Tipp

Neue Sober-Varianten im Umlauf

Shawn H Shawn H

Derzeit verbreiten sich zwei neue Schädlinge rasant per E-Mail. Es handelt sich um eine neue Sober-Variante sowie einen so genannten Dropper, der die Verbreitung von SoberQ unterstützt.

Die Antivirenspezialisten aus dem Hause H+BEDV Datentechnik warnen alle Anwender vor E-Mails mit einem ZIP-Archiv im Anhang mit dem Namen "pword_change.zip" oder "KlassenFoto.zip". Diese neue Variante des Worm/Sober.Q ging ist derzeit massenhaft im Umlauf. Wie seine Vorgänger enthält die aktuelle Form des Wurms/Sober.Q eine eigene SMTP-Engine, mit der er bestimmte Dateiendungen des befallenen Rechners nach E-Mailadressen absucht. Ist er fündig geworden, verschickt er sich automatisch an die Adressen weiter. Typisch für den 113.551 Bytes großen Wurm ist nach angaben der Virenschutzexperten, dass er verschiedene Zeitserver nach der aktuellen Uhrzeit befragt, um seine Versandroutine zu starten.

Computeranwender werden leicht dazu verleitet, die verseuchte E-Mail zu öffnen, da seine Betreffzeile verspricht, ein neues Passwort für den Empfänger zu enthalten oder ein Foto von einem Klassentreffen zu öffnen. Weitere Erkennungsmerkmale der E-Mail sind:

Betreffzeile: Your new Password Mailtext: Your password was successfully changed! Please see the attached file for detailed information. Dateianhang: pword_change.zip

oder

Betreffzeile:Fwd: Klassentreffen Mailtext: ich hoffe jetzt mal das ich endlich die richtige person erwischt habe! ich habe jedenfalls mal unser klassenfoto von damals mit angehängt. wenn du dich dort wiedererkennst, dann schreibe unbedingt zurück!! wenn ich aber wieder mal die falsche person erwischt habe, dann sorry für die belästigung ;) liebe grüße: %Name% Dateianhang:KlassenFoto.zip

Wird die .exe Datei im ZIP-File ausgeführt, zeigt Sober.Q ein gefälschtes Meldungsfenster mit dem Text "Error in packed file" und "CRC header must be $7ff8".

Ein Dropper hilft bei der Verbreitung

Daneben warnt H+BEDV auch noch vor dem Dropper "DR/Sober.Q", der über Spamlisten verbreitet wird. Die Experten vermuten, dass entweder der Virenschreiber oder ein Trittbrettfahrer den Dropper in Umlauf gebracht hat, um die Verbreitung von Sober.Q zu erhöhen. Diese besondere Variante des Sober.Q verbreitet den bereits im Internet kursierenden Wurm. Sobald der Dropper vom Anwender angeklickt wird, erstellt er Sober.Q im Verzeichnis von Laufwerk C. Diese Datei wird durch den Dropper ausgeführt und sofort wieder gelöscht. Die E-Mails sind zu erkennen am ZIP-Archiv im Anhang mit dem Namen "privat-foto.zip".

DR/Sober.Q wird als Email über diverse Spamlisten versandt. Wird dasAttachment ausgeführt, erstellt er die Datei c:vbbfgdtd.exe. Die E-Mail, mit der dieser Dropper versandt wird, hat folgenden Inhalt: Subject: Ich habe Ihre Mail erhalten Body: Danke für Ihre Mail .... Sie haben aber Ihre Mail wahrscheinlich falsch adressiert,,, nämlich an mich. Ich kenne sie aber nicht! Oder Ihr Provider hat die Mail falsch weiter geleitet!? Um mich zu entlasten, schicke ich Ihnen das (...) Foto wieder zurück. MfG Sender Attachment: Privat-Foto.zip

Die Sicherheitsspezialisten von H+BEDV haben bereits reagiert und mehrere Updates für alle Kunden zur Verfügung gestellt. Die aktuelle Version des für den Privatgebrauch kostenlosen Virenschutzprogramms AntiVir PersonalEdition Classic steht unter der unten angegebenen Adresse zum Download bereit.

Neueste Artikel