Neue Sober-Variante aufgetaucht

19.04.2005 F-Secure warnt vor einer neuen Variante des E-Mail Wurms Sober. Sober.N wurde heute am frühen Morgen entdeckt und verschickt sich selbst als E-Mail-Anhang.

Wie seine Vorgänger ist auch diese Sober-Variante zweisprachig und verfasst je nach Länderkennung der E-Mail-Adresse entweder deutsche oder englische Nachrichten. Der Wurm-Code ist als ZIP-Archiv, das eine ausführbare Datei enthält, an die E-Mail angehängt. Öffnet der User den Anhang, installiert sich der Wurm. Sober.N durchsucht die Festplatten auf dem infizierten System nach Dateien mit bestimmten Endungen, um E-Mail-Adressen zu sammeln. Außerdem deaktiviert der Wurm Vorgängervarianten, die sich gegebenenfalls auf dem infizierten System befinden.

Nachrichten, die Sober.N verschickt, können folgendermaßen aussehen:
Betreff: I've_got your EMail on my_account!
FwD: Ich bin's nochmal

Text: Hello, First, Very Sorry for my bad English. Someone is sending your private e-mails on my address. It's probably an e-mail provider error! At time, I've got over 10 mails on my account, but the recipient are you. I have copied all the mail text in the windows text-editor for you & zipped then. Make sure, that this mails don't come in my mail-box again. bye

Verdammt,,,, ich hatte vergessen Dir meinen Text mitzuschicken. Aber bitte nicht woanders darueber Reden, ich wuerde mich dann zu Tode blamieren! Ich melde mich. Bis bald ;)

Attachments: your_text.zip Private-Texte.zip

Ein Update zum Schutz vor Sober.N wurde der F-Secure Virendefinitions-Datenbank bereits hinzugefügt. Eine detaillierte Beschreibung des Wurms ist zu finden unter www.f-secure.com/v-descs/sober_n.shtml