|
ACHTUNG: Neuer Wurm
Outbreak: Email-Worm.Win32.Sober.y alias Win32.Sober.AD@mm (29.11.2005)
Das Bundeskriminalamt warnt vor einem neuen Wurm, der sich in dessen Namen verbreitet. Dahinter steckt Sober.y. Er gibt sich aber auch als E-Mail von RTL, eBay uvm. oder als Fehlermeldung aus. Bitte aktualisieren Sie Ihre Virensignaturen. Die Würmer aus der Sober-Familie gehören zu den erfolgreichsten und aktivsten der letzten Wochen. Sober ist mehrsprachig und versendet sich an E-Mailadressen in den Bereichen .de, .at und .ch in deutsch und an andere E-Mailadressen in englisch. Dabei verwendet er immer psychologische Tricks, um die Empfänger zum Öffnen des Dateianhangs zu verleiten. Die letzten Versionen etwa gaben vor, dass eine persönliche E-Mail versehentlich an einen falschen Empfänger geschickt wurde. Sie lockten auch mit Fotos von einem Klassentreffen. Oder ein empörter Vater, droht mit einer Anzeige, weil angeblich in einer E-Mail von Ihnen obszönes Material enthalten war, das seine Tochter gesehen hat. In allen Fällen sollen die Empfänger so verunsichert werden, dass sie in der ersten Aufregung den Dateianhang öffnen und damit den Wurm starten. Seit gestern Nacht kursiert eine neue Variante, die sich u.a. als Anzeige des BKA ausgibt. Mit Betreffs wie 'Ermittlungsverfahren wurde eingeleitet' oder 'Sie besitzen Raubkopien' werden die Empfänger zum Öffnen des Dateianhangs verlockt. Aber dieser Trick ist nicht der einzige, mit dem Sober versucht sich auf die Rechner zu schleichen. Er gibt sich auch als Gewinnmitteilung oder Kandidateninfo der RTL-Quiz-Show ´Wer wird Millionär?´ aus. Oder als Admin, Postmaster, Hostmaster, Webmaster etc. von großen Versandhäusern und Internetprovidern wie AOL, web.de, GMX, T-Online, eBay, Otto etc. (siehe Liste im Anhang). Wie viele andere Würmer auch, tarnt sich Sober.y auch als fehlgeschlagene E-Mail-Übermittlung oder als Account-Info. Der Dateianhang ist eine ZIP-Datei deren Name eine der folgenden Komponenten enthält: Textinfo, Email, 'Email_text', 'Akte', 'Ebay' aber auch 'Service', 'Webmaster', 'BKA', 'RTL' uvm. In dem ZIP ist eine Datei namens 'File-packed_dataInfo.exe' enthalten. Wer diese Datei öffnet, startet den Wurm, der zunächst eine Fehlermeldung anzeigt. Danach beginnt er mit der Suche nach E-Mailadressen und versendet sich an eine Auswahl der gefundenen Adressen. Sober kann weitere Daten aus dem Internet nachladen und kann den infizierten Rechner ausspionieren. Sie sollten also E-Mails mit den o.g. und weiter unten spezifizierten Eigenschaften ignorieren und Ihren Virenschutz aktualisieren - oder noch besser ihn so einrichten, dass er sich von selbst aktualisiert. Weitere Informationen: Email-Worm.Win32.Sober.y im Virenlexikon des AntiVirusLab Betreffs der deutschen Version: Account Information Benachrichtung zum +ANw-bermittlungsstatus (Fehlgeschlagen) Delivery Status Notification (Failure) Ermittlungsverfahren wurde eingeleitet Ihr Passwort Mailzustellung wurde unterbrochen RTL: Wer wird Millionaer Sehr geehrter Ebay-Kunde Sie besitzen Raubkopien SMTP Mail gescheitert Der Absender ist gefälscht. Die prominentesten sind: Anzeige@bka.bund.de Anzeige@BKA.de BKA.Bund@bka.bund.de BKA.Bund@BKA.de BKA@bka.bund.de BKA@BKA.de Downloads@bka.bund.de Downloads@BKA.de Internet@bka.bund.de Internet@BKA.de Post@bka.bund.de Post@BKA.de Kandidat@RTL.de Kandidat@RTLWorld.de Auslosung@RTL.de Auslosung@RTLWorld.de Casting@RTL.de Casting@RTLWorld.de Gewinn@RTL.de Gewinn@RTLWorld.de RTL@RTL.de RTL@RTLWorld.de RTL-Admin@RTL.de RTL-Admin@RTLWorld.de RTL-TV@RTL.de RTL-TV@RTLWorld.de WWM@RTL.de WWM@RTLWorld.de Oft sind die Absenderadressen aber auch aus einem typischen Usernamen wie Admin, Hostmaster, Info, Postman, Postmaster, Service, Webmaster und einem beliebigen Domainnamen (teilweise auch sehr prominenten) zusammengesetzt. |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 20:49 Uhr. |
Powered by vBulletin Version 3.7.3 (Deutsch)
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.