0%
0%
Neuer Internetwurm Sober huldigt Sobig-Autor
Die IT-Sicherheitsexperten von Kaspersky Labs warnen vor einer neuen Epidemie durch den Wurm Sober. Dieser ist bereits am Samstag entdeckt worden, doch erst jetzt scheint er richtig aktiv zu werden, was wohl im Zusammenhang mit dem Wochenbeginn steht.
Sober ist ein klassischer Internet-Wurm, der sich über eMails verbreitet. Infizierte eMails können verschiedene Betreffzeilen, Texte in Englisch und in Deutsch sowie Namen und Erweiterungen (PIF, BAT, SCR, COM, EXE) der angehängten Dateien enthalten, was seine Identifizierung nach äußeren Merkmalen deutlich erschwert.
Beispiel:
Betreff: New Sobig-Worm variation (please read)
Textkörper:New Sobig variation in the net. You must change any settings before the worm control your computer! But, read the official statement from Norton Anti Virus!
Name der angehängten Datei:NAV.pif
Wenn der Anwender unvorsichtig genug war, die angehängte Datei einer infizierten Mail zu öffnen, lässt Sober eine falsche Warnmeldung auf dem Bildschirm erscheinen:
File not complete!
Danach erstellt der Wurm im Windows-Systemverzeichnis drei Kopien von sich mit verschiedenen Namen und registriert sie im Registrierschlüssel des Betriebssystems. Danach startet Sober seine Verbreitungsprozedur. Dazu sucht er im infizierten Rechner zunächst nach Dateien, welche eMail-Adressen enthalten können (z.B. HTML, WAB, EML, PST), liest die Daten und verschickt vom Inhaber des Rechners unbemerkt in dessen Namen Kopien von sich an die gefundenen Adressen.
Der Wurm enthält in seinem Körper Strings, in denen der Autor von Sober seine Begeisterung für den Autoren eines anderen Internet-Wurms, Sobig, äußert.
Sober ist ein klassischer Internet-Wurm, der sich über eMails verbreitet. Infizierte eMails können verschiedene Betreffzeilen, Texte in Englisch und in Deutsch sowie Namen und Erweiterungen (PIF, BAT, SCR, COM, EXE) der angehängten Dateien enthalten, was seine Identifizierung nach äußeren Merkmalen deutlich erschwert.
Beispiel:
Betreff: New Sobig-Worm variation (please read)
Textkörper:New Sobig variation in the net. You must change any settings before the worm control your computer! But, read the official statement from Norton Anti Virus!
Name der angehängten Datei:NAV.pif
Wenn der Anwender unvorsichtig genug war, die angehängte Datei einer infizierten Mail zu öffnen, lässt Sober eine falsche Warnmeldung auf dem Bildschirm erscheinen:
File not complete!
Danach erstellt der Wurm im Windows-Systemverzeichnis drei Kopien von sich mit verschiedenen Namen und registriert sie im Registrierschlüssel des Betriebssystems. Danach startet Sober seine Verbreitungsprozedur. Dazu sucht er im infizierten Rechner zunächst nach Dateien, welche eMail-Adressen enthalten können (z.B. HTML, WAB, EML, PST), liest die Daten und verschickt vom Inhaber des Rechners unbemerkt in dessen Namen Kopien von sich an die gefundenen Adressen.
Der Wurm enthält in seinem Körper Strings, in denen der Autor von Sober seine Begeisterung für den Autoren eines anderen Internet-Wurms, Sobig, äußert.
