Sober.P gaukelt Gewinn von WM-Tickets vor
03.05.2005 F-Secure warnt vor einer neuen Variante des E-Mail Wurms Sober. Sober.P wurde gestern am frühen Abend entdeckt und verschickt sich selbst als E-Mail-Anhang.
Um die User zu täuschen und zum Öffnen des Attachments zu verleiten, verwenden die Virenautoren einen besonders raffinierten Trick: Sober.P will die Anwender glauben machen, eine Nachricht über die Verlosung der WM-Tickets zu erhalten. Betreffzeilen sind zum Beispiel ‚FwD: Glueckwunsch: Ihr WM Ticket’, ‚FwD: WM Ticket Verlosung’ oder ‚FwD: WM-Ticket-Auslosung’. Der Wurm-Code ist als ZIP-Archiv, das eine ausführbare Datei enthält, an die E-Mail angehängt. Öffnet der User den Anhang, installiert sich der Wurm und infiziert den Rechner. Wie seine Vorgänger ist auch diese Sober-Variante zweisprachig und verfasst je nach Länderkennung der E-Mail-Adresse entweder deutsche oder englische Nachrichten.
Nachrichten, die Sober.P verschickt, können folgendermaßen aussehen:
Betreff:
Re: Your Password
Re: Registration Confirmation
Re: Your email was blocked
Re: mailing error
FwD: Ihr Passwort
FwD: Ihre E-Mail wurde verweigert
FwD: Ich bin's, was zum lachen ;)
FwD: Glueckwunsch: Ihr WM Ticket
FwD: WM Ticket Verlosung
FwD: WM-Ticket-Auslosung
Text:
Account and Password Information are attached!
Visit: http: //www.
This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached
Attachment-Scanner: Status OK,AntiVirus: No Virus found,Server-AntiVirus: No Virus (Clean)
Passwort und Benutzer-Informationen befinden sich in der beigefuegten Anlage.
*-* http: //www.
*-* MailTo: PasswordHelp@
**** AntiVirus: Kein Virus gefunden
**** "GMX" AntiVirus Service
**** WebSite: http: //www.gmx. de
Attachments:
mail_info.zip
our_secret.zip
Fifa_Info-Text.zip
okTicket-info.zip
free_PassWort-Info.zip
LOL.zip
