W32.Sober feiert Comeback

Eine neue Variante des E-Mails Wurms Sober namens W32.Sober alias I-Worm.VB.c ist im Umlauf. Texte und Betreffzeile sind - wie bereits beim Vorgänger Sober.c - je nach Länderkennung in Deutsch oder Englisch verfasst.

W32.Sober.F kommt als E-Mail-Anhang in Dateien mit den Endungen .pif oder .zip. In der Betreffzeile des bilingualen Wurms sind Einträge wie "Fehlerhafte Mailzustellung" oder auch "Hallo Du !" beziehungsweise "Invalid Mail Sentence Lenght" oder "Well, surprise?!" zu lesen.

Beim Öffnen der knappen 43 Bytes großen Datei erstellt der Wurm auf dem infizierten System eine TXT-Datei im Temp-Ordner und zeigt seinen Inhalt in NOTEPAD.EXE an. Laut Erkenntnissen des Virenspezialisten Sophos kopiert sich Sober.F dann als .exe-Datei in den Windows-Systemordner und trägt sich in der Registry ein. Durch das Speichern des Registrierungseintrags wird der Wurm bei der Systemanmeldung gestartet. Sober.F modifiziert den Registrierungseintrag so, dass er vor anderen Programmen gestartet wird. Im Windows-Systemordner erzeuge Sober.F außerdem Dateien wie "BCEGFDS.LLL", "WINHEX32XX.WRM" oder "WINSYS32XX.ZZP".

Auf dem befallenen Computer verschickt sich Sober.F zur Vermehrung über eine eigene SMTP-Engine an die Adressen, die er in den Dateien mit Erweiterungen wie .asp, .ppt und .xml aufspürt.

Informationen zum Entfernen der Malware finden sie bei Sophos sowie Symantec. Aktuelle Warnungen finden Sie täglich in unserem Virenticker. (bsc)

tecCHANNEL Buch-Shop

Literatur zum Thema Sicherheit

Titelauswahl

Titel von Pearson Education

Bücher

PDF-Titel (50 % billiger als Buch)

Downloads