Sober bringt Sobig ein Ständchen

Neuer Internet-Wurm tarnt sich als Anti-Virus-Warnung
(PresseBox) (Moskau, ) Kaspersky Labs, ein international anerkannter Experte im Bereich IT-Sicherheit, warnt eindringlich vor einer neuen Epidemie durch den I-Wurm Sober. Der Schädling enthält in seinem Körper Strings, in denen der Autor von Sober seine Begeisterung für den Autoren eines anderen Internet-Wurms, Sobig, äußert. Die bereits am Samstag ent­deckte Malware scheint erst jetzt durch den Wochenbeginn richtig aktiv zu werden. Sober ist ein klassischer Internet-Wurm, der sich über eMails ver­breitet. Infizierte eMails können verschiedene Betreffzeilen, Texte in Eng­lisch und in Deutsch sowie Namen und Erweiterungen (PIF, BAT, SCR, COM, EXE) der angehängten Dateien enthalten, was seine Identifizierung nach äußeren Merkmalen deutlich erschwert.

Beispiel:

Betreff:
New Sobig-Worm variation (please read)

Textkörper:
New Sobig variation in the net.
You must change any settings before the worm control your computer!
But, read the official statement from Norton Anti Virus!

Name der angehängten Datei:

NAV.pif

War der Anwender unvorsichtig genug, die angehängte Datei einer infizierten Mail zu öffnen, lässt Sober eine falsche Warnmeldung auf dem Bildschirm erscheinen:

File not complete!

Anschließend erstellt der Wurm im Windows-Systemverzeichnis drei Ko­pien von sich mit verschiedenen Namen und registriert sie im Registrier­schlüssel des Betriebssystems. Danach startet Sober seine Verbreitungs­prozedur. Dazu sucht er im infizierten Rechner zunächst nach Dateien, die eMail-Adressen enthalten können (z.B. HTML, WAB, EML, PST) liest die Daten und verschickt vom Inhaber des Rechners unbemerkt in dessen Namen Kopien von sich an die gefundenen Adressen.

Schutzverfahren gegen Sober sind bereits der Antiviren-Datenbank von Kaspersky Anti-Virus hinzugefügt worden. Mehr Informationen über die Malware entnehmen Sie bitte der Kaspersky Virus Encyclopedia (http://www.viruslist.com/...).

Kontakt

Kaspersky Labs GmbH
Despag-Straße 3
D-85055 Ingolstadt
Social Media