Menü

Vorsicht bei angeblich falsch zugestellten Mails [Update]

Seit einigen Stunden verbreitet sich eine neue Sober-Variante stark, die noch nicht alle Viren-Scanner erkennen. Auf dem Heise-Mail-Server treffen derzeit reihenweise Mails mit dem Betreff: "Ich habe Ihre E-Mail bekommen!" ein. Der Text lautet:

Hallo,
jemand schickt ihre privaten Mails auf meinem Account.
Ich schaetze mal, das es ein Fehler vom Provider ist.
Insgesamt waren es jetzt schon 6 Mails!
Ich habe alle Mail-Texte im Texteditor kopiert und gezippt.
Wenn es doch kein Fehler vom Provider ist, sorge dafuer
das diese Dinger nicht mehr auf meinem Account landen,
es Nervt naemlich.

Im Anhang findet sich auch tatsächlich eine ZIP-Datei namens "MailTexte.zip", bei deren Entpacken

mail_text-data.txt   [viele Leerzeichen]  .pif

entsteht. Offenbar weckt der plausible Text die Neugier und die Anwender übersehen die mit vielen Leerzeichen abgetrennte Dateiendung .pif, die auf eine ausführbare Datei hinweist. Wer die vermeintliche Textdatei öffnet, infiziert sein System mit dem neuen Wurm. Es ist jedoch nicht auszuschließen, dass der Schädling auch andere Texte und Dateinamen verwendet. Anwender sollten deshalb bei allen unverlangt zugesandten Mails mit Dateianhängen größte Vorsicht walten lassen.

Update
Einer Viren-Beschreibung von Ikarus zufolge gibt es auch eine englische Version mit dem Betreff: "your password + accountnumber !" und einem Anhang namens "Acc_text.zip":

hi,
i've got an admin mail with a Password and Account info!
but the mail recipient are you! it's probably an esmtp error, i think.
i've copied the full mail text in the Windows text-editor & zipped.
ok, cya...

Mit aktuellen Updates erkennen Kaspersky, ClamAV, NOD32, Sybari und Ikarus die Mail als Sober.l, Antivir meldet Sober.M und DrWeb erkennt den Schädling generisch als BACKDOOR.Trojan, McAfee als Sober.gen.

Siehe dazu auch: (ju)

  • Beschreibung von Sober.L des BSI
Anzeige
Zur Startseite
Anzeige