Wurm "Sober" kursiert wieder und nutzt Social Engeneering Techniken zur Verbreitung
Archivmeldung vom 06.10.2005
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 06.10.2005 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittDer Computerwurm "Sober" ist wieder unterwegs und verbreitet sich mit Hilfe englisch- und deutschsprachiger E-Mails. Die neue Variante "Sober.Y" tarnt sich als Foto eines alten Schulfreundes oder Benachrichtigung über ein neues Passwort. Panda Software´s TruPrevent TechnologienTM erkennen den neuen Schädling mit Hilfe der Verhaltensanalyse und benötigen keine Aktualisierung, um die Infektion zu stoppen.
PandaLabs, das spanische Virenlabor von Panda Software, berichtet über eine neue Variante des bekannten Wurms "Sober". Die neue Version "Sober.Y" nutzt zwei unterschiedliche E-Mails zur Verbreitung. Die erste erreicht die Postfächer in englischer Sprache mit der Betreffzeile "Your new password". Diese E-Mail versucht die Nutzer zu täuschen indem sie ihn bittet, die Daten in der angehangenen Datei "pword_change.zip" zu überprüfen, da es sich um eine Passwort-Änderung handelt.
Die zweite Variante nutzt ebenfalls E-Mails zur Verbreitung, ist aber in deutscher Sprache verfasst. Sie versucht dem Nutzer zu suggerieren, dass es sich bei dem Dateianhang "Klassenfoto.zip" um ein Foto aus alten Schulzeiten handelt. Beide Dateien sind komprimiert und beinhalten die ausführbare Datei "PW_Klass.Pic.packed-bitmap.exe". Diese Datei ist eine Kopie des Wurms.
Wird diese Datei gestartet, erscheint eine CRC Fehlermeldung. Der Wurm jedoch wurde gestartet und beginnt unverzüglich mit dem Sammeln von E-Mail Adressen und versendet sich in der oben beschriebenen Weise an diese Adressen. Er nutzt dazu seine eigene SMTP Engine. Sobald die E-Mail Adressen auf .de (Deutschland), .ch (Schweiz), .at (Österreich) oder .li (Liechtenstein) enden versendet er die deutsche Version der E-Mail mit dem Dateianhang "KlassenFoto.zip". An alle anderen E-Mail Adressen wird die englische Version versendet.
Obwohl die Summe der bisher infizierten Systeme noch nicht so dramatisch ist, besitzt der Wurm Potential zur Verbreitung. Panda Software hat bereits die Virensignaturdatei aktualisiert und bittet alle Nutzer, die das automatische Update ausgeschaltet haben, eine manuelle Aktualisierung durchzuführen. Panda Software Kunden, die bereits die neuen TruPrevent Technologien einsetzen, bsp. in den Einzelplatzlösungen "Panda Titanium Antivirus 2005" und "Panda Internet Security Suite 2005", sind auch ohne Aktualisierung geschützt, da diese Technologien den Schädling anhand der Verhaltensanalyse erkennen.
Quelle: Pressemitteilung Panda Software Deutschland