Es ist Vorsicht geboten

Vorsicht: Sober.C gaukelt eingeleitetes Ermittlungsverfahren vor

Neue Wurm-Variante nutzt sensibles Thema der illegalen Tauschgeschäfte über P2P-Tauschbörsen
Von Hayo Lücke

Nachdem wir bereits am vergangenen Donnerstag über die neue B-Variante des Internet-Wurms Sober berichtet haben, grassiert seit dem vergangenen Wochenende die Variante "Worm/Sober.C" im Internet und berdroht insbesondere Computersysteme deutschsprachiger Internetsurfer. Besonders heikel: Der Text der E-Mail ist (hauptsächlich) in deutscher Sprache geschrieben und nutzt zum Beispiel das Thema der illegalen Tauschgeschäfte von Musik- und Film-Dateien über die P2P-Tauschbörsen. Hiervor warnt die H+BEDV Datentechnik GmbH, die für die AntiVirus-Software AntiVir verantwortlich ist.

Der neue Wurm verwendet beispielsweise folgende Betreffzeile: "Sie sind ein Raubkopierer", um so den Anwender zum Öffnen des Anhangs zu bewegen. Der eigentliche Wurm versteckt sich im Attachment zum Beispiel hinter dem Namen "aktenz7665.txt.pif". In der E-Mail selber ist davon die Rede, dass die IP-Adresse vom Rechners des Users erfasst und der komplette Inhalt des Systems als Beweismittel sichergestellt wurde. Ferner wird vorgegaukelt, dass die Staatsanwaltschaft Düsseldorf ein Ermittlungsverfahren einleiten werde und die gesammelten Daten über die angehängte Datei eingesehen werden können. Nach Einschätzung von H+BEDV ist mit einer großen Verbreitung zu rechnen.

Der Wurm schickt aber auch Mails mit dem Betreff: "Klassentreffen, Testen Sie Ihren IQ", "Sie drohen mir" oder "Ich zeige Sie an". Auch wenn man eine E-Mail bekommt, in der von einem erfolgten Portscan die Rede ist, ist der Wurm im Posteingang gelandet. Der eigentliche Text der Email ist in deutsch oder englisch geschrieben. Auch der Name des Anhangs also der Wurm selber, besteht aus verschiedenen deutschen oder englischen Namen.

Doppeltes Gefahrenpotenzial auch durch Sober.C

Wie der Wurm Sober.B ergibt sich weiteres Gefahrenpotezial durch die zusätzliche Selbstschutzfunktion des Wurms. Dies bedeutet, dass sich Sober.C zweimal im System gleichzeitig startet. Ist der Wurm einmal aktiv können die virulenten Dateien von den meisten Antivirenscannern nicht mehr erkannt werden, da der Zugriff auf das System nicht mehr gestattet wird. Der in Visual Basic sechs entwickelte Wurm entpackt sich nach dem Öffnen mit der Fehlermeldung "Runtime Error", erstellt eine Datei mit den Email Adressen, die auf den lokalen Laufwerken gespeichert sind und versendet sich mit eigener SMTP-Engine weiter.

Removal-Tool für infizierte Rechner

H-BEDV bietet auf seiner Webseite neben einer umfangreichen Sonderseite zu dem neuen Sober-Wurm auch ein Removal-Tool für bereits infizierte Rechner an. Auch ein Software-Update wurde bereits zur Verfügung gestellt. Für den privaten Gebrauch wird die AntiVirus-Software kostenlos zur Verfügung gestellt und ist unter www.free-av.de downloadbar.