zurück zum Artikel

Deutschsprachige Wurm-Variante Sober.c verbreitet sich schnell

Eine dritte Sober-Variante verbreitet sich derzeit schnell im Internet. Wie seine Vorgänger Sober und Sober.b[1] verschickt sich der Wurm Sober.c von infizierten Windows-Rechnern per E-Mail an weitere Adressen. Wesentliche technische Neuerungen bringt er nicht mit, dafür sind die Nachrichtentexte umso geschickter formuliert. Beispielsweise gibt eine Nachricht vor, von der Kripo Düsseldorf zu sein. Darin wird behauptet, dass gegen den Empfänger der Mail ein Ermittlungsverfahren eingeleitet werde, da er illegal Filme und MP3-Dateien aus dem Internet herunterlade. Als Attachment ist eine Datei mit dem angeblichen Akteninhalt beigefügt, die natürlich den Wurm enthält. Andere Varianten warnen vor einem neuen Dialer und einem Trojaner, der sich dem Rechner des Empfängers befände.

Öffnet man die Dateianhänge *.bat, *.pif und *.exe infiziert der Wurm den Rechner. Diesmal kopiert er sich sogar dreimal auf das System, zwei der Dateinamen erzeugt Sober.c pseudo-zufällig. Auf befallenen System startet sich der Wurm in zwei Instanzen, die sich gegenseitig versuchen zu schützen, in dem sie unter anderem den Datei-Zugriff blockieren.

Die Betreffzeilen und Texte von Sober.c variieren sehr stark, allerdings ist auch er wieder bilingual: Er verschickt sich sowohl mit deutschen, als auch englischen Texten. Welche Sprache Sober.c verwendet, hängt von Domain-Suffix, also .de, at, ch, des Adressaten ab. Eine vollständige Liste der möglichen englischen und deutschen Betreffzeilen, sowie der Namen der Datenanhänge ist bei Bitdefender zu finden.

Einige Hersteller von Antivirensoftware haben schon reagiert und neue Signaturen zum Erkennen des Wurms, sowie Tools zu seiner Entfernung bereit gestellt. Dazu gehören insbesondere Kaspersky, Bitdefender und F-Prot. NAI und Symantec bieten bisher noch keine Beschreibung und Signaturen auf ihren Seiten an. Bereits die Signaturen zum Erkennen von Sober.b lassen bei beiden derzeit auf sich warten. Erst ab Weihnachten sollen diese zur Verfügung stehen.

[Update] Symantec hat ebenfalls die Viren-Signaturen für den LiveUpdate und Intelligent-Update aktualisiert[2]. Damit sind nun fast alle Virenscanner in der Lage Sober.c zu erkennen. NAI beschert seine Kunden erst zum Weihnachtsfest mit neuen Signaturen.

[2. Update] NAI hat früher als angekündigt seine Signaturen aktualisiert. Seit Sonntag Abend gibt es ein neues DAT-File, mit dem der Scanner Sober.c erkennt.

Siehe dazu auch: (dab[3])


URL dieses Artikels:
http://www.heise.de/-90671

Links in diesem Artikel:
[1] https://www.heise.de/meldung/Neue-Wurm-Variante-Sober-b-gesichtet-90533.html
[2] http://securityresponse.symantec.com/avcenter/venc/data/w32.sober.c@mm.html
[3] mailto:dab@ct.de
[4] http://www.f-secure.com/v-descs/sober_c.shtml
[5] http://www.bitdefender.com/bd/site/virusinfo.php?menu_id=1&v_id=178