Obacht bitte

H+BEDV warnt vor neuem Sober-Wurm (aktualisiert)

Schädling schützt sich durch zwei verschiedene Startprozesse selbst
Von Hayo Lücke

Erneut ist Vorsicht vor einem neuen Internet-Wurm gegeben: Die H+BEDV Datentechnik GmbH, die für die Anti-Virus-Software Antivir verantwortlich ist, warnt alle Anwender der Betriebssysteme Microsoft Windows 9x/NT/ME/2000/XP vor einem neuen Wurm namens "Worm/Sober.B". Der neue Wurm verwendet beispielsweise folgende Betreffzeile: "Re: George W. Bush plans new wars", um so den Anwender zum Öffnen des Dateianhangs zu bewegen. Der eigentliche Wurm versteckt sich im Attachment hinter dem Link www.gwbush-new-wars.com. Nach Einschätzung von H+BEDV ist mit einer großen Verbreitung zu rechnen. Der Virenschutzspezialist bietet auf seiner Homepage bereits ein Software-Update (VDF Version: 6.23.00.13) an. Inzwischen wurde auch der Download eines Removal-Tools freigeschaltet. Zu finden ist dieses unter der Adresse www.antivir.de/vireninfo/soberb.htm#removal.

Das Hauptgefahrenpotenzial ergibt sich durch die zusätzliche Selbstschutzfunktion des Wurms. Dies bedeutet, dass sich Sober.B zweimal im System gleichzeitig startet. Ist der Wurm einmal aktiv, können die virulenten Dateien von den meisten Antivirenscannern nicht mehr erkannt werden. Der Zugriff des Virenscanners auf das System wird verweigert. Beendet man einen der Prozesse, wird dies durch den zweiten Prozess festgestellt. Es wird die vom Wurm erstellte Datei spooler.exe gestartet, die wiederum den "fehlenden" Prozess wieder aktiviert. Dadurch hat der Heimanwender mit Hilfe des Taskmanagers keine Chance, die beiden Prozesse gleichzeitig zu beenden.

Der Text der Wurm-Email lautet: "Bush plans new wars against China, Cuba and Iran. Please visit our website and vote against this very crazy war(s). More information:". Das Mail-Attachment hat die Bezeichnung "gwbush-new-wars.com" und suggeriert einen direkten Link zu der angeblichen Voting-Website.

Der in Visual Basic sechs entwickelte Wurm entpackt sich nach dem Öffnen mit der Fehlermeldung "Header is missing", erstellt eine Datei mit den Email Adressen, die auf den lokalen Laufwerken gespeichert sind und versendet sich mit eigener SMTP-Engine weiter.

Eine Informationssammlung hat H+BEDV auf seiner Homepage unter http://www.antivir.de/vireninfo/soberb.htm zusammengestellt.