Tipp

Sober.P gaukelt den Gewinn von WM-Tickets vor

Oliver W. Oliver W.

Virenexperten warnen vor einer neuen Variante des Sober-Wurms, der sich unter anderem über E-Mails verbreitet, in denen der Empfänger vermeintlich über die Zuteilung von WM-Tickets informiert wird.

Nach Angaben des Virenschutzanbieters F-Secure wurde gestern am frühen Abend eine neue Ausprägung des Sober-Wurms entdeckt. Sober.P verfügt wie seine Vorgänger über eine eigene SMTP-Engine und ist somit in der Lage, sich selbst als E-Mailanhang weiter zu verschicken. Um die User zu täuschen und zum Öffnen des Attachments zu verleiten, verwenden die Virenautorenden den Informationen zufolge einen besonders raffinierten Trick: Sober.P will die Anwender glauben machen, eine Nachricht über die Verlosung der WM-Tickets zu erhalten.

Dazu werden Betreffzeilen wie "FwD: Glueckwunsch: Ihr WM Ticket", "FwD: WM Ticket Verlosung" oder "FwD: WM-Ticket-Auslosung" verwendet. Der Wurm-Code ist als ZIP-Archiv, das eine ausführbare Datei enthält, an die E-Mail angehängt. Öffnet der User den Anhang, installiert sich der Wurm und infiziert den Rechner. Wie schon andere Sober-Varianten ist auch dieser Schädling zweisprachig und verfasst je nach Länderkennung der E-Mail-Adresse entweder deutsche oder englische Nachrichten.

Nachrichten, die Sober.P verschickt, können folgendermaßen aussehen:

Betreff:

Re: Your PasswordRe: Registration Confirmation Re: Your email was blockedRe: mailing error FwD: Ihr PasswortFwD: Ihre E-Mail wurde verweigert FwD: Ich bin's, was zum lachen ;)FwD: Glueckwunsch: Ihr WM Ticket FwD: WM Ticket Verlosung FwD: WM-Ticket-Auslosung

Enthaltener Text:

Account and Password Information are attached! Visit: http://www.collected_url.com This is an automatically generated E-Mail Delivery Status Notification. Mail-Header, Mail-Body and Error Description are attached Attachment-Scanner: Status OK, AntiVirus: No Virus found,Server-AntiVirus: No Virus (Clean)" Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage. "- http://www.collected_url - MailTo: PasswordHelp@collected_url" **** AntiVirus: Kein Virus gefunden **** "GMX" AntiVirus Service **** WebSite: http://www.gmx.de

Die angehängten Dateien haben folgende Bezeichnungen: mail_info.zip our_secret.zip Fifa_Info-Text.zip okTicket-info.zip free_PassWort-Info.zip LOL.zip

Verdächtige Mails sollten sofort gelöscht werden.

Neueste Artikel