails geboten, die mit dem Dropper Sober.W infiziert sind. Dropper sind Programme, die den eigentlichen Virus aus dem Internet laden und gleichzeitig versuchen, den installieren Virenscanner zu deaktivieren. Die Mails landen auf Deutsch oder Englisch im Postfach und haben folgenden Inhalt:

Betreffzeile: Ihre eMail!
Nachrichtentext: Guten Tag,
jemand schickte mir eine Mail mit einer Excel oder Access Tabelle (kenne mich da nicht so aus!). Jedenfalls ist diese Mail aber an ihre Mail Adresse adressiert, aber zu meiner gekommen??? Ist wohl irgendein Fehler. Ok, hier haben Sie sie wieder zurueck! gruss
Attachment: excel_table.zip

Nach Klick auf den Anhang wird die 134 176 Bytes große Datei HJGERHDS.EXE auf dem Rechner erstellt und ausgeführt. Danach zeigt Sober.W ein gefälschtes Windows-Fenster an.

Charakteristisch für Emails mit Sober.X ist ein englischsprachiger Registrierungshinweis:

Betreffzeile: Thanks for your registration
Nachrichtentext: Thanks for your registration! We have received your payment.
Attachment: reg_text.zip

Sobald Anwender das Attachment des Droppers Sober.X aktivieren, wird die 127 888 Bytes große Datei HJGERHDS.EXE auf dem PC installiert und ausgeführt. Danach zeigt auch Sober.X ein gefälschtes Fenster an.

Die am Montagabend vom bayerischen Landeskriminalamt entdeckte Sober-Variante versendet sich per E-Mail, nutzt jedoch statt dem TCP-Port 25 einen anderen als die meisten anderen massenhaft verschickten E-Mails. Der Wurm verwendet Port 587. Diese Port-Adressen sind Bestanteil der Datenkommunikation über das Internet und normalerweise für spezielle Anwendungen zuständig. Bei einigen Mailservern haben beide Adressen die gleiche Funktion. Der Port 587 wird jedoch bei der Konfiguration einer Gateway-Firewall häufig vergessen und das Netz ist somit über diesen Port oft verwundbar. Der Wurm wählt abhängig von der Empfänger-Adresse der E-Mails entweder einen deutschen oder englischen Mail-Text. Deutsche werden gewählt, wenn in der E-Mail-Adresse die Zeichenkette '.GMX' enthalten ist oder wenn die Adresse mit 'DE', 'CH', 'AT', oder 'LI' endet.

Serviceangebote
Zur Startseite
-0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%