SFDE

E-Mail-Wurm Sober mit deutschsprachiger Betreffzeile und deutschem Nachrichtentext im Umlauf.

Im Internet kursiert ein neuer E-Mail-Wurm namens Sober. Als Besonderheit kommt der Wurm mit deutschem Nachrichtentext und deutschsprachiger Betreffzeile, die der Wurm ständig modifiziert.

Auch der Name des E-Mail-Anhangs ändert sich ständig. Die Betreffzeile von Sober gibt oft an, vor einem Wurm, der sich bereits im System befinde, zu warnen. Zusätzliche Informationen oder Abhilfe bringe das Mail im Anhang. Wird dieses daraufhin vom User geöffnet, aktiviert es den E-Mail-Wurm, der somit keine Sicherheitslücke nutzt, sondern manuell aktiviert werden muss.

Als Betreffzeile des Wurm fungierten laut Hersteller von Antiviren-Software bereits folgende Meldungen:
Neuer Virus im Umlauf!
Sie versenden Spam Mails (Virus?)
Ein Wurm ist auf Ihrem Computer!
Langsam reicht es mir
Sie haben mir einen Wurm geschickt!
Hi Schnuckel was machst du so ?
VORSICHT!!! Neuer Mail Wurm
Re: Kontakt
Sorry, Ich habe
Ihre Mail bekommen
Hi Olle, lange niks mehr geh
Re: lol
Viurs blockiert jeden PC (Vorsicht!)
_berraschung
Ich habe Ihre E-Mail bekommen !
Jetzt rate mal, wer ich bin !?
Neue Sobig Variante (Lesen!!)
Ich Liebe Dich
RE: Sex

Fiesling startet durch
Startet der neugierige Nutzer den Anhang des Mails, zeigt der Wurm eine Fehlermeldung in Form einer Dialogbox an. Der Wurm durchsucht dann lokale Dateien nach E-Mail-Adressen und versendet sich über eine eigene SMTP-Engine. Die gefundenen Adressen werden von Sober in der Datei Media.dll im Windows-System-Verzeichnis unter dem Ordner \Macromed\Help abgelegt. Der Wurm kopiert sich nach seiner Aktivierung in das Windows-System-Verzeichnis unter den Dateinamen drv.exe, similare.exe oder systemchk.exe, sodass er bei einem Neustart des Rechners neuerdings aktiv wird.

Sober go home!
Um den Sober-Wurm loszuwerden, müssen Sie die von ihm erstellten Registry-Einträge löschen, ebenso wie die von ihm angelegten Dateien. Bis Montag-Abend, den 27. Okt. 2003 sollten eigentlich alle Antivirus-Hersteller den Wurm aufspüren können.

McAfee kennt den Wurm auch bereits als W32/Sober@MM, Norton als W32.Sober@mm und Kaspersky als I-Worm.Sober.

Da sich der Wurm vor allem im deutschen Sprachraum stark verbreiten wird, empfehlen wir, die eigene Antiviren-Software zu aktualisieren. Dementsprechende Downloads werden von den meisten Herstellern bereits angeboten.

Grundsätzlich sollte man niemals Anhänge in Mails unbekannter Herkunft öffnen, egal welchen Dateityp sie auch repräsentieren mögen. Neben ".exe", ".com" und ".bat" sind auch ".scr", ".pif" und viele andere ausführbar.

Quelle: [URL=http://www.aon.at/jet2web/FE/LayoutTemplates/FE_Layout/0,4972,11206-1-439618-0,00.html]AON Digital World[/URL]