Die englische Sicherheitsfirma MessageLabs hat gestern von einer neuen Variante des Sober-Wurms, dem so genannten W32.Sober-K-mm, berichtet. Dabei hat das Unternehmen allein in der ersten Stunde nach Entdeckung des Virus 663 Infektionen aufgezeichnet. Dieser Wert lag gegen Mittag bei ca. 2200, sodass MessageLabs den neuen Sober als hoch infektiös eingestuft hat.

Als Ursprung der neuen Bedrohung haben die Experten, wie schon bei den früheren Versionen, Deutschland ausgemacht, was in Zusammenhang mit der Tatsache, dass der Quellcode nicht öffentlich gemacht wurde, den Schluss nahe legt, dass man es mit dem selben Autor zu tun hat.

Der Wurm verschickt sich selbst als Attachement von E-Mail-Nachrichten und generiert je nach Empfängeradresse zufällige Betreffzeilen in Deutsch oder Englisch. Einige von MessageLabs vorgelegte Beispiele sind "Alert! New Sober worm", "Paris Hilton Sex Videos", "You visit illegal websites" and "Your new Password".

Einmal ausgeführt bildet der Wurm Programm-Dateien wie csrss.exe, smss.exe und winlogon.exe und trägt sich in die Registry ein. Unangenehmer Effekt ist neben überfüllten Postfächern die Möglichkeit von Performance-Einbußen infizierter Systeme. (ah)