futurezone.orf.at Mittwoch, 29.10.03
14:13 MET :
<Warnung vor Wurm "Sober"
Am Samstag erstmals gesichtet | Bereits starke Verbreitung in Österreich und Deutschland | Dank deutschsprachiger Variante | Huldigung an Vorbild "Sobig"
Der am Samstag erstmals gesichtete Wurm "Sober A" hat sich im Verlauf der letzten beiden Tage auch in Österreich stark verbreitet.
Von der Art und Weise seiner Konstruktion her besteht aller Grund zur Annahme, dass dieser Wurm das Netz noch längere Zeit unsicher machen wird. Und das, obwohl "Sober" vom Code her wenig Besonderes bietet: Er ist ein klassischer Internet-Wurm, der sich über Mail-Attachments verbreitet.
Das dürfte momentan vor allem im deutschsprachigen Teil vermehrt der Fall sein, denn vom "human engineering" her gehört die deutschsprachige Variante des neuen Wurms zu den raffinierteren Schädlingen der letzten Jahre.
Erschwerte Identifizierung nach äußeren Merkmalen
Infizierte Mails können verschiedenste Betreffzeilen, Texte in Englisch oder in Deutsch sowie Namen und Erweiterungen [pif, bat, scr, com, exe] der angehängten Dateien enthalten, was die Identifizierung von "Sober" nach äußeren Merkmalen deutlich erschwert.
Die erste Meldung kam von den Moskauer Kaspersky Labs
http://www.kaspersky.com/de/news.html?id=1616512 Texte, die triggern
"Ich habe jetzt schon zum 17. Mal eine Mail, die an Sie adressiert ist, bekommen! Ähmmm .. *hust* der Anhang oder besser gesagt, die Dokumentation muss ihnen aber nicht peinlich sein *grins*".
Angehängt ist dann eine Datei namens "*******ionen.scr", die zusammen mit dem Text bereits eine erhebliche Anzahl von Usern dazu veranlasst hat, darauf zu klicken.
Wird das Attachment geöffnet, lässt "Sober" eine falsche Warnmeldung auf dem Bildschirm erscheinen, dann erstellt er im Windows-Systemverzeichnis drei Kopien von sich mit verschiedenen Namen und registriert sie im Registrierschlüssel des Betriebssystems.
Auch andere Subjects wie "VORSICHT!!! Neuer Mail Wurm", oder "Re: Sex" können zusammen mit dazupassenden Texten im Mailkörper authentisch wirken. Natürlich wird auch Trick 17 nicht ausgelassen: Der Text gibt vor, von einem Bekannten zu stammen, der sich nicht gleich zu erkennen geben will.
Die Liste der Betreff-Felder bei Sophos
http://www.sophos.com/virusinfo/analyses/w32sobera.html Danach sucht "Sober" zunächst nach Dateien, die Mail-Adressen enthalten, und verschickt vom Inhaber des Rechners unbemerkt in dessen Namen Kopien von sich.
Der Wurm enthält in seinem Körper Strings, in denen der Autor von "Sober" seine Begeisterung für den Autoren eines anderen Internet-Wurms, "Sobig", äußert.>
Die Meldung stammt aus einer seriösen Quelle und ist kein HOAX!
Karl
