Update

Neuer Internetwurm bedroht insbesondere deutsche Computer

Wurm namens "Sober" fälscht Absender und gaukelt dem Empfänger Wurmversand vor
Von Hayo Lücke

Die führenden Anbieter von Anti-Viren-Software warnen vor einem neuen Internetwurm, der sich derzeit offenbar insbesondere im deutschsprachigen Raum ausbreitet. Bereits mehrfach schlug der Wurm mit dem Namen Sober auch in den E-Mail-Postfächern der teltarif-Redaktion auf. Anders als bei diversen Wurm-Varianten der Vergangenheit handelt es sich dieses Mal um einen Schädling, der sich mit deutscher Betreffzeile und deutschem Textinhalt verschickt.

Der Sober-Wurm verbreitet sich geschickt weiter, indem er häufig die Absenderadresse fälscht und dem Empfänger meistens in einem deutschsprachigen Text vorgibt, dieser versende einen Wurm und möge diesen doch bitte mit der im Anhang befindlichen Datei wieder entfernen.

Nach Angaben von Symantec [Link entfernt] , Hersteller der bekannten Software Norton Anti Virus, kann man den Wurm unter anderem an folgenden Betreffzeilen erkennen:

  • Neuer Virus im Umlauf!
  • Sie versenden Spam Mails (Virus?)
  • Ein Wurm ist auf Ihrem Computer!
  • Langsam reicht es mir
  • Sie haben mir einen Wurm geschickt!
  • Hi Schnuckel was machst du so ?
  • VORSICHT!!! Neuer Mail Wurm
  • Re: Kontakt
  • RE: Sex
  • Sorry, Ich habe Ihre Mail bekommen
  • Hi Olle, lange niks mehr gehört
  • Re: lol
  • Viurs blockiert jeden PC (Vorsicht!)
  • Überraschung
  • Ich habe Ihre E-Mail bekommen !
  • Jetzt rate mal, wer ich bin !?
  • Neue Sobig Variante (Lesen!!)
  • Back At The Funny Farm
  • Ich Liebe Dich
Symantec hat auf seiner Webseite auch eine Liste veröffentlicht, die die Namen der Anhänge kennzeichnet, die der Wurm verschickt. Diese lauten unter anderem:
  • AntiVirusDoc.pif
  • Check-Patch.bat
  • Screen_Doku.scr
  • Removal-Tool.exe
  • Perversionen.scr
  • Bild.scr
  • robot_mail.scr
  • RobotMailer.com
  • Privat.exe
  • AntiTrojan.exe
  • Mausi.scr
  • NackiDei.com
  • Anti-Sob.bat
  • security.pif
  • Funny.scr
  • Liebe.com
  • Odin_Worm.exe
  • anti_virusdoc.pif
  • check-patch.bat
  • removal-tool.exe
  • screen_doc.scr
  • potency.pif
  • perversion.scr
  • pic.scr
  • CM-Recover.com
  • playme.exe
  • robot_mailer.pif
  • little-scr.scr
  • love.com
  • nacked.com
  • Hengst.pif
  • schnitzel.exe
  • anti-trojan.exe
  • NAV.pif
Klickt man eine der Dateien an, klappt zunächst eine Fehlermeldung mit dem Hinweis File not complete! auf. Zu diesem Zeitpunkt hat sich Sober bereits unter den Dateinamen drv.exe, similare.exe und systemchk.exe in das Windows-Systemverzeichnis kopiert und sich in den Registry-Einträgen eingetragen. Beim nächsten Neustart des Computers wird der Wurm dann aktiviert. Zur Verbreitung nutzt der Wurm eine eigene SMTP-Maschine, über die er sich an auf dem System gefundene E-Mail-Adressen weiterverschickt.

Den Angaben von Symantec zufolge ist die Verbreitung international bisher noch nicht weit fortgeschritten, insbesondere deutschen Internetsurfen empfiehlt sich aber, die Anti-Viren-Software auf den aktuellen Stand zu bringen.