Sober.I: Neuer Wurm auf alten Wegen

Sicherheitsexperte H+BEDV (AntiVir) warnt vor dem Wurm Sober.I, der sich derzeit schnell verbreiten soll.

Sober.I ist als UPX-gepackter Anhang an Mails unterwegs. Wird der Anhang geöffnet, erstellt Sober.I diverse Dateien im Windows-Systemverzeichnis, darunter zwei EXE-Files. Die Dateinamen sind zufällig aus den Zeichenkombinationen "sys, host, dir, expoler, win, run, log, 32, disc, crypt, data, diag, spool, service oder smss32" zusammengesetzt, was das Aufspüren der infizierten Dateien erschwert.

Nach Eintrag in die Registry durchsucht Sober eine ganze Liste von Dateien nach Mail-Adressen, um sich weiter fortpflanzen zu können. Dazu hat er eine eigene SMTP-Engine an Bord. Der Betreff der Sober-Mails ist in deutscher Sprache gehalten und tarnt sich laut H+BEDV als vermeintliche Antwort auf eine unzustellbare Mail nach dem folgenden Muster: "Ungültige Zeichen in Ihrer E-Mail -SMTP: 7407; Registration confirmation <KEY:2745>; Mailzustellung fehlgeschlagen -Damon: 4440; Re: Lieferungs-Bescheid; FwD: Mail_Delivery_failure <Esmtp:5172>; Mailer Error -8900" und so weiter. Die Antivirenhersteller dürften mit einem Signatur-Update demnächst aufwarten. AntiVir von H+BEDV erkennt Sober.I ab den Definitionen 6.28.00.81.

Die wichtigsten Aspekte zum Thema Sicherheit finden Sie auf über 230 Seiten in unserem tecCHANNEL-Compact "IT-Security", das Sie online zum Vorzugspreis von 8,90 Euro bestellen oder für 4,90 Euro als PDF downloaden können. In unserem Premium-Bereich gibt es diese und weitere tecCHANNEL-Compact-Ausgaben kostenlos zum Download. (uba)